Le PMI stanno affrontando sfide di cyber security sempre più complesse, rendendo indispensabile l’adozione di strategie avanzate.
Opportunità uniche acquisto in asta
ribassi fino al 70%
La recente guida di Cloud Security Alliance (CSA), dal titolo “Zero Trust Guidance for Small – Medium-Sized Businesses – SMSBs”, offre preziose indicazioni per le PMI che desiderano adottare un’architettura Zero Trust.
Scopriamo come questa transizione può diventare un vantaggio competitivo prezioso per le aziende.
Introduzione
La cyber security rende cruciale l’adozione, da parte delle piccole e medie imprese, di una strategia Zero Trust per la protezione di risorse e di dati, basata su principi quali: il privilegio minimo e il motto “non fidarsi mai, verificare sempre” – offre un quadro di sicurezza solido.
Perché le PMI dovrebbero preoccuparsi dalla cyber security
Le PMI, che generano circa il 40% del fatturato globale, si trovano spesso in difficoltà nell’implementare efficaci misure di cyber security. Ciò è dovuto a diversi fattori, quali:
- Scarsa consapevolezza del rischio: le PMI faticano a valutare la propria esposizione alle minacce informatiche.
- Risorse limitate: la sicurezza informatica spesso non è una priorità rispetto ad altre esigenze aziendali.
- Difficoltà nel formare e nel trattenere personale qualificato: trovare esperti di sicurezza informatica è costoso e competitivo.
- Necessità di adattarsi rapidamente alle nuove minacce: il panorama delle minacce informatiche è in continua evoluzione, e le PMI faticano a tenere il passo”.
Inoltre, le PMI credono erroneamente di non essere bersagli attraenti per i criminali informatici, pensando che questi ultimi si concentrino esclusivamente sulle grandi aziende.
Sconto crediti fiscali
Finanziamenti e contributi
Al contrario, i criminali informatici spesso vedono nelle PMI un canale per espandere la portata dei loro attacchi, con conseguenze disastrose in termini di danni finanziari e di reputazione, oltre a causare perdite di proprietà intellettuale, a impattare sulla fiducia dei clienti, a rendere difficoltoso sottoscrivere assicurazioni o accedere a finanziamenti a condizioni favorevoli.
Tali fattori sottolineano l’importanza cruciale di adottare misure di cyber security robuste per proteggersi efficacemente dalle minacce, indipendentemente dalle dimensioni dell’azienda.
Di seguito le principali tipologie d’attacchi che colpiscono le PMI:
- Ransomware: crittografia dei dati e richiesta di pagamento per la decrittazione.
- Violazione dei dati (nota anche come esfiltrazione): accesso non autorizzato e furto di informazioni sensibili come i dati dei clienti o finanziari.
- Perdita di proprietà intellettuale (IP): furto di dati, progetti o segreti commerciali proprietari, paralizzando potenzialmente il vantaggio competitivo di un’azienda.
- Furto di identità: uso improprio delle credenziali per accedere ai sistemi o rubare informazioni.
- Perdita finanziaria: bonifici bancari fraudolenti o furti, come incidenti che coinvolgono truffe BEC (Business Email Compromise).
- Interruzioni operative: interruzioni che impediscono la fornitura di servizi ai clienti
- Reati finanziari: sfruttamento di sistemi compromessi per frode o riciclaggio di denaro.
- Errore umano e le sue conseguenze: gli attacchi informatici si verificano circa ogni 39 secondi, nella maggior parte dei casi, dovuti ad errore umano.
PMI e cyber security
Le PMI, spesso, si avvalgono di fornitori di servizi IT gestiti (Managed Services Provider – MSP) e di risorse di sicurezza esterne quali i fornitori di servizi di sicurezza gestiti (Management Security Service Provider – MSSP) e consulenti informatici esterni, per soddisfare le loro necessità in ambito di cyber security.
