“La questione non sta nel sapere se si verrà hackerati, ma quando”. Sono le parole del CEO di Verizon, Lowell C. Macadam, e nessuno lo sa meglio di lui. Soltanto quattro mesi dopo avere acquistato Yahoo!, la sua società ha scoperto che la sicurezza di tutti i suoi clienti, e parliamo di tre miliardi di account, era stata violata con un singolo attacco nel 2013.
Nonostante incidenti sconcertanti come questo avvengano sempre più spesso, la ricerca mostra che molte aziende sono sempre tristemente impreparate agli attacchi informatici. Un’indagine governativa condotta nel Regno Unito ha rilevato che il 68% dei consigli di amministrazione societari non ha ricevuto alcuna formazione per affrontare una violazione della sicurezza.
Un problema potrebbe essere rappresentato dal fatto che i dirigenti sono riluttanti a investire in tecnologie costose, senza sapere che proprio queste rappresentano una difesa efficace. Dopo tutto, se i giganti della tecnologia come Yahoo! non sono in grado di tenere lontani gli hacker, che possibilità hanno le medie imprese?
Certo è che alcuni tipi di difesa non sono economici. Abbonamenti annuali a sofisticati sistemi di monitoraggio come ProtectWise, che registra tutto il traffico di rete e consente di riavvolgerlo e riprodurlo per un’analisi di sicurezza proprio come un sistema TVCC virtuale, possono partire da un prezzo base di decine di migliaia di euro.
Tuttavia, la buona notizia è che molti attacchi informatici sono facilmente prevenibili con semplici contromisure. Il prolifico attacco ransomware WannaCry di quest’anno, ad esempio, ha sfruttato una debolezza del vecchio software Microsoft, per il quale la società aveva già fornito una patch di sicurezza.
Il mercato offre comunque numerose altre soluzioni economiche. Eccone cinque che ogni azienda dovrebbe prendere in considerazione:
1. Software antivirus
Un software di rilevamento e gestione delle minacce può essere indubbiamente costoso, ma sono comunque molte le opzioni disponibili per le piccole imprese con scarse risorse. Grandi aziende come Kaspersky, McAfee e Symantec forniscono soluzioni per piccole aziende che coprono da 20 a 25 dispositivi, con una quota di abbonamento annuale a partire da 130 euro. I servizi disponibili includono prevenzione della perdita di dati e backup automatici, antivirus e spyware, firewall e protezione della privacy.
Il prodotto offerto è pari al prezzo pagato, per cui è importante considerare il costo dei propri sistemi di difesa rispetto al potenziale prezzo da pagare in caso di attacco. Ad esempio, il prodotto Endpoint Advanced basato su cloud di Kaspersky costa 850 euro all’anno per 10 utenti. Tuttavia, se si considerano i risultati di un recente sondaggio del Ministero britannico per i mezzi di informazione digitali, la cultura, i media e lo sport, che ha mostrato che il costo medio degli attacchi informatici è stato di circa 1.800 euro per tutte le società, fino a raggiungere i 22.000 euro per quelle di grandi dimensioni, 850 euro potrebbero non sembrare una cifra così elevata.
2. Formazione del personale e servizi di informazione gratuiti
Prima ancora di pensare di investire in un software di rilevamento delle minacce, è bene ricordare che la maggior parte dei rischi per la sicurezza non viene da bande di criminali o governi stranieri ostili, bensì dall’interno. La negligenza di un dipendente, come quella di dimenticarsi un laptop sul treno, o atti dolosi compiuti da membri del personale, hanno causato due terzi delle violazioni informatiche di dati analizzate quest’anno da Willis Tower Watson. Solo il 18% è stato causato direttamente da una minaccia esterna, mentre i casi di corruzione hanno rappresentato solo il 2%.
StaySafeOnline.org è una risorsa online gratuita che offre alle aziende informazioni su come tutelarsi, incluse alcune tecniche di formazione del personale. Anche Social-Engineer.com offre ai manager alcuni consigli gratuiti, spesso tramite podcast di discussioni tra panel di esperti in materia di sicurezza, oltre a vendere sofisticati moduli di formazione del personale che simulano attacchi reali.
3. Performance Web e servizi di sicurezza
Qualsiasi azienda con un sito Web che non abbia installato un booster delle performance come Cloudflare o Incapsula dovrebbe probabilmente pensare di farlo subito. Questi servizi “freemium”, ossia gratuiti con upgrade a pagamento, formano una sorta di scudo del sito Web e bloccano i malintenzionati che potrebbero manometterne i contenuti o paralizzarlo.
Cloudflare offre tre livelli oltre alla versione gratuita: pro, business ed enterprise. Tuttavia, l’installazione della versione gratuita è già un ottimo punto di partenza, soprattutto da quando il mese scorso l’azienda ha celebrato il suo settimo anniversario offrendo la protezione gratuita dagli attacchi DDoS (Distributed Denial of Service), in cui gli hacker bloccano i siti Web inondandoli di traffico.
Altre funzionalità offerte da questi servizi includono la possibilità per gli utenti di bloccare indirizzi IP o bot ostili specifici tramite un CAPTCHA, ossia un prompt che consente al visitatore di digitare le lettere contenute in immagini distorte, illeggibili dalle macchine, prima di accedere a un sito Web.
4. Servizi di protezione contro il furto d’identità
Un malintenzionato finge di essere un funzionario di una società di alto livello e inganna l’utente, convincendolo a depositare del denaro sul proprio conto. Eventi simili, tecnicamente noti come BEC (business e-mail compromise), stanno aumentando a un tasso allarmante. Secondo l’FBI, le perdite causate da truffe simili sono aumentate del 1.300% tra il 2015 e il 2017.
Anche gli attacchi stanno diventando sempre più sofisticati, man mano che i criminali si spingono oltre la semplice creazione di account contraffatti per hackerare le reti di e-mail aziendali. Un metodo economico per affrontare il problema consiste nell’introdurre protocolli di messaggistica rigidi, ad esempio imponendo al personale di rispondere al CEO in una nuova e-mail, piuttosto che limitarsi a rispondere direttamente.
Tuttavia, per le aziende che vogliono difese più rigorose, società come Experian e Lifelock offrono servizi di monitoraggio del credito e servizi di allerta per circa 130 euro all’anno, oltre a piani di intervento d’emergenza in caso di furto dei dati del cliente.
5. Applicazioni per smartphone convenienti e intelligenti
Con così tanti dati cruciali archiviati oggi su dispositivi mobili è fondamentale tenerli al sicuro. Fortunatamente, l’universo delle app ora è pieno di nuove soluzioni.
I gestori di password come 1Password possono migliorare notevolmente la sicurezza ricordando password impossibili da indovinare, per cui non vi è alcun rischio di creare una catena di violazioni della sicurezza riutilizzando le stesse per più accessi. 1Password consente anche di generare password per l’utente.
Poi ci sono soluzioni come Signal, che possono fornire una crittografia end-to-end per tutte le comunicazioni, in modo da poter proteggere le conversazioni più delicate da occhi e orecchie indiscreti.
Ultimo ma non meno importante è Keeply, che consente ai dipendenti di memorizzare le proprie informazioni sensibili come password e foto in una sezione separata del proprio smartphone, Offre anche una funzionalità “face lock-down”, per cui l’app si chiude quando il telefono viene posizionato a faccia in giù, e una funzione “falso PIN”, che fa apparire le app vuote agli utenti indesiderati.