PMI lontane da una sicurezza IT reale

Per Kaspersky Lab oltre due terzi delle PMI afferma di poter proteggere i propri dati, ma circa la metà ha già subito una violazione

Interrogatasi sul rapporto tra PMI e protezione dei dati, Kaspersky Lab si è chiesta se le aziende stiano davvero proteggendo i dati e la continuità del loro lavoro dalle cyberminacce in continua evoluzione.

Grazie al report diffuso dall’azienda, dal titolo “From data boom to data doom: the risks and rewards of protecting personal data” è emerso che quasi la metà (42%) delle PMI coinvolte dallo studio ha subito almeno una violazione di dati, anche se la maggioranza (72%) era sicura di essere protetta in modo affidabile da questo tipo di incidenti.

In effetti, quando si parla di sicurezza IT, una delle principali preoccupazioni, per il 40% delle aziende, è relativa alla “business continuity” e alla possibile perdita di accesso ai servizi interni e rivolti al cliente.

Dati a serio rischio di compromissione
Oltre all’accesso ai servizi, un’altra parte importante del processo di vendita e pianificazione è rappresentata dai dati, compresi quelli relativi alle analisi e alle informazioni sui clienti. Secondo lo studio condotto da Kaspersky Lab, la maggior parte delle aziende (94%) archivia report finanziari e dati personali dei clienti – come numeri di conto corrente (80%) e dati di carte di credito (78%) – sui dispositivi dei dipendenti, nei server interni o su cloud pubblici.

In ogni caso, questa abbondanza di dati comporta anche un aumento del rischio di compromissione. Sembra che le aziende siano preparate a questa eventualità – il 72% delle piccole e medie imprese coinvolte dallo studio di Kaspersky Lab è convinto del fatto di essere equipaggiato bene o nel miglior modo possibile in fatto di protezione dei dati – ma questa sensazione di sicurezza sembra essere non realistica. Negli ultimi mesi, il 42% delle PMI sentite ha subito almeno un incidente che ha inciso sulla sicurezza dei dati; oltre un quarto delle aziende (27%), invece, ha riscontrato da due a cinque violazioni. In oltre il 40% dei casi segnalati, sono stati proprio i dati personali dei clienti, memorizzati all’interno dei sistemi dell’organizzazione, a subire il danno maggiore in seguito a questo tipo di incidenti.

Le regole perché la sicurezza IT diventi fattore di successo
Per impedire alle organizzazioni in crescita di cadere vittima di violazioni o di attacchi pianificati, la sicurezza IT deve diventare un fattore cruciale di successo, tanto quanto lo sono le considerazioni finanziarie, legali e personali.

Da qui un mini elenco di regole a cura di Kaspersky Lab affinché le aziende possano mettere al sicuro i dati e le applicazioni disponibili e i dipendenti possano concentrarsi sulle proprie mansioni specifiche:

  • È fondamentale che ci sia un responsabile dell’infrastruttura IT e della sicurezza dei dati. Può trattarsi di un dipendente del reparto IT o di un partner esterno.
  •      L’infezione da malware è l’incidente di sicurezza IT più frequente (per il 51% delle aziende sentite); è importante quindi mitigarne i rischi educando i propri dipendenti. Bisogna spiegare che non si devono aprire email da mittenti sconosciuti, scaricare programmi da fonti non autorizzate o utilizzare supporti USB non controllati quando si lavora con dati sensibili.
  • La perdita dei dispositivi o di supporti per lo storage (45%) è il secondo tipo di incidente più comune, quindi è essenziale utilizzare la crittografia per garantire che i dati critici non vadano persi quando un dispositivo scompare o si perde.
  • Bisogna sempre controllare e installare regolarmente gli aggiornamenti e le patch del software su tutti i dispositivi.
  • Se i dipendenti utilizzano storage e strumenti basati su cloud, inclusi i database, è importante assicurarsi che si tratti di servizi affidabili. È meglio limitare l’uso a pochi vendor autorizzati.
  • Bisogna tenere bene a mente che la responsabilità per la sicurezza dei dati aziendali è sempre a carico dell’organizzazione, anche se questi stessi dati sono archiviati in un cloud pubblico o tramite un’applicazione basata su cloud. I vendor possono garantire la sicurezza dell’intero ambiente cloud, ma potrebbero non essere in grado di garantire la sicurezza dei dati stessi.
  •        Per proteggere i dati critici, è fondamentale utilizzare soluzioni specificamente sviluppate per le PMI. Kaspersky Endpoint Security for Business, ad esempio, integra la crittografia dei dati, il controllo delle applicazioni e la gestione di vulnerabilità e patch. Kaspersky Endpoint Security Cloud, invece, include varie funzioni per la protezione dei dati sui dispositivi, anche se questi vengono persi o rubati, con una protezione tramite password e funzionalità antifurto che possono bloccare, localizzare o cancellare il contenuto dal dispositivo stesso.