Tuttavia, è essenziale che le responsabilità relative alla sicurezza e alla risposta agli incidenti siano chiaramente definite e coordinate tra le PMI e i loro fornitori, in modo da instaurare una collaborazione stretta – ciò vale particolarmente per le PMI che operano in settori sensibili – assicurando che le risposte agli incidenti siano efficaci e tempestive.
CSA – “Zero Trust Guidance for Small – Medium-Sized Businesses – SMSBs”
La guida di Cloud Security Alliance (CSA) dal titolo CSA report Zero Trust Guidance for Small and Medium Sized Business (SMSBs), recentemente pubblicata, esplora come le PMI possano implementare un’architettura Zero Trust, considerando le loro limitazioni in termini di budget, di risorse e di competenze, oltre ad analizzare componenti essenziali come la verifica dell’identità, la sicurezza degli endpoint, la segmentazione della rete e il monitoraggio continuo per prevenire accessi non autorizzati. Vediamo di che si tratta.
Da dove partire – La guida di CSA consiglia alle PMI di avviare l’implementazione di una strategia Zero Trust partendo da misure di sicurezza di base. Tale consiglio si basa sul fatto che molte PMI: dimostrano una limitata consapevolezza delle minacce reali che possono colpire la loro organizzazione; tendono a sottostimare l’importanza di investire in misure di cybersicurezza; spesso non dispongono né delle competenze tecniche necessarie né di finanziamenti sufficienti per affrontare adeguatamente le sfide della sicurezza informatica. Di seguito le misure da considerare:
Distribuzione del software di protezione degli endpoint – È essenziale che tutti i sistemi client e server utilizzino un antivirus aggiornato o strumenti di rilevamento e risposta degli endpoint (EDR – Endpoint Detection & Response). Tali strumenti devono includere funzionalità di aggiornamento automatico per rendere la manutenzione più semplice e garantire che la protezione resti sempre efficace e attuale.
Contabilità
Buste paga
Applicazione regolare delle patch – Le PMI dovrebbero attivare gli aggiornamenti automatici per i loro sistemi operativi e le applicazioni software. Inoltre, è fondamentale stabilire processi regolari per l’installazione di aggiornamenti e patch critici. Di fatto, è essenziale aggiornare sia i sistemi sia le applicazioni software alle versioni supportate per ridurre i rischi di sicurezza e garantire la protezione dell’infrastruttura IT.
Formazione sulla consapevolezza della sicurezza – Il fattore umano rappresenta una delle principali vulnerabilità nella cyber security. Per questo motivo, è essenziale offrire una formazione continua, al fine di promuovere una cultura aziendale consapevole e attenta ai rischi informatici.
Backup regolari dei dati e sistemi critici – È importante eseguire backup regolari e garantire che siano protetti contro le minacce ransomware. Inoltre, è fondamentale testare periodicamente il processo di ripristino dei backup per assicurarsi che funzionino correttamente in caso di necessità.
Limitazione dell’accesso e protezione dei dati sensibili – L’accesso ai dati sensibili deve essere gestito in modo proattivo, assicurando che siano crittografati quando non sono in uso (i.e. a riposo). Inoltre, è importante concedere l’accesso a questi dati solo quando strettamente necessario, adottando il principio del minimo privilegio per proteggere le informazioni sensibili.
Implementazione di politiche di password complesse – Le PMI dovrebbero implementare politiche che richiedano l’utilizzo di password complesse per migliorare la sicurezza degli accessi. Inoltre, è consigliabile considerare l’adozione di soluzioni senza password (password-less), che offrono un livello di sicurezza ancora maggiore, riducendo il rischio associato alle password tradizionali.
Utilizzo dell’autenticazione a più fattori (MFA – Multi Factor Authentication) – L’autenticazione a più fattori (MFA) è un controllo efficace per proteggere gli account e per ridurre il rischio di accessi non autorizzati, oltre rappresentare un elemento fondamentale dell’architettura Zero Trust per PMI e dovrebbe essere implementata ovunque si acceda a sistemi aziendali critici o dati sensibili. È sconsigliato utilizzare l’MFA basata su SMS a causa della sua vulnerabilità ed è invece preferibile adottare soluzioni MFA resistenti al phishing per garantire una protezione più robusta.
