Le imprese non possono più ignorare la sicurezza informatica. Le violazioni alla sicurezza portano a tempi di fermo pericolosi per le aziende, a un danno per la brand reputation, all'abbandono da parte dei clienti e a perdite economiche. E con più attacchi informatici nella prima metà del 2020 rispetto a tutto il 2019, è arrivato il momento di proteggere la sicurezza del tuo sito Web.

Nonostante il rischio crescente, molte aziende accumulano ritardi quando si tratta di proteggere sé stesse, i loro siti Web e i clienti. Qui di seguito sono indicati alcuni degli errori più comuni da parte delle imprese quando si tratta di sicurezza del sito Web.

1. Scarsa consapevolezza da parte dei dipendenti sui problemi di sicurezza informatica

L'errore umano è la causa più comune di violazioni alla sicurezza informatica. Che si tratti di un clic a un link non richiesto o della mancata protezione delle password, nella maggior parte dei casi gli attacchi informatici sono scatenati dai dipendenti. Ma non deve essere così.

I dati provenienti dalla compagnia di assicurazioni specializzata in rischi cyber CFC Underwriting mostrano che il 38% delle richieste di risarcimento poteva essere evitato se fossero stati implementati validi programmi di formazione sulla sicurezza informatica per i dipendenti.

È confortante sapere che le aziende possono ridurre le violazioni aumentando la sensibilizzazione alla sicurezza e creando una solida cultura digitale all’interno della loro impresa. Ma nonostante la chiara connessione tra una scarsa sensibilizzazione alla sicurezza informatica e gli attacchi mirati, molti datori di lavoro non agiscono. Uno studio del 2019 ha rivelato che solo il 20% delle aziende britanniche negli ultimi 12 mesi ha fatto formazione per il proprio personale circa la sicurezza informatica.

Soluzione: la sicurezza della tua organizzazione è forte quanto l’anello più debole. Fare formazione sulla sicurezza informatica ai propri dipendenti è fondamentale per ridurre i problemi correlati alla sicurezza nonché uno dei modi più convenienti ed efficaci per proteggere l'organizzazione.

Una delle ragioni più comuni per non formare il personale circa la sicurezza informatica è "non sapere da dove iniziare". Quindi, da dove iniziare? Parti dalla cosa più semplice.

  • Revoca subito i diritti di accesso degli ex dipendenti per impedire che mantengano l'accesso ai sistemi e cancella tutti i dati aziendali dai loro device personali.
  • Un software obsoleto lascia spazio a reati informatici. Installa subito le patch e gli aggiornamenti software.
  • Il 94% dei malware viene inviato nelle reti tramite e-mail, quindi i link e gli allegati dannosi rappresentano un problema enorme per le organizzazioni e i filtri spam dell'e-mail non sono sufficienti per contrastarli. Risolvi in modo proattivo il problema della scarsa sicurezza delle e-mail insegnando ai dipendenti come riconoscere, evitare e contrassegnare le e-mail sospette. Un report di benchmarking sul phishing di KnowBe4 ha rilevato che un solo anno di test e formazione sul phishing ha portato a un miglioramento pari all'87%.
  • Username e password mal controllate rappresentano un'ulteriore comune minaccia alla sicurezza e il 61% delle aziende ha più di 500 account con password che non scadono mai. Fornisci indicazioni per creare credenziali di accesso solide e proteggerle in modo efficace; in alternativa, utilizza un gestore di password che crea e conserva le password in modo sicuro.
  • Consentire ai dipendenti di utilizzare i propri device al lavoro, o "Bring Your Own Device" (BYOD) aumenta la probabilità di minacce. L'accesso in base al ruolo, l'autenticazione a due fattori e password robuste per i dipendenti possono contribuire a ridurre il rischio.
  • I dati sui device persi e rubati rappresentano un'altra occasione per i reati informatici. Insegna ai dipendenti come usare le attrezzature aziendali fuori dall'ufficio e sviluppa una procedura per segnalare i device smarriti.
  • Fornisci indicazioni chiare sull'uso dei social media al lavoro. Un’impresa su cinque è stata infettata da un malware distribuito tramite i social media.
  • Accertati che i dipendenti installino sempre le patch e gli aggiornamenti software sui loro device, sono stati creati per questo motivo.
  • Sensibilizza i dipendenti sull'importanza della sicurezza informatica quando si interfacciano con software di terzi e provider IT.

