Diventa Autore per CoreTech | Scopri di più
02/07/20 CoreTech Blog
Le piccole e medie imprese hanno difficoltà a gestire la sicurezza informatica. Il divario nella sicurezza informatica li colpisce più duramente perché la maggior parte degli esperti di sicurezza preferirebbe scegliere diversi ambienti di lavoro.
I giovani appassionati di sicurezza sono molto richiesti. Tuttavia, invece delle PMI, di solito preferiscono lavorare per aziende specializzate nella sicurezza e concentrarsi, ad esempio, sui test di penetrazione manuale . Un'altra scelta preferita sono le imprese, in cui tali appassionati possono restringere i loro compiti e / o avere un percorso di carriera più promettente, anche fino al CISO.
Un altro grosso problema per le PMI è il budget. Un'azienda o un team specializzato in genere possono offrire agli esperti di sicurezza salari ed extra migliori. E non c'è da meravigliarsi se i giovani appassionati sono esigenti: sono alla fine della vittoria, sono quelli per cui si combattono.
Alla fine, molte PMI finiscono con amministratori o team IT generali che assumono il ruolo di sicurezza. Anche se riescono a coinvolgere un professionista della sicurezza, quel professionista diventa un tuttofare, spesso esaurendosi e partendo presto, cercando un percorso di carriera diverso.
Un altro grave problema associato alla posizione della cybersicurezza per le PMI è la mancanza di consapevolezza della cybersicurezza e di credere nei miti, specialmente nel caso di top manager e dirigenti. Ciò porta spesso a respingere la sicurezza e essere trattata come un problema minore con budget incentrati sullo sviluppo e sui profitti diretti. Anche se i proprietari e i top manager delle PMI si rendono conto che esiste un grave rischio per la sicurezza, spesso sono pronti ad accettarlo a causa delle sfide associate alla sua mitigazione, ad esempio la sfida di trovare personale, come descritto sopra.
Proviamo a sfatare alcuni dei principali miti sulla sicurezza informatica che possono avere una pessima influenza sulla postura della sicurezza informatica dell'organizzazione. Una volta chiarito il filo del pensiero, potrebbe essere più facile per le PMI stabilire le migliori pratiche di sicurezza per gestire in modo efficiente la loro resilienza informatica.
Questo è un mito molto pericoloso che porta alla perdita di personale. La sicurezza informatica non è qualcosa che puoi semplicemente appoggiare sulle spalle di una persona. Proprio come con la sicurezza fisica, anche se hai i migliori lucchetti e il miglior sistema di allarme, ci vuole solo un dipendente a caso per dimenticare di rinchiudere quando lascia il lavoro e l'intero sforzo è inutile. E se una persona viene incolpata in questo caso, puoi essere sicuro che presto troveranno un posto migliore dove lavorare.
Se vuoi che la tua attività cresca in modo sicuro, tutti i membri dell'azienda devono essere consapevoli della sicurezza informatica. E non si tratta solo di un singolo training di onboarding o di inviare regolarmente a tutti e-mail di phishing contraffatte per controllare le loro risposte. Si tratta di assicurarsi che a tutti importi davvero, sempre.
Perché i dipendenti si prendano davvero cura della sicurezza informatica, sono i manager che devono prima occuparsene. Invece di avere aspettative, i manager dovrebbero dare l'esempio e assicurarsi che il cyber-rischio sia percepito come importante. E non è difficile, è sufficiente che ogni decisione prenda in considerazione la sicurezza e ogni discussione importante coinvolga l'argomento della sicurezza, se del caso.
Non vi è alcuna possibilità che un'azienda esternalizzata possa essere efficace nella gestione della sicurezza come te. Un appaltatore di servizi di sicurezza professionale è una facile via d'uscita per una piccola organizzazione che non può permettersi risorse dedicate alla sicurezza informatica. Un appaltatore può aiutarti a selezionare il tuo framework di cybersecurity come NIST, progettare la tua strategia di cybersecurity, assisterti nella gestione del rischio e nell'intelligence sulle minacce, aiutarti a impostare i tuoi controlli di sicurezza e anche a prendere parte alla risposta agli incidenti . Tuttavia, non sono in grado di essere ovunque e guardare tutto e probabilmente avranno un tempo di risposta che sarà significativamente meno favorevole di quello dei tuoi dipendenti.
Se esternalizzi la tua sicurezza, devi comunque assicurarti che tutti nell'azienda siano consapevoli dell'impatto sulla sicurezza di tutte le loro azioni. Ad esempio, esternalizzare la sicurezza a un appaltatore professionista non impedirà agli sviluppatori di introdurre vulnerabilità di SQL Injection nel software. Sarebbe molto raro se il tuo appaltatore partecipasse attivamente al tuo SDLC.
