ci sono quelle di sicurezza

Di Valentina Moretti technology 9 min di lettura
ci sono quelle di sicurezza

Lunedì mattina, ore 08:30. Un responsabile IT di una media impresa manifatturiera in Brianza riceve una notifica sul telefono: il server principale non risponde. Entro le 09:00, capisce che non è un glitch. I file hanno estensioni strane, le cartelle sono bloccate e c'è un file di testo sul desktop che chiede un riscatto in Bitcoin equivalente a cinquantamila euro. Quel responsabile aveva speso dodicimila euro l'anno prima per un firewall di ultima generazione, convinto che bastasse "comprare la protezione" per dormire tranquilli. Non aveva capito che Ci Sono Quelle Di Sicurezza procedure che non si comprano al chilo, ma si costruiscono con la disciplina. Il costo reale non è stato solo il riscatto, che per inciso non hanno pagato perdendo tre settimane di dati, ma il fermo produzione di dieci giorni che è costato all'azienda circa quindicimila euro al giorno in ordini persi e penali. Ho visto questa scena ripetersi in vari settori, dalla logistica alla sanità privata, sempre per lo stesso motivo: confondere l'acquisto di un software con la creazione di una difesa.

Il mito dell'invulnerabilità hardware e le vere Ci Sono Quelle Di Sicurezza

L'errore più banale che vedo commettere è pensare che un dispositivo costoso nel rack della sala server sia uno scudo magico. Molti imprenditori credono che spendere ventimila euro in hardware della Cisco o della Fortinet risolva il problema alla radice. La realtà è che un firewall configurato male è solo un costoso fermaporta. Se lasciate aperte le porte di gestione remota con password deboli o se non segmentate la rete, state solo mettendo una porta blindata su una casa che ha le finestre di carta velina.

Le difese efficaci passano per una revisione totale dei privilegi di accesso. Ho lavorato con un'azienda che aveva dato i permessi di amministratore di sistema a tutti i dipendenti dell'ufficio acquisti perché "così potevano installarsi le stampanti da soli senza disturbare l'assistenza". Questo ha permesso a un singolo allegato malevolo aperto da uno stagista di crittografare l'intero database gestionale in meno di dodici minuti. La soluzione non era un software più potente, ma l'applicazione rigorosa del principio del privilegio minimo. Significa che nessuno deve avere più poteri digitali di quelli strettamente necessari per fare il proprio lavoro quotidiano. Se non gestisci questo aspetto, ogni investimento tecnologico è nullo.

Credere che il backup sia una soluzione passiva e scontata

Molti pensano: "Ho il backup su un disco esterno o sul cloud, sono a posto". Poi succede il disastro e scoprono che il backup non partiva da tre mesi per un errore di sincronizzazione mai controllato, oppure che il ransomware ha infettato anche i dischi di backup perché erano costantemente collegati alla rete principale. È un classico. Ho visto aziende perdere anni di contabilità perché nessuno aveva mai fatto una prova di ripristino. Fare il backup è inutile se non si pianifica il restore.

La strategia corretta segue la regola del 3-2-1: tre copie dei dati, su due supporti diversi, di cui uno fisicamente scollegato dalla rete o fuori sede. In Italia, molte piccole imprese si limitano a un NAS in ufficio. Se scoppia un incendio o se entra un ladro, perdi tutto. Se un virus entra in rete, cripta anche il NAS. Dovete pretendere dal vostro fornitore IT un report mensile non solo dell'avvenuto backup, ma dell'esito positivo di un test di recupero di un file a campione. Senza questo test, state scommettendo sulla fortuna, non sulla protezione.

Sottovalutare l'elemento umano nei sistemi di Ci Sono Quelle Di Sicurezza

Potete spendere milioni in crittografia, ma se un vostro dipendente riceve una mail che sembra arrivare dal "Direttore Amministrativo" chiedendo un bonifico urgente per un fornitore estero e lui lo esegue, la tecnologia non vi salverà. Il social engineering è il vettore d'attacco principale oggi. Non servono hacker russi che digitano freneticamente al buio; serve un testo scritto bene che sfrutta l'urgenza o la paura.

