I criminali informatici ormai non minacciano più solo i grandi gruppi. Più di un terzo delle PMI svizzere è già stato vittima di attacchi informatici almeno una volta. Anche il settore del traffico dei pagamenti rappresenta spesso un bersaglio. Tuttavia, proteggersi è possibile, con la tecnologia, ma anche informando e sensibilizzando i collaboratori.
1. Definire misure di protezione tecnologiche
Per far sì che gli aggressori non possano in alcun modo accedere alle informazioni rilevanti occorre proteggere i sistemi con strumenti tecnologici. Tra questi rientra ad esempio l'installazione di programmi antivirus efficaci su tutti i dispositivi, come firewall, anche per l'intera rete aziendale. Tutti i programmi software devono essere mantenuti aggiornati per poter colmare rapidamente eventuali lacune di sicurezza. Per lo scambio dei dati nel traffico dei pagamenti sono necessari standard di comunicazione sicuri, come EBICS. Le PMI dovrebbero inoltre assicurarsi di scegliere partner IT certificati in sicurezza delle informazioni.
2. Sensibilizzare i collaboratori
Anche il firewall più potente è inutile se le persone non sono vigili. Ogni imprenditore e imprenditrice ha pertanto il dovere di sensibilizzare i collaboratori e di informarli sui tipi di attacchi più diffusi (vedere sotto). Ognuno deve essere consapevole che il maggior rischio proviene dalle e-mail. I collaboratori dovrebbero ricevere una formazione particolarmente mirata su questo tema.
Qui si annidano i pericoli! Tre esempi dei tipi di attacchi più diffusi
Ransomware o divulgazione di dati
Frode del CEO
Frode della manipolazione della fattura
3. Utilizzare password sicure
Le password sicure proteggono i dati e i programmi da accessi indesiderati e dalla manipolazione. Per sicuro si intende: una combinazione di lettere minuscole, lettere maiuscole e caratteri speciali, almeno dodici caratteri e quanto più causali possibili, quindi nessuna data di nascita o nome. Inoltre, è importante che i collaboratori non utilizzino la stessa password per programmi o applicazioni diverse. Strumenti pratici in tal senso sono i password manager o direttive imposte dal sistema per la creazione delle password e gli intervalli di modifica. Una sicurezza in più viene offerta da una generale autentificazione a due fattori: in questo caso i collaboratori utilizzano per il login due componenti indipendenti, ad esempio una password e un codice di conferma che viene generato attraverso una app dello smartphone.
4. Utilizzare il principio del doppio controllo
Quattro occhi vedono meglio di due. Per questo nel traffico dei pagamenti le autorizzazioni dovrebbero essere rilasciate dopo un doppio controllo. Anche se un collaboratore cade nella trappola di operatori fraudolenti e autorizza un pagamento falsificato, almeno un altro sguardo critico analizza la transazione e in caso di emergenza può bloccarla.
5. Verificare regolarmente il backup
Le PMI dovrebbero controllare regolarmente se le loro misure di sicurezza sono conformi alle esigenze e se in caso di emergenze funzionerebbero ancora perfettamente. Un buon esempio è rappresentato dal backup dei dati: i backup permettono di ripristinare i dati dopo un attacco. Affinché un'azienda non si trovi improvvisamente a mani vuote, di tanto in tanto si dovrebbe verificare se il backup funziona, vale a dire se i dati si possono effettivamente salvare separatamente e reimmettere senza problemi.
Assicurazione cyber protezione per aziende
Un'assicurazione di cyber protezione è una buona integrazione alle misure preventive di protezione informatica. Oltre al ripristino dei dati e alla rimozione di programmi nocivi, essa assicura per esempio anche un'eventuale interruzione dell'attività.
Vi interessa? Raiffeisen offre in collaborazione con la Mobiliare ed Helvetia un'ampia assicurazione cyber protezione.