Non esiste un software in grado di garantire la sicurezza. Inoltre, non esiste un unico strumento di sicurezza che copra nemmeno la metà delle potenziali minacce informatiche. Potresti ottenere una soluzione da ufficio che ti proteggerà da malware incluso ransomware, un firewall per proteggere la tua rete esterna e interna da determinati attacchi di rete, e sarà comunque vulnerabile al completo compromesso del sistema e alla perdita di tutti i dati dell'azienda a seguito di un singolo SQL Iniezione perché nessuno di questi strumenti ti protegge da tali vulnerabilità anche al minimo.
Non lasciarti influenzare dalle promesse vuote dei fornitori e non aver paura di cercare soluzioni specifiche per specifiche minacce alla sicurezza informatica come uno scanner di vulnerabilità Web specializzato per proteggerti dalle minacce legate al Web. Cerca produttori che non hanno timore di dirti i fatti invece di usare un linguaggio di grandi aziende per offuscare gli occhi. Cerca produttori specializzati perché hanno i mezzi per proteggerti efficacemente. E ricorda sempre che il software è solo uno strumento ed è il modo in cui usi quegli strumenti che conta davvero.
Un altro errore correlato di molte PMI è il fatto che si concentrano sulla sicurezza dei loro uffici. In passato, questo aveva senso perché la maggior parte delle risorse veniva mantenuta in ufficio, spesso inclusi i server. Al giorno d'oggi, le PMI si affidano principalmente a soluzioni cloud e, pertanto, i controlli di sicurezza informatica dovrebbero concentrarsi sulla sicurezza del cloud e sulla presenza sul web poiché la maggior parte delle risorse aziendali si basa su tecnologie web (comprese le tecnologie mobili e l' IoT ).
Forse nel 2000, una soluzione antivirus e uno scanner di rete erano più importanti di uno scanner di vulnerabilità del web ma ora, nel 2020, non è più così. Mentre le soluzioni anti-malware sono ancora fondamentali per proteggersi da minacce come il ransomware, proteggere il Web è altrettanto importante e solo gli scanner di vulnerabilità del web possono farlo.
Questo è un altro mito molto pericoloso che porta a gravi problemi. I manager delle PMI pensano spesso che se la società non lavora nello spazio pubblico, è al sicuro dagli attacchi. Tuttavia, questo non potrebbe essere più lontano dalla verità.
Ad esempio, se si progetta un'applicazione B2B utilizzata da un numero limitato di aziende e richiede l'autenticazione per l'accesso, è altrettanto soggetta ai rischi di sicurezza informatica di un sito Web pubblico. Un attacco informatico può essere condotto non solo da un dipendente dell'attività del cliente. Se, ad esempio, il modulo di accesso presenta una vulnerabilità di SQL Injection, un utente malintenzionato esterno può accedere all'applicazione progettata per essere utilizzata solo da clienti specifici, non dal pubblico in generale.
Inoltre, tieni presente che molte violazioni dei dati si verificano a causa di disinteresse da insider o intenzioni dannose - ad esempio, la maggior parte delle violazioni di dati nel 2019 sono state causate da database non protetti che erano il risultato della disattenzione di un dipendente (il database non è mai stato pensato per essere pubblicamente disponibile).
Avere risorse rivolte al pubblico aumenta le sfide della sicurezza informatica, non averne una non ti rende automaticamente al sicuro. Per sicurezza, è necessario proteggere le risorse interne e le risorse autenticate così come le risorse esterne.
Il crimine informatico non è sempre il risultato di qualcosa da guadagnare . È altrettanto spesso un risultato di opportunità. Alcuni criminali informatici si concentrano su preziose proprietà intellettuali o dati sensibili (e faranno qualsiasi cosa per rubarli) mentre altri sparano alla cieca e sperano di catturare qualcuno alla sprovvista. Sei di guardia?
Quando si esaminano le maggiori violazioni dei dati negli ultimi anni, pochissime sono state in realtà il risultato di un attacco mirato. In alcuni casi, come Equifax, fu in effetti un attacco mirato da parte di presunte forze speciali cinesi. Tuttavia, il grande successo del 2019 - la violazione di Capital One, è stato causato da un hacker frustrato ed emotivamente instabile che stava cercando popolarità nei circoli del cappello nero. La maggior parte delle altre violazioni, tuttavia, erano semplicemente il risultato di qualcuno che scansionava indirizzi pubblici e trovava una risorsa vulnerabile.
Una volta che la tua organizzazione si sbarazzerà dei miti di cui sopra, avrai un tempo più facile per mantenere la sicurezza informatica senza un bisogno terribile e insoddisfatto di quel "ragazzo magico di sicurezza che risolverà tutto". Con la sicurezza percepita come un problema a livello aziendale, con attenzione e considerazione adeguate e con le giuste soluzioni automatizzate, come la valutazione della vulnerabilità del web e il software di gestione con un motore di scansione delle vulnerabilità come Acunetix, il tuo futuro appare molto più luminoso di quello delle aziende ancora in vita nel passato. Congratulazioni!