L'illusione della formazione una tantum

Spesso le aziende pensano di aver risolto il problema facendo fare ai dipendenti un corso online di un'ora una volta all'anno. Non serve a niente. La memoria di quelle nozioni svanisce dopo una settimana. La difesa reale si costruisce con la simulazione continua. Ho visto risultati eccellenti in aziende che inviano false mail di phishing ai propri dipendenti ogni mese. Chi clicca non viene punito, ma viene immediatamente indirizzato a una pillola formativa di due minuti. Questo trasforma il sospetto in un'abitudine operativa. Non è cattiveria, è addestramento riflesso. Se i vostri collaboratori non sanno riconoscere un URL contraffatto o un mittente sospetto, la vostra rete è già compromessa, dovete solo aspettare che qualcuno decida di approfittarne.

La gestione delle patch come fastidio invece che come priorità

"Non aggiorno Windows perché poi il programma della produzione non funziona bene." Quante volte ho sentito questa frase. Rimandare gli aggiornamenti di sicurezza è come lasciare la chiave nella toppa della porta di casa perché la serratura nuova è un po' dura da girare. La maggior parte degli attacchi su larga scala sfrutta vulnerabilità note per le quali esiste una patch da mesi, se non da anni.

Prendiamo l'esempio di una vulnerabilità critica scoperta in un servizio VPN molto usato. Le aziende che hanno aggiornato entro 48 ore sono rimaste sicure. Quelle che hanno aspettato "per non interrompere il lavoro" sono state scansionate da bot automatizzati e colpite nel giro di una settimana. La manutenzione non è un costo opzionale o un'attività da fare quando si ha tempo. Deve essere un processo automatizzato e monitorato. Se un software è troppo vecchio per essere aggiornato, quel software è un rischio inaccettabile per il business e va isolato o sostituito, punto. Non ci sono scuse che tengano quando si parla di continuità operativa.

Confondere la conformità legale con la protezione effettiva

C'è un malinteso pericoloso in Italia riguardo al GDPR. Molti titolari d'azienda pensano che siccome hanno pagato un consulente per redigere l'informativa privacy e il registro dei trattamenti, allora sono protetti dagli attacchi informatici. La conformità è un pezzo di carta; la difesa è un processo tecnico. Il Garante della Privacy non viene a controllare se il vostro firewall è configurato bene, ma se subite un furto di dati e non avevate misure adeguate, le sanzioni si sommeranno al danno economico del blocco aziendale.

Da non perdere: hp omnibook ultra flip

Ho visto aziende con faldoni perfetti di documentazione legale che non avevano nemmeno l'autenticazione a due fattori attivata sulle mail aziendali. Questo è un paradosso costoso. La carta vi tutela legalmente (e nemmeno del tutto se siete stati negligenti), ma non impedisce a un estraneo di scaricare il vostro database clienti e venderlo alla concorrenza. Dovete smettere di guardare alla sicurezza come a un obbligo burocratico da sbrigare con il minor sforzo possibile e iniziare a vederla come una componente della qualità del vostro prodotto o servizio.

Evoluzione del rischio informatico prima e dopo l'adozione di un approccio consapevole

Per capire meglio la differenza tra chi brancola nel buio e chi ha il controllo, guardiamo come cambia la gestione di un incidente comune.

In uno scenario tipico di cattiva gestione, un dipendente clicca su un link malevolo. Il virus si diffonde lateralmente nella rete perché non ci sono barriere interne. Dopo tre giorni, il server smette di funzionare. L'IT cerca di capire cosa sia successo perdendo ore preziose. Provano a ripristinare il backup, ma scoprono che i file di log sono stati cancellati. Chiamano un'azienda esterna che chiede tariffe d'urgenza da 200 euro l'ora. L'azienda resta ferma per due settimane, i dipendenti non possono lavorare ma vanno pagati, i clienti si lamentano e alcuni disdicono gli ordini. Alla fine, si decide di formattare tutto e ricominciare da zero, perdendo mesi di dati storici.