L'adesione a queste semplici misure bloccherà molte minacce informatiche.

2. Mancanza di una policy aziendale sulla sicurezza informatica

Una ricerca del Dipartimento per il digitale, la cultura, i media e lo sport del Regno Unito ha riscontrato che mentre quasi tre quarti delle imprese ritengono la sicurezza una priorità, tale consapevolezza non si è tradotta in azione. Solo il 27% ha in essere policy e procedure formali per la sicurezza informatica. Senza una policy per la sicurezza informatica, sarai vulnerabile agli attacchi.

Un'efficace policy per la sicurezza informatica definisce le regole e le responsabilità quando si tratta di proteggere i sistemi IT e i dati aziendali e procede di pari passo con l'aumento della sensibilità in materia di sicurezza tra i dipendenti.

McAfee definisce una policy sulla sicurezza informatica come un documento che “Spiega le regole sul modo in cui dipendenti, consulenti, partner, membri del consiglio e altri utenti finali accedono alle applicazioni on-line e alle risorse internet, inviano dati tramite le reti e adottano comunque un modello di sicurezza responsabile”.

Le policy sulla sicurezza informatica possono inoltre migliorare l'immagine pubblica e la credibilità di un'azienda. Clienti, partner, azionisti, consulenti e dipendenti devono sapere che la tua azienda è in grado di proteggere i loro dati. Una policy aziendale sulla sicurezza informatica è un ottimo modo per dimostrare che la sicurezza viene affrontata seriamente.

Soluzione: prepara un documento che riporti chiaramente le policy di sicurezza della tua azienda, fornendo inoltre una guida chiara per i dipendenti su quello che i sistemi informatici, le reti e i device aziendali consentono di fare o meno.

Una valida policy di sicurezza definisce standard a livello aziendale per:

  • l'utilizzo dei social media
  • le limitazioni di accesso a Internet
  • i requisiti per le password (conservazione, aggiornamento e creazione)
  • l'accesso remoto
  • le firme digitali
  • la gestione dei dati sensibili
  • la comunicazione wireless
  • le misure di sicurezza per l'e-mail
  • l'utilizzo di applicazioni di terzi
  • la gestione delle minacce alla sicurezza informatica o di eventi imprevisti

Dato che la natura delle minacce alla sicurezza informatica cambia rapidamente, è importante mantenere aggiornata la policy sulla sicurezza informatica. Programma regolarmente e per tempo la revisione e lo sviluppo della policy.

3. Mancata assunzione di personale specializzato sulla sicurezza informatica

Anche se molti attacchi informatici derivano dall'errore umano, questo è solo un aspetto del problema e anche le vulnerabilità tecniche rappresentano un altro grande rischio informatico. A questo punto entra in gioco il personale specializzato sulla sicurezza informatica. Secondo un'indagine di Marlin Hawk, due terzi delle aziende hanno affermato di avere difficoltà a reperire personale specializzato sulla sicurezza e il 62% teme che nei prossimi cinque anni sarà ancora più difficile.

Se le aziende hanno la fortuna di avere uno specialista di sicurezza informatica, questa risorsa dovrà probabilmente trascorrere la maggior parte del tempo a risolvere problemi. Senza tempi e risorse adeguati, gli esperti di sicurezza informatica devono impegnarsi a sviluppare e implementare misure efficaci a lungo termine per la sicurezza di un sito Web aziendale.