Protezione dell’accesso da remoto – Le PMI dovrebbero adottare soluzioni VPN (Virtual Private Network) per garantire un accesso sicuro alle risorse locali quando si lavora da remoto. Tuttavia, è importante considerare le VPN come una soluzione temporanea. Di fatto, a lungo termine, è consigliabile sostituirle con soluzioni di accesso remoto che si basano sui principi Zero Trust, quali le soluzioni ZTNA (Zero Trust Network Access) che consentono l’accesso solo alle risorse specificamente richieste, evitando di accedere all’intera rete interna e migliorando così la sicurezza complessiva.
Mutuo 100% per acquisto in asta
assistenza e consulenza per acquisto immobili in asta
Il percorso di adozione dello Zero Trust
Lo Zero Trust è un approccio alla sicurezza delle informazioni (InfoSec) che, sebbene talvolta percepito come complesso, si rivela essere – in realtà -semplice e altamente efficace.
È doveroso ricordare che la filosofia Zero Trust si basa sui principi di: “mai fidarsi, verificare sempre”, privilegio minimo e segmentazione, offrendo strumenti preziosi per: migliorare la sicurezza; aumentare la resilienza; facilitare la trasformazione digitale delle organizzazioni.
L’approccio è obbligatorio per tutte le agenzie federali degli Stati Uniti, come stabilito da un ordine esecutivo, e si sta diffondendo anche a livello globale tramite iniziative come il Digital Operational Resilience Act (DORA) e la direttiva NIS2 nell’UE. In effetti, la strategia Zero Trust mira a migliorare l’igiene informatica, ridurre i costi e i danni degli incidenti, oltre a garantire tempi di ripristino più rapidi.
Pertanto, le PMI, adottando un approccio proattivo con Zero Trust, possono migliorare il loro livello di sicurezza e minimizzare i rischi potenziali associati all’evoluzione delle minacce informatiche.
Processo di implementazione Zero Trust in cinque fasi
Di seguito in dettaglio come implementare la strategia Zero trust in cinque passaggi.
Fonte immagine: CSA – “Zero Trust Guidance for Small – Medium-Sized Businesses – SMSBs”.
Fase 1 — Inventario e valutazione dei beni – Le PMI devono focalizzarsi sulla protezione dei dati, delle applicazioni, delle risorse e dei servizi critici (i.e. DAAS – Data, Applications, Assets, and Services) che risultano essere essenziali per le loro operazioni e, al contempo, vulnerabili alle minacce informatiche. Ciò richiede una definizione accurata delle superfici o delle risorse da proteggere.
Dilazioni debiti fiscali
Assistenza fiscale
Pertanto, il processo inizia con l’inventario e la classificazione delle risorse tecnologiche, identificando in primo luogo i sistemi e i servizi aziendali critici che devono essere elencati e classificati in base alla loro importanza per l’organizzazione e alla loro attuale maturità di sicurezza. Successivamente, è cruciale identificare gli elementi DAAS che compongono ciascun sistema aziendale.
Le PMI, attraverso questo approccio strutturato, possono stabilire delle priorità nella protezione delle loro risorse più vitali, assicurandosi che siano adeguatamente protette dalle minacce, permettendo così la continuità operativa senza interruzioni.
Inoltre, le PMI – considerando le limitate risorse a disposizione – dovrebbero inizialmente concentrarsi sugli asset che soddisfano criteri di criticità, di riservatezza e di vulnerabilità e che includono sistemi essenziali per le operazioni quotidiane, archivi di dati sensibili e sistemi con problemi di sicurezza noti.
