Mentre le aziende italiane si affannano per ottenere una copertura assicurativa informatica, Stefano Pompeo, sottoscrittore specialista del rischio informatico di QBE Italia, principale fornitore di coperture assicurative in Italia, offre i suoi più importanti consigli su come le aziende possono migliorare il loro profilo di sicurezza.
Ci sono cinque aree chiave su cui concentrarsi:
1. Sicurezza IT generale
- Sei sicuro che tutti i tuoi sistemi siano sempre al passo con gli ultimi aggiornamenti di sicurezza? Questo non significa semplicemente fare affidamento sull’aggiornamento dell’antivirus, ma è importante comprendere il processo di gestione delle vulnerabilità e degli aggiornamenti del software, anche se il servizio è fornito da un provider IT esterno.
- Hai attivato l’autenticazione a più fattori (Multifactor authentication, MFA) su tutte le connessioni remote e gli account degli amministratori? Questo tipo di autenticazione richiede che l’utente abbia due “chiavi” per accedere al sistema. Generalmente viene utilizzato il principio “qualcosa che si sa e qualcosa che si ha”.Questo fa sì che se una di esse viene compromessa (ad esempio, se la password viene indovinata), è necessario un secondo passaggio (ad esempio, un codice inviato a un telefono cellulare o a un indirizzo e-mail, o il riconoscimento biometrico) per poter effettuare l’accesso.
- Ti assicuri che le tue aziende o i tuoi dipendenti non utilizzino sistemi non supportati e, laddove questi siano inevitabili, sei certo che siano isolati da Internet e dal resto della tua rete?
- Conosci la differenza tra la scansione delle vulnerabilità e il test di penetrazione e quanto spesso esegui l’uno o l’altro controllo? In parole semplici, il test di vulnerabilità scansiona e valuta i tuoi sistemi IT alla ricerca di punti deboli, mentre il test di penetrazione consiste in un attacco informatico simulato contro questi punti deboli, per vedere quanto potrebbe essere grave la situazione.
2. Dipendenti
- I tuoi dipendenti possono essere l’anello debole quando si tratta di sicurezza informatica ed è molto importante avere un programma di formazione che ricordi loro i rischi, come individuare le attività sospette e cosa fare, ma soprattutto cosa non fare.
- Sono consigliate anche sporadiche simulazioni di phishing per evidenziare i team e i dipartimenti che devono dedicare più tempo alla formazione sui rischi.
3. Continuità aziendale
La continuità aziendale dovrebbe essere un obiettivo chiave per tutte le aziende, con processi e priorità chiaramente definiti per aiutare a proteggere i dati, la reputazione, i ricavi e, infine, il ripristino. Alcune domande chiave da considerare sono:
- Esegui regolarmente dei backup offline dei dati critici?
- Separi l’IT (la tecnologia front-end della tua azienda) dall’OT (la tecnologia back-end, come i macchinari) utilizzando, ad esempio, firewall o air gap?
- Isoli le diverse sedi?
- Disponi di un piano di continuità aziendale e/o di ripristino di emergenza in caso di interruzione della rete? Ti sei esercitato nell’applicazione di questi piani?
4. Dati personali
- Quanto sei attento ai dati che possiedi? I dati sensibili sono adeguatamente protetti con misure di crittografia appropriate? Conservi solo i dati di cui hai bisogno ed elimini correttamente i dati non essenziali?
- Limiti il numero di dipendenti che hanno accesso ai dati sensibili?
5. Normative
- La tua azienda è tenuta a rispettare gli standard PCI-DSS? Le aziende che detengono, utilizzano o trasmettono i dati dei titolari di carte di credito devono possedere questa credenziale.
Le compagnie che forniscono assicurazioni informatiche terranno in considerazione i fattori descritti sopra per decidere se offrire la copertura e con quale premio; tuttavia, anche se la tua azienda non è attualmente alla ricerca di una copertura informatica, adottare queste precauzioni di sicurezza è una decisione sensata per gli affari.
Stefano Pompeo
Senior Underwriter
Il tuo contatto
Stefano Pompeo
Senior Underwriter
Il tuo contatto
Stefano Pompeo
Senior Underwriter