Con una richiesta globale di esperti di sicurezza informatica maggiore rispetto all'offerta e un'IT messa a dura prova nell’affrontare minacce sempre più complesse, non ci sono sufficienti risorse in grado di consentire a molte aziende di difendersi in modo efficace dagli attacchi.

Soluzione: la risposta è l'automazione. Inserire l'automazione nei processi di sicurezza informatica può colmare il gap di competenze aiutando le aziende a monitorare costantemente le minacce e ad ampliare la loro protezione informatica mentre crescono, anche con risorse e personale limitati.

Alcuni tool di monitoraggio della sicurezza, come Siteimprove Web Security, sono stati ideati non solo per identificare le vulnerabilità dei siti, ma anche per suggerire le correzioni più adeguate. Alcune di queste mansioni – come il monitoraggio delle date di scadenza dei certificati dei siti Web possono essere gestite facilmente dai Website manager, lasciando tempo agli esperti di sicurezza informatica di concentrarsi sui rischi più complessi correlati alla sicurezza.

Secondo Ron Green, CSO di Mastercard, le tecnologie di automazione sono un ottimo contributo per gli esperti di sicurezza informatica. “L'apprendimento automatico e l'automazione diventeranno davvero utili per i CISO attuali e per quelli futuri”, ha affermato. “Alle aziende serve ancora l'intelligenza umana per la sicurezza, ma gli addetti nei nostri centri operativi dedicati alla sicurezza sono già sommersi dalle cose che devono monitorare e non è possibile avere più personale, semplicemente perché le risorse disponibili non sono sufficienti”.

4. Trattare la sicurezza del sito Web come un problema informatico e non come un problema aziendale

I dati del sondaggio di EY Global Board Risk mostrano che quasi la metà (48%) delle amministrazioni ritiene che gli attacchi informatici e le violazioni dei dati avranno un impatto alquanto considerevole nei prossimi 12 mesi. Percepiscono ancora in modo preponderante la sicurezza del sito Web come un semplice esercizio di conformità, solo una minima frazione - pari al 7% - la descrive come promotore di innovazione.

Le imprese che ritengono la sicurezza informatica esclusiva responsabilità dell'IT, dimenticano i vantaggi strategici relativi alla priorità della sicurezza dei siti Web. Questi vantaggi comprendono l'acquisizione della fiducia da parte dei clienti, la tutela della proprietà intellettuale e del brand. Sottovalutando la portata e la profondità della minaccia alla sicurezza informatica, queste aziende si espongono a rischi elevati.

Per questo motivo un approccio proattivo ai reati informatici è fondamentale per le aziende.

  • Il costo medio di una violazione dei dati è pari a 3,86 milioni di dollari. Oltre alle perdite finanziarie tangibili, le aziende colpite riscontrano anche un aumentato turnover dei clienti, la perdita di utili, la diminuzione del goodwill e una reputazione compromessa.
  • Per la maggior parte delle aziende, la proprietà intellettuale (IP) è l'asset più importante. L'IP comprende brevetti, modelli, segreti industriali, dati riservati e la conoscenza dei dipendenti. Proviamo a immaginare tutti questi asset preziosi in mani ignote. Solo negli Stati Uniti, i furti di IP hanno un costo per le aziende fino a 600 miliardi di dollari ogni anno.
  • La maggior parte dei consumatori (87%) afferma che si sposterà altrove se non ritiene che un'azienda gestisca i dati in modo responsabile.
  • Spese legali e di contenzioso ingenti. Ad esempio, la legislazione relativa al Regolamento generale sulla protezione dei dati (GDPR) può multare le aziende fino al 4% del fatturato annuo. Le multe relative al GDPR hanno raggiunto un totale di 63 milioni di dollari solo nel primo anno di entrata in vigore della legge.
  • Il reindirizzamento delle risorse aziendali per contrastare le violazioni alla sicurezza può portare a una riduzione dell'efficienza operativa.
  • Il tempo e le risorse devono essere dedicati all'istituzione di consigli e comitati per fare luce sulle violazioni.
  • Non va dimenticato il costo delle attività di pubbliche relazioni per ricostruire la fiducia dei consumatori, degli azionisti e del pubblico a seguito di una violazione ampiamente divulgata.

