Come le imprese migliorano la propria sicurezza informatica
7 min

Come le imprese migliorano la propria sicurezza informatica

Oltre a mettere in luce delle evidenti lacune, il processo di valutazione della sicurezza svolto presso la PMI di Zugo Stadler Form ha soprattutto fornito degli spunti al responsabile IT su come affrontare il tema della sicurezza in maniera strategica e al contempo ottimizzarla. Si tratta di esperienze e raccomandazioni d’intervento di cui possono beneficiare anche altre aziende.

Cosa succederebbe se degli «hacker» professionisti venissero lasciati liberi di agire in una PMI svizzera? Troverebbero delle falle nella sicurezza e riuscirebbero ad avere accesso a dati e applicazioni. Questo è esattamente ciò che è successo all’azienda Stadler Form di Zugo. Fortunatamente, gli hacker erano degli specialisti della sicurezza IT e non dei cybercriminali con cattive intenzioni.

Infatti, la Stadler Form ha vinto una valutazione della sicurezza professionale nell’ambito del concorso «Win a Hacker» lanciato da Swisscom. Gli specialisti hanno esaminato l’infrastruttura IT con gli stessi strumenti utilizzati dai criminali informatici. L’obiettivo di tale valutazione è quello di individuare e colmare le lacune di sicurezza prima che gli hacker trovino delle vulnerabilità.

La situazione della Stadler Form è tipica di molte PMI: il supporto IT interno è un secondo lavoro e in questo caso è solo uno dei tanti compiti di Samuel Wyss. È un grande esperto del settore IT ma non è un informatico. Una bella ingiustizia: da un lato la PMI con risorse e know-how limitati, dall’altro cybercriminali a tempo pieno con conoscenze approfondite. In ogni caso, Samuel Wyss non è da solo e spiega quali siano i suoi rinforzi: «In caso di necessità posso rivolgermi agli specialisti del nostro fornitore di servizi IT».

Combinazione di fattori come vulnerabilità tipica

La valutazione aiuta Samuel Wyss e il fornitore di servizi IT a migliorare la protezione dell’azienda. «Le vulnerabilità che abbiamo riscontrato sono quelle tipiche di una PMI», afferma uno degli esperti di sicurezza riassumendo il risultato. Vulnerabilità che spesso non risiedono a livello tecnico ma piuttosto a livello umano. Il maggiore rischio è la combinazione di password non sicure con ampi diritti di accesso. Daniel Aegerter, specialista della sicurezza presso Swisscom, spiega: «Ci troviamo spesso in una situazione in cui gli utenti lavorano con i diritti di amministratore. Questo facilita la diffusione del malware.» Ad esempio, il malware può impiantarsi nel sistema e cercare di ottenere diritti più ampi per poter poi controllare l’intera infrastruttura IT.

Un altro esempio di vulnerabilità causata dall’uomo è che la maggior parte delle aziende ha un backup. Spesso però non si controlla se la strategia di backup sia aggiornata e se anche il ripristino, ad esempio dopo un’infezione da ransomware, funzioni.

E così come una combinazione di fattori non sicuri rappresenta un rischio per la sicurezza, una combinazione di diverse misure di protezione può migliorare la sicurezza. Ad esempio, gli specialisti della sicurezza informatica consigliano di utilizzare per l’amministrazione del sistema non solo una password di amministratore particolare di almeno 16 caratteri, ma anche un computer che venga usato solo dall’amministrazione e che non sia connesso a internet.

La croce degli aggiornamenti

I compiti di un amministratore di sistema comprendono anche il regolare aggiornamento dei sistemi operativi e delle applicazioni, noto anche come gestione delle patch. La raccomandazione degli specialisti della sicurezza è chiara: gli aggiornamenti devono essere installati al momento del loro rilascio da parte dei produttori di software. Infatti, i criminali informatici sfruttano per lo più vulnerabilità conosciute che possono essere chiuse attraverso una patch corrente.

Il problema è che nelle PMI, un fornitore di servizi IT si occupa spesso dei sistemi e si assicura anche che gli aggiornamenti siano installati sui server. E poiché vengono continuamente riscontrati problemi e incompatibilità negli aggiornamenti di Windows, alcuni di questi vengono prima di tutto testati. In alternativa si aspetta fin quando non sia certo che l’aggiornamento non dia errori. Da un lato, ciò ritarda l’installazione degli aggiornamenti traducendosi in una finestra temporale in cui i cybercriminali riescono a sfruttare le vulnerabilità note.

Dall’altro lato, intervalli di aggiornamento più brevi comportano un ulteriore lavoro per il fornitore di servizi IT, in quanto i sistemi devono essere controllati per verificarne il corretto funzionamento. Ciò si riflette in un SLA (Service Level Agreement) più costoso. La Stadler Form non ha avuto altra scelta, come dice Samuel Wyss: «A causa dei risultati della valutazione, abbiamo ridotto gli intervalli di aggiornamento, anche se è più costoso.»