In un'azienda che applica una difesa strutturata, lo scenario cambia radicalmente. Il dipendente clicca sul link, ma l'endpoint protection (un software di difesa avanzato, non il vecchio antivirus gratuito) rileva un comportamento anomalo e isola il computer dalla rete in pochi secondi. L'amministratore di sistema riceve un avviso immediato. Poiché la rete è segmentata, il virus non può spostarsi dal PC dell'ufficio marketing al server della contabilità. L'amministratore formatta il singolo PC infetto, ripristina il profilo dell'utente dal cloud e in due ore il dipendente è di nuovo operativo. Il resto dell'azienda non si è nemmeno accorto che c'era un problema. Il costo dell'incidente è pari a due ore di lavoro di un tecnico interno e zero perdite di dati o di fatturato. La differenza tra i due scenari non è la fortuna, ma la preparazione metodica effettuata nei mesi precedenti.

Il controllo della realtà

Smettiamola di raccontarci favole: la sicurezza informatica totale non esiste. Se un gruppo di hacker finanziato da uno stato vuole entrare nei vostri sistemi, probabilmente ci riuscirà. Ma la buona notizia è che voi non siete l'obiettivo di quegli attacchi. Voi siete potenziali vittime di attacchi opportunistici di massa. Gli attaccanti cercano bersagli facili, porte aperte, sistemi non aggiornati e persone impreparate.

👉 Vedi anche: questa storia

Sperare di non essere colpiti non è una strategia. Buttare soldi in software costosi senza cambiare i processi interni è uno spreco di risorse che farebbe meglio a restare in banca. Per avere successo dovete accettare tre verità scomode:

  1. Dovete spendere soldi regolarmente per la manutenzione e l'aggiornamento, non solo quando qualcosa si rompe.
  2. Dovete accettare dei piccoli disagi operativi, come l'autenticazione a due fattori (quella che vi manda il codice sul telefono), perché la comodità è la migliore amica di chi vuole rubarvi i dati.
  3. Dovete smettere di delegare la responsabilità totale a "quello dei computer". La protezione dell'azienda è una decisione strategica che parte dalla direzione.

Se non siete disposti a dedicare tempo a capire come fluiscono i vostri dati e chi ha le chiavi per accedervi, state solo aspettando il vostro turno per finire in un report di incidenti informatici. Non serve essere esperti di codice, serve essere esperti del proprio rischio. Non è un percorso che finisce con l'acquisto di una licenza annuale; è un modo di lavorare che deve diventare parte del DNA della vostra impresa. Chi vi vende una soluzione definitiva e "senza pensieri" vi sta mentendo o non sa di cosa parla. La sicurezza è una fatica costante, ma è l'unica cosa che vi garantisce che lunedì mattina, alle 08:30, la vostra azienda sia ancora lì a produrre valore invece di contare i danni.

VM

Valentina Moretti

Tra analisi e reportage, Valentina Moretti racconta i fatti con precisione, contesto e un linguaggio vicino alle persone.

Articoli correlati

Il mito dell'indipendenza tecnologica e il vero ruolo di Samsung nell'economia globale

Il mito dell'indipendenza tecnologica e il vero ruolo di Samsung nell'economia globale
Il Governo Italiano Approva il Piano Stol It per Rinnovare le Infrastrutture Digitali della Pubblica Amministrazione

Il Governo Italiano Approva il Piano Stol It per Rinnovare le Infrastrutture Digitali della Pubblica Amministrazione
L'illusione del benessere leggero e la verità su Fitbit Air

L'illusione del benessere leggero e la verità su Fitbit Air
La Grande Illusione del Microchip e il Vero Prezzo della Sovranità Digitale

La Grande Illusione del Microchip e il Vero Prezzo della Sovranità Digitale