Ancora, una strategia efficace per le PMI è raggruppare gli elementi DAAS correlati, trattandoli come un’unica superficie di protezione e, successivamente, valutare i potenziali rischi e l’impatto e stabilire le priorità per le superfici da proteggere.
Pertanto, i team IT delle PMI dovrebbero implementare questo processo in modo iterativo, partendo da una superficie pilota e ampliandolo gradualmente in base alle risorse disponibili.
Fase 2 – Comprensione della tecnologia utilizzata per il business – La fase di mappatura delle dipendenze e delle interazioni tra sistemi, dati e risorse è essenziale per le PMI che mirano a implementare un’architettura Zero Trust.
Di fatto, tale processo permette di acquisire una comprensione approfondita delle dipendenze tecnologiche e dei processi aziendali chiave.
Prestito personale
Delibera veloce
Inoltre, le PMI, identificando come i sistemi, i dati e le risorse interagiscono tra loro, possono garantire una protezione più mirata ed efficace, migliorando la resilienza della loro infrastruttura informatica, oltre a facilitare una gestione più precisa delle minacce. Di seguito un riassunto del processo:
- Mappatura delle superfici di protezione – Le PMI devono iniziare con l’elenco delle superfici di protezione identificate, concentrandosi su DAAS critici per le operazioni aziendali. Si tratta di selezionare un sistema aziendale critico per l’analisi, ad esempio, una piattaforma di web hosting o un software CAD – e dedicare tempo alla comprensione delle interazioni per definire efficacemente i controlli Zero Trust.
- Collaborazione con stakeholder – Si tratta di coinvolgere altri stakeholder aziendali per convalidare le superfici di protezione e assicurarsi che tutti gli elementi critici siano considerati in modo da allineare gli sforzi di cybersecurity con le esigenze aziendali.
- Identificazione degli utenti – È necessario identificare tutti gli utenti che interagiscono con la superficie protetta, inclusi dipendenti, clienti, partner e fornitori, oltre ad utilizzare sistemi di gestione delle identità e database per raccogliere informazioni pertinenti.
- Analisi delle dipendenze e delle interazioni – Si tratta di esaminare i sistemi interconnessi e le dipendenze, utilizzando diagrammi di rete e strumenti di scansione per visualizzare i flussi di dati e identificare i punti di ingresso e uscita.
- Mappatura dei flussi di transazione – È necessario creare una rappresentazione visiva dei flussi di transazione per migliorarne la comprensione e rivedere questi flussi con le parti interessate per garantirne la chiarezza e l’accuratezza.
- Valutazione e perfezionamento – Si tratta di utilizzare la mappatura per valutare il rischio e la maturità della sicurezza di ogni superficie protetta, considerando i requisiti normativi e la propensione al rischio, oltre a adattare e migliorare le definizioni delle superfici di protezione in base all’evoluzione delle minacce.
Fase 3- Progettazione dell’architettura Zero Trust – Le PMI, in questa fase, iniziano a formalizzare la progettazione dell’architettura Zero Trust, oltre ad integrare gli elementi precedentemente identificati con il contesto aziendale e le misure di sicurezza di base.
Inoltre, per garantire il successo del progetto, è cruciale avere il commitment del top management e una politica di sicurezza che sia allineata con gli obiettivi dell’organizzazione. Infatti, quando gli obiettivi di sicurezza sono allineati con quelli aziendali, diventa più semplice ottenere il supporto necessario per investire nella strategia Zero Trust.
È fondamentale, altresì, che l’ambito del progetto consideri il contesto di ogni funzione aziendale, quali le risorse umane, le vendite, il marketing, il servizio clienti, la finanza e il settore legale.
Inoltre, è importante includere le terze parti – quali appaltatori e consulenti – che hanno accesso a dati e a sistemi sensibili. Tale approccio completo garantisce che tutte le componenti dell’organizzazione, sia interne sia esterne, siano considerate nella progettazione della sicurezza.
L’obiettivo delle PMI è progettare la propria architettura Zero Trust basandosi su ambiti e obiettivi definiti, selezionando tecnologie e fornitori appropriati per implementare i principi Zero Trust.
