IL REPORT

Pmi, ecco i 15 comandamenti anti-hacker: risparmio del 41%

Il Research Center of cyber intelligence firmato Sapienza e Cini individua i passaggi essenziali per ridurre al minimo il rischio di attacchi informatici. Così micro, piccole e medie imprese possono abbattere i costi dei danni. Baldoni: “Cybersecurity vantaggio competitivo per il Paese”

Pubblicato il 02 Mar 2017

cybersecurity-151210115901

L’investimento in un pacchetto ad hoc di difese informatiche da parte di micro, piccole e medie imprese italiane è considerevolmente inferiore rispetto ai costi derivanti da danni generati da eventuali attacchi. Sono 15 i controlli minimi di sicurezza individuati dal report del Research center of cyber intelligence and information security: per implementarli, una micro impresa si troverebbe ad affrontare indicativamente un costo iniziale di 2.700 euro e costi annui per 7.800 euro, mentre una media impresa spenderà circa 4.650 euro di costi iniziali e 19.800 euro di costi annui. Cifre sensibilmente più basse rispetto al danno medio stimato a cui le aziende andrebbero incontro su un periodo di 5 anni: 175mila euro sia per le micro sia per le medie imprese. Nello specifico, i costi sulla media dei 5 anni sarebbero del 75% più bassi per le micro imprese, e del 41% per le medie rispetto al danno stimato.

E’ quanto emerge dal “2016 Italian Cybersecurity Report – controlli essenziali di cybersecurity”, realizzato dal Research center of cyber intelligence and information security dell’Università Sapienza di Roma e dal Laboratorio nazionale Cini (Consorzio interuniversitario nazionale per l’informatica) di Cyber Security e curato da Roberto Baldoni, direttore del Cis Sapienza, Luca Montanari e Leonardo Querzoni del Cis Sapienza.

L’idea dei 15 controlli essenziali di sicurezza, selezionati attraverso un processo di consultazione pubblica al quale hanno partecipato oltre 200 esperti di settore, nasce dalla considerazione che è difficile per le Pmi italiane, spina dorsale del sistema produttivo del paese, adeguarsi alle norme del Framework nazionale per la cybersecurity, spesso per la mancanza di personale e di competenze specifiche, proprio mentre crescono in maniera esponenziale i rischi a cui queste società si espongono se rimangono indifese.

Nel corso della presentazione del Report (all’Aula magna del rettorato della Sapienza), Luigi Vincenzo Mancini, vice direttore del Cis-Sapienza, ha annunciato la nuova laurea magistrale in Cybersecurity che sta per essere attivata dall’ateneo, con i corsi che partiranno da ottobre 2017: “Si tratta della prima laurea in Italia con questa denominazione – afferma – offriamo due anni di formazione in lingua inglese, per gli studenti che hanno già completato il primo triennio in materie con background tecnologico. Questo perché al nostro Paese occorrono investimenti in infrastrutture di sicurezza, ma è fondamentale ch siano affiancati da investimenti sulle persone e sulle loro competenze. Vogliamo formare i nostri studenti a questo tipo di carriera, un settore particolarmente promettente per il futuro. Massima apertura al mondo produttivocon stage, tirocini formativi e interazioni che consentano di mantenere l’offerta formativa aderente alle richieste del mercato”.

“Negli anni 80 economia e cyberspace non avevano punti di contatto – ha detto Baldoni -. Ma con il passare degli anni i due settori sono stati sempre più sovrapponibili, e nell’arco dei prossimi 15 anni arriveranno a esserlo quasi totalmente. La cybersecurity è un game changer, cambierà il mondo. I Paesi acquisteranno o perderanno rilevanza economica nel mondo a seconda di come sapranno dare sicurezza al loro cyberspace, perché la cybersecurity sará sempre più un vantaggio competitivo per un Paese. Per questo sarà fondamentale definire un piano nazionale di investimenti pluriennale, con obiettivi precisi e chiari da raggiungere. E partire dalle micro e piccole imprese, dando loro l’opportunità di adottare le prime contromisure basilare per non essere esposte ad attacchi. Solo su questa base, e i 15 controlli essenziali che proponiamo oggi sono un primo contributo, si potrà poi costruire una vera rete di sicurezza nazionale di cybersecurity efficiente, coinvolgendo il pubblico, il privato e il mondo della ricerca”.

“Assistiamo ormai a un continuo aumento di attacchi cyber che diventano sempre più complessi e articolati – si legge nel report – Questi attacchi avvengono sfruttando una combinazione di vulnerabilità umane e tecnologiche che permettono ai cyber-criminali l’ingresso all’interno di una organizzazione. I cyber-criminali non attaccano soltanto banche e grandi multinazionali: gran parte del loro fatturato è infatti realizzato attaccando decine di migliaia di medie, piccole e micro imprese completamente impreparate a affrontare efficacemente la minaccia. I criminali bloccano l’operatività di queste imprese per poi chiedere un riscatto, rubano i loro asset, i loro dati o spiano le loro strategie di business. Questo mette a rischio la sopravvivenza stessa dell’impresa”.

Da qui nasce l’idea di dare vita ai 15 controlli essenziali, che serviranno a “ridurre il numero di vulnerabilità” e “aumentare la consapevolezza del personale interno, in modo da resistere agli attacchi più comuni”. Innalzare un sistema di difesa più coordinato “è particolarmente importante in un momento di forte trasformazione digitale del settore industriale (industria 4.0) – prosegue il report – che aumenterà l’integrazione tra le aziende appartenenti a una filiera, aumentando, di conseguenza, anche la superficie d’attacco”.

Ma ecco uno per uno i 15 controlli essenziali proposti dal report:

Primo punto: serve verificare che in azienda esiste e sia mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.

Secondo punto: necessità di assicurarsi che i servizi web (social network, cloud computing, posta elettronica, spazio web, ecc) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.

Terzo punto: serve individuare informazioni, dati e sistemi critici per l’azienda affinché siano adeguatamente protetti.

Quarto punto: nominare un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.

Quinto punto: occorre l’identificazione e il rispetto delle leggi e/o dei regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.

Sesto punto: la verifica che tutti i dispositivi che lo consentono siano dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornati.

Settimo punto: le password: devono essere diverse per ogni account, della complessità adeguata, valutando anche l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio, come l’autenticazione a due fattori).

Ottavo punto: serve accertare che il personale autorizzato all’accesso, remoto o locale, ai servizi informatici disponga di utenze personali non condivise con altri, che l’accesso sia opportunamente protetto e che i vecchi account non più utilizzati siano disattivati.

Nono punto: ogni utente potrà accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.

Punto dieci: il personale dovrà essere adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali, con i vertici aziendali che dovranno predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.

Punto undici: prevede di verificare che la configurazione iniziale di tutti i sistemi e dispositivi sia svolta da personale esperto, responsabile per la configurazione sicura degli stessi, e che le credenziali di accesso di default siano sempre sostituite.

Punto dodici: sarà necessario che siano eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda, e che i backup sono conservati in modo sicuro e verificati periodicamente.

Punto tredici: verificare che le reti e i sistemi siano protetti da accessi non autorizzati.

Punto quattordici: servono strumenti specifici che in caso di incidente vengano informati i responsabili della sicurezza e i sistemi siano messi in sicurezza da personale esperto.

Punto quindici: tutti i software in uso (inclusi i firmware) devono essere aggiornati all’ultima versione consigliata dal produttore.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati