In Italia, molte piccole e medie imprese (Pmi) subiscono attacchi informatici e spesso è un errore umano a permetterlo. Malware, ransomware e phishing sono tra le tecniche più diffuse tra i cyber criminali.
In questo contesto si inserisce la campagna di sensibilizzazione “Accendiamo la cybersicurezza. Proteggiamo le nostre imprese” lanciata dall’Agenzia per la Cybersicurezza Nazionale (Acn) che si conclude oggi, con la pubblicazione e la distribuzione capillare di guide e pieghevoli informativi pensati per rafforzare la difesa digitale delle aziende.
Indice degli argomenti
Cybersecurity e Pmi
Le Pmi italiane, spesso coinvolte in filiere produttive strategiche e in contesti ad alto rischio, si trovano oggi ad affrontare crescenti minacce informatiche, come attacchi ransomware, phishing e compromissioni di sistemi IT. La campagna di Acn punta a fornire indicazioni operative e facilmente applicabili, rivolgendosi sia ai dirigenti aziendali sia ai professionisti IT.
Le guide di Acn
Le guide affrontano i principali aspetti della cybersicurezza aziendale, tra cui: l’integrazione della sicurezza digitale nella strategia d’impresa; l’importanza della formazione continua dei dipendenti; la gestione degli incidenti e la business continuity; l’adozione di strumenti come autenticazione a più fattori (Mfa), cifratura dei dati, backup sicuri e monitoraggio delle minacce; la selezione di fornitori qualificati e l’utilizzo consapevole di servizi cloud SaaS; la necessità di limitare i privilegi utente e adottare approcci come lo Zero Trust. Particolare rilievo viene dato alla nominazione di un responsabile per la cybersicurezza e alla valutazione dei fornitori IT, elementi chiave per garantire un livello di protezione adeguato e sostenibile. Le indicazioni presenti nei materiali prodotti da Acn mirano a colmare il divario di competenze e risorse che spesso caratterizza le Pmi, supportandole nel raggiungimento di un livello di resilienza digitale coerente con le nuove sfide normative (come la direttiva Nis2) e tecnologiche.
La campagna
La campagna, avviata a luglio 2024 insieme al Dipartimento per l’Informazione e l’Editoria della Presidenza del Consiglio dei ministri, attua la misura 71 della Strategia nazionale di cybersicurezza. L’iniziativa ha coinvolto centinaia di aziende sul territorio grazie ad un tour di otto tappe che ha attraversato tutta l’Italia e ha promosso i consigli di protezione dai rischi informatici attraverso una capillare campagna istituzionale che ha raggiunto oltre 113 milioni di telespettatori. Sui social, invece, è stato raggiunto quasi 1 milione di visualizzazioni per i video della campagna, mentre i contenuti digitali hanno avuto quasi 21 milioni di visualizzazioni.
La guida per i dirigenti
La guida per dirigenti supporta la dirigenza delle Pmi nell’individuazione di possibili iniziative cyber da integrare nel contesto organizzativo, definendo gli adeguati presidi in materi di cybersicurezza e orientando la capacità di spesa in maniera mirata e più consapevole
Tali iniziative e presidi di sicurezza vanno individuati coerentemente con gli obiettivi strategici e sono rivolti a sostenere la resilienza e la continuità dei servizi.
Quattro azioni chiave:
1. Definire obiettivi di sicurezza rilevanti, assicurando che siano allineati con gli obiettivi strategici dell’organizzazione.
2. Individuare gli obiettivi di sicurezza in fase di pianificazione strategica, prima di implementare nuovi servizi, sistemi o tecnologie e garantisci che siano rivisti periodicamente nel tempo.
3. Integrare la sicurezza nella cultura organizzativa, promuovendo la consapevolezza, a tutti i livelli, dell’impatto che una violazione dei dati o una compromissione dei sistemi può comportare.
4. Comunicare al personale il valore delle buone pratiche di sicurezza, evidenziando come la cultura della cybersicurezza rappresenti un investimento strategico per l’impresa
La guida per i dipendenti
Le indicazioni rivolte ai dipendenti puntano a rafforzare l’adozione delle misure di sicurezza per proteggersi dai principali tipi di attacco (tra cui, ad esempio, phishing, ransomware e malware) in diverse situazioni operative, quali ad esempio lo smart working o le trasferte professionali. La guida supporta i dipendenti delle Pmi nell’acquisizione di una maggiore consapevolezza sull’importanza del rispetto di buone pratiche di cybersicurezza nelle attività lavorative e nei processi operativi, al fine di sostenere l’innalzamento del livello di cybersicurezza complessivo dell’organizzazione.
Sei azioni chiave
1. La cybersicurezza è una responsabilità condivisa. Serve ricordare che ogni membro dell’organizzazione ha un ruolo nel garantire un ambiente sicuro.
2. Informarsi e verificare di essere a conoscenza di tutte le indicazioni e linee guida per la sicurezza informatica dell’organizzazione, a partire dall’individuazione delle strutture o dei referenti responsabili. Qualora queste non fossero presenti, assumere un ruolo attivo per sollecitarne la predisposizione.
3. Comprendere il valore delle azioni quotidiane e il loro impatto sulla cybersicurezza dell’organizzazione.
4. Partecipare attivamente alle iniziative di awareness e alle simulazioni promosse dall’organizzazione.
5. Accogliere eventuali suggerimenti provenienti dall’organizzazione finalizzati a promuovere la partecipazione ad azioni volte al miglioramento continuo, con l’obiettivo di favorire il mantenimento di un adeguato livello di cybersicurezza.
6. Accertarsi di aver compreso appieno il proprio ruolo e le responsabilità connesse, in linea con le direttive dell’organizzazione, per contribuire attivamente alla protezione del patrimonio informativo aziendale.
La guida per i fornitori e professionisti
Queste indicazioni sono rivolte ai professionisti e ai fornitori di servizi IT, con particolare attenzione alla dimensione aziendale delle imprese. La guida illustra i vantaggi e l’importanza di rafforzare l’infrastruttura Ict aziendale e di prevenire e ridurre l’impatto degli incidenti di sicurezza cibernetica attraverso l’adozione di opportune misure di sicurezza.
Tre azioni chiave
1. Pianificare e organizzare annualmente iniziative di sensibilizzazione e formazione sulla cybersicurezza, individuando quelle più rilevanti per accrescere la consapevolezza e le competenze del personale.
2. Restare aggiornato sulle principali minacce e sulle migliori pratiche di cybersicurezza, creando anche con altri attori del settore un ecosistema di difesa condiviso.
3. Individuare i punti deboli dell’organizzazione e gli interventi necessari, considerando il business e gli obiettivi strategici della realtà aziendale.