Inoltre, le PMI devono documentare i criteri, le regole e i flussi di lavoro che regolano le interazioni degli utenti, dei dispositivi e delle applicazioni. Ancora, si consiglia di evitare spese eccessive iniziali, sfruttando, invece, gli investimenti tecnologici esistenti.
Assistenza per i sovraindebitati
Saldo e stralcio
Gli MSP possono supportare le PMI nella progettazione della loro architettura Zero Trust attraverso strumenti e metodologie quali: diagrammi di architettura, casi d’uso, storie utente e casi di test. Tali risorse aiutano, di fatto, a visualizzare e a pianificare l’implementazione di Zero Trust in modo strutturato.
Inoltre, la pubblicazione del modello di maturità Zero Trust della Critical & Infrastructure Security Agency (CISA) degli Stati Uniti può fornire un’ulteriore guida e struttura, aiutando le PMI sia a valutare sia a migliorare il proprio livello di maturità rispetto ai principi Zero Trust, oltre a facilitare l’adozione di pratiche di sicurezza più avanzate e integrate.
Inoltre, la US NIST Special Publication 1800-3515 – pur essendo principalmente rivolta alle grandi imprese – offre anche una guida completa sulle varie tecnologie e architetture disponibili, fornendo un quadro dettagliato che aiuta le PMI a comprendere come strutturare e implementare una strategia Zero Trust efficace ed efficiente, oltre a permette di sfruttare al massimo le risorse e gli investimenti tecnologici esistenti.
Fase 4 – Implementazione dell’architettura Zero Trust – In questa fase, le PMI devono concentrarsi sulla creazione di policy granulari che regolino l’accesso alle risorse all’interno delle superfici protette.
L’obiettivo è di sviluppare delle policy di sicurezza Zero Trust che garantiscano che solo le persone o le risorse appropriate abbiano accesso a specifici dati e servizi, sia in ambienti on-premise sia sui cloud pubblici o privati.
È consigliabile che le PMI inizino il percorso verso un’architettura Zero Trust in modo graduale, concentrandosi, all’inizio, su obiettivi rapidi e gestibili per ridurre la complessità del progetto. Tale approccio permette di adattare l’ambito alle necessità specifiche, tenendo conto dei costi e della complessità, oltre a sfruttare al massimo gli investimenti tecnologici già esistenti.
Inoltre, nel definire le priorità in termini di attuazione dell’architettura Zero Trust, è essenziale utilizzare i dati raccolti in precedenza – i.e. l’identificazione degli asset critici e la mappatura dei flussi di transazione – consente di prendere decisioni informate su cosa proteggere, quando e in base a: costi, riduzione del rischio attesa, impatto sull’organizzazione e tolleranza alle minacce. Ciò aiuta a visualizzare i vantaggi concreti e a costruire business case solidi e chiari, garantendo un supporto organizzativo costante.
Trasforma il tuo sogno in realtà
partecipa alle aste immobiliari.
Fase 5 – Monitoraggio e manutenzione dell’ambiente – Le PMI, per migliorare l’architettura Zero Trust, devono periodicamente raccogliere ed esaminare i dati e i feedback relativi ai componenti e alle funzionalità dell’architettura Zero Trust, oltre a rivedere e aggiornare le policy, le regole e i flussi di lavoro associati.
È doveroso ricordare che sul mercato sono disponibili strumenti e metodi economici – quali l’analisi dei dati, i sondaggi di feedback e le revisioni delle prestazioni – che possono essere utili per monitorare e migliorare l’architettura Zero Trust.
Appendice – Si segnala che l’appendice della guida di CSA fornisce risorse utili, tra cui: un glossario interattivo, articoli, guide e pubblicazioni riguardanti lo Zero Trust. Inoltre, è presente una sezione specificamente dedicata alle PMI e agli incidenti di cybersecurity.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