Investimenti strategici nella sicurezza

Nella sicurezza IT si parla sempre di costi. Infatti, le misure di sicurezza non apportano direttamente un valore aggiunto, tuttavia sono in grado di soddisfare le esigenze aziendali quotidiane. Se, ad esempio, i collaboratori esterni devono accedere alle applicazioni aziendali quando sono in viaggio, una connessione VPN criptata può fornire una protezione contro eventuali attacchi. Samuel Wyss deve anche giustificare gli investimenti nella sicurezza ai dirigenti. «Solo se riesco a dimostrare i possibili benefici per l’azienda», afferma, «le spese vengono approvate.»

Samuel Wyss, Stadler Form: «La valutazione della sicurezza mi ha aiutato a stabilire le giuste priorità.» (Foto: Daniel Brühlmann)

Per lui, la valutazione della sicurezza è arrivata proprio al momento giusto. «Sapevo che avremmo dovuto investire di più nella sicurezza», dice Samuel Wyss. «Ma non sapevo come definire le priorità.» I risultati del controllo di sicurezza l’hanno aiutato in questo senso. E afferma: «Ora conosco le fasi successive e sono in grado di spiegare quali siano le misure necessarie».

Sicurezza IT, un ciclo

La valutazione ha inoltre aiutato Samuel Wyss nel suo percorso verso un approccio strategico per la sicurezza IT grazie a un procedimento sistematico. «Dobbiamo affrontare le cause», dice, «ad esempio, definendo le misure per l’impostazione di password sicure e sensibilizzando i dipendenti sull’importanza di avere delle password sicure.»

E parla anche di ulteriori valutazioni della sicurezza. «I benefici superano i costi», afferma. «Non fare nulla equivale a mettere automaticamente a repentaglio la sicurezza dell’azienda.»

Nessuna chance agli hacker

Il breve e-learning fornisce tre consigli di comportamento basilari per i collaboratori, ad esempio per proteggersi dagli attacchi di phishing e creare password sicure. E di conseguenza contribuire a migliorare la sicurezza dell’intera azienda.


Consigli per la sicurezza IT per le PMI

Queste misure garantiscono una migliore protezione a livello tecnico, cioè per i sistemi operativi e le applicazioni. Per l’attuazione può essere necessario il supporto del fornitore di servizi IT.

Configurazione sicura di server e workstation («hardening»)

La configurazione di base della maggior parte dei sistemi operativi, sia delle workstation che dei server, punta troppo poco sulla sicurezza. Pertanto, dopo l’installazione di base bisognerebbe migliorare la sicurezza dei sistemi, ciò che in gergo tecnico viene chiamato «hardening». Ad esempio, in questo processo avviene la disattivazione dei servizi non necessari, la definizione dei requisiti per la lunghezza della password e la limitazione dei diritti di accesso.

Il CIS (Center for Internet Security) offre una serie di istruzioni in inglese che corrispondono alla buona pratica attuale («best practices»). Anche gli stessi produttori di sistemi operativi offrono supporto in questo senso, come ad esempio Microsoft in questa introduzione all’hardening di Windows 10 in lingua inglese.

Impedire l’installazione di software

I dipendenti hanno compiti diversi per i quali necessitano vari tipi di software. L’installazione di particolari software dovrebbe essere effettuata esclusivamente sotto il controllo del responsabile IT. In questo modo si impedisce ai dipendenti di installare programmi da fonti dubbie ed eventualmente di introdurre malware.

Creare un inventario di hardware e software

È un lavoro immane, ma comunque necessario. Il responsabile IT crea un inventario dell’hardware e dei software utilizzati. Sono comprese le workstation insieme ad applicazioni, server, smartphone aziendali e anche stampanti e altre apparecchiature di rete. Tale inventario funge da base per la presa di decisioni quando si viene a conoscenza di una nuova grave vulnerabilità. In base alle versioni software utilizzate, si può decidere rapidamente se l’azienda sia a rischio e se si debba reagire, a condizione che l’inventario sia aggiornato.

Impedire il collegamento di apparecchi estranei e privati alla rete

I notebook e gli smartphone privati rappresentano un rischio per la sicurezza se le loro condizioni sono sconosciute. Sono stati installati tutti gli ultimi aggiornamenti? Il computer potrebbe essere stato attaccato da virus?

Se gli apparecchi privati devono essere utilizzati in ufficio, questi devono essere connessi a una rete separata, come ad esempio una WLAN per gli ospiti, senza accesso ad applicazioni e dati aziendali critici.

L’uso delle chiavette USB sui computer aziendali dovrebbe essere regolamentato: la porta USB dovrebbe essere bloccata oppure dovrebbe essere controllata la presenza di virus sulla chiavetta al momento del suo inserimento.

Verifica periodica delle vulnerabilità della rete aziendale

Quanto sono sicuri la rete aziendale e gli apparecchi a essa connessi? Un vulnerability scanner controlla l’infrastruttura IT alla ricerca di eventuali vulnerabilità, aiutando a definire le misure di sicurezza. Le scansioni regolari aiutano a controllare i rischi attuali dell’azienda. Sono disponibili diversi software di scansione commerciali e gratuiti. Ad esempio, Greenbone Community Edition, precedentemente OpenVAS, è molto diffuso. L’Open Web Application Security Project è un buon punto di riferimento per le applicazioni web come siti web o negozi online

Lascia un commento

Il suo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati.*

Leggete ora