È solo un problema tecnico? No, è un problema aziendale urgente.

Qual è il fattore che più impedisce di dare priorità alla sicurezza del sito Web come problema aziendale? Una mancanza di supporto da parte del top management. Nonostante le numerose notizie sulla violazione dei dati, solo il 5% degli executive ritiene la sicurezza del sito Web una delle iniziative aziendali più importanti. Questo aspetto si ricollega ai dati britannici che mostrano come meno di un'azienda su tre abbia un membro del consiglio responsabile della sicurezza informatica.

Un sito Web sicuro rappresenta un vantaggio per le aziende

Esistono prove concrete che questo gap si sta colmando e il 29% delle aziende ora riconosce che la sicurezza Web rappresenta un argomento importante durante le riunioni. Per le organizzazioni che se ne occupano nel modo giusto, la buona salute informatica è un elemento fondamentale di differenziazione sul mercato. Infatti, secondo un'indagine di AT&T Cybersecurity il 73% delle imprese leader riconosce che una buona sicurezza informatica contribuisce al successo aziendale.

Soluzione: metti al primo posto la sicurezza del sito Web Una sicurezza molto efficiente richiede un consenso convinto da parte degli alti dirigenti. Per tradurlo in realtà, ci si può avvalere di un Chief Information Security Officer (CISO). Solo 4 aziende su 10 hanno un responsabile della sicurezza informatica che fa parte della direzione generale e questo può dare all'azienda un reale vantaggio competitivo. Incaricalo di formare i dirigenti sui rischi e sul ROI della sicurezza informatica e di chiedere il loro supporto per creare una cultura aziendale incentrata sulla sicurezza.

I consigli e gli alti dirigenti sono ritenuti sempre più spesso responsabili delle violazioni alla sicurezza che avvengono sotto i loro occhi. Il presidente e direttore generale di Equifax Richard Smith si è dimesso a seguito di un attacco nel 2017, in cui sono state esposte le informazioni sensibili di 145 milioni di clienti. Tenendo presente questo, non c'è mai stato momento migliore per chiedere subito le risorse necessarie alla protezione del sito Web.

5. Mettere in secondo piano le verifiche sulla sicurezza del sito Web

Essere proattive e non reattive è il modo migliore che le aziende hanno a disposizione per proteggersi. Le verifiche regolari sono indispensabili per aiutare le imprese a identificare le vulnerabilità sulla sicurezza, determinare il livello di rischio e intraprendere azioni preventive. Dato che le verifiche sono lunghe e costose, spesso vengono effettuate solo quando sono assolutamente necessarie.

Per le aziende in cui non sono presenti esperti della sicurezza, le verifiche possono essere particolarmente impegnative. La verifica manuale comporta una competenza tecnica che molti Web manager non hanno.

Il risultato? Nel migliore dei casi, uno spreco di risorse economiche dato che le imprese perseguono una strategia di sicurezza basata su ipotesi anziché contrastare le vulnerabilità in base ai dati e dare priorità alle minacce. Nel peggiore dei casi, un sito Web colmo di lacune e vulnerabilità.

Soluzione: investi in un tool che effettua scansioni automatiche delle principali vulnerabilità del sito Web. I controlli isolati non sono sufficienti e naturalmente non si può far finta di niente. La sicurezza è per sua natura dinamica, questo significa che la scansione continua del sito per rilevare le potenziali minacce è un imperativo assoluto.

Esistono alcuni modi per rendere più semplice il controllo della sicurezza del sito Web.

  • Fai gestire alla tecnologia le verifiche con controlli di sicurezza regolari e automatici.
  • La combinazione di verifiche di sicurezza automatizzate e di controlli manuali è il modo più efficace per analizzare lo stato di sicurezza di un sito. I tool come Siteimprove Web Security agiscono come piattaforma collaborativa attraverso cui i team IT e Web possono gestire le minacce alla sicurezza a livello centrale.

6. Le dimensioni non contano

Nintendo. Yahoo! Zoom. Cosa hanno in comune? Sono grandi aziende che hanno subito sconcertanti violazioni pubbliche alla sicurezza. Dato che i media si concentrano quasi esclusivamente sui nomi importanti, molte piccole e medie imprese indugiano nell'errata convinzione che gli attacchi informatici non le riguardino. La difficoltà ad avere specialisti della sicurezza in-house e a tempo pieno, dovuta alle forze di mercato, rende queste aziende facili prede dei criminali informatici. Infatti, quasi la metà degli attacchi informatici colpisce le piccole imprese.

Uno studio di ricerca del 2020 fa emergere in modo ancora più preoccupante che il 43% delle piccole imprese negli Stati Uniti e nel Regno Unito non ha attivato alcun piano di sicurezza informatica.

E tale approccio non è a norma di legge. Negli Stati Uniti, ad esempio, anche le piccole imprese che non sono soggette alle disposizioni federali devono rispettare gli standard minimi di sicurezza informatica. Se considerate inadempienti, possono essere perseguibili per attacchi informatici che causano la perdita di dati dei consumatori. Alcuni Stati tra cui la California e lo Stato di New York hanno introdotto requisiti di sicurezza per le imprese.

Paul Lipman, CEO di BullGuard, afferma “Le piccole imprese non sono escluse dagli attacchi informatici e dalla violazione dei dati e sono spesso prese di mira in quanto non danno priorità alla sicurezza. Intrappolati tra soluzioni inadeguate per i consumatori e software aziendali estremamente complessi, molti titolari di piccole imprese sono inclini a ignorare la sicurezza informatica. Ma basta un solo attacco per mettere in ginocchio un'attività”.

Soluzione: un attacco informatico a una piccola impresa può essere devastante. Il primo passo per difenderti è la consapevolezza che gli hacker possono darti la caccia.

Per affrontare i problemi relativi alle risorse limitate e alle assunzioni, le soluzioni specializzate in sicurezza Web, – come Siteimprove Web Security – sono state sviluppate tenendo conto delle esigenze delle imprese più piccole. L’obiettivo è aiutare i piccoli team a comprendere e migliorare la propria sicurezza Web senza doversi destreggiare tra i tecnicismi e le complessità di un software per la sicurezza di livello enterprise.

Aumenta la tua salute informatica con Siteimprove Web Security
Il denominatore comune di tutti questi errori è la possibilità di essere mitigati da un approccio proattivo, automatizzato e unitario alla sicurezza del sito Web. Il miglior modo per proteggere la tua azienda dagli attacchi informatici è l'integrazione della sicurezza del sito Web in tutta la strategia digitale.

Seguendo le best practice relative alla sicurezza Web, erogando una formazione consapevole ai dipendenti e investendo in tecnologie di difesa da parte di fornitori affidabili, puoi proteggere la tua azienda dalla crescente minaccia dei cyber criminali.

Vogliamo aiutarti a proteggere la tua azienda, il sito Web e i tuoi clienti dai reati informatici. Per questo motivo abbiamo lanciato Siteimprove Web Security. Web Security ti aiuta a colmare il gap tra l'IT e il resto della tua organizzazione mettendo tutto sullo stesso piano, con una panoramica completa delle vulnerabilità alla sicurezza del sito Web (Web application, Network e Server) e suggerimenti prioritari e fruibili per risolverle.

Leggi il nostro blog e scopri come le caratteristiche di Siteimprove Web Security rendono il tuo sito Web sicuro.