Ci siamo tuffati a capofitto nell’ultimo rapporto di Devolution (State of Cybersecurity in SMBs 2022-2023) sulla sicurezza informatica per le piccole e medie imprese, quindi non è necessario. Ecco i cinque punti salienti chiave che devi sapere da questo nuovo studio…
La sicurezza informatica è un investimento importante per tutte le aziende e le organizzazioni, indipendentemente dalle dimensioni. Come qualcuno in una piccola o media impresa, potresti pensare che le piccole imprese siano bersagli meno allettanti per i criminali informatici, ma in realtà è vero il contrario. Ad esempio, Barracuda riferisce che le aziende con meno di 100 dipendenti hanno il 350% di probabilità in più di subire attacchi di ingegneria sociale rispetto alle loro controparti aziendali.
Poiché le PMI rappresentano obiettivi interessanti per i criminali informatici (soprattutto perché rappresentano il 99,9% di tutte le aziende negli Stati Uniti), è fondamentale rimanere al passo con gli ultimi dati del settore. Questo può essere difficile, tuttavia, quando stai cercando di gestire o gestire un’impresa più piccola. Questo è il motivo per cui vogliamo aiutare condividendo alcuni dei dati più recenti in un breve (ish) articolo.
Devolutions ha pubblicato il suo terzo rapporto consecutivo sullo stato della sicurezza informatica nelle PMI 2022-2023. L’ultima ricerca di quest’anno, pubblicata il 18 ottobre 11, evidenzia che il 60% delle piccole e medie imprese ha subito uno o più attacchi informatici nell’ultimo anno:
- Uno su quattro (42%) indica di aver affrontato fino a cinque attacchi nell’ultimo anno
- Quasi un quinto (18%) ha sperimentato cinque o più attacchi nello stesso periodo
Abbiamo selezionato i cinque punti dati più rilevanti dalla ricerca sulle PMI di Devolutions che riteniamo possano interessare i nostri lettori. Assicurati di controllare il sito Web di Devolutions per leggere il rapporto completo.
Diamoci una botta.
Top Takeaway: le PMI classificano il ransomware come la più grande minaccia alla sicurezza informatica
L’81% degli intervistati di Devolutions considera il ransomware come la più grande minaccia alla sicurezza delle proprie aziende. Seguono il phishing (69%) e altri tipi di malware (38%). Per alcuni aspetti, non sorprende perché il ransomware è una grave minaccia perché spesso provoca la crittografia o la distruzione dei dati delle vittime (anche quando le vittime pagano il riscatto richiesto). In alcuni casi, gli attacchi ransomware sono su più fronti perché gli aggressori attaccano anche i backup dei dati delle vittime per causare danni aggiuntivi o richiedere un secondo pagamento di riscatto.
Tuttavia, onestamente ho pensato che il numero 1 e il numero 2 sarebbero stati invertiti, in particolare considerando che molti attacchi ransomware spesso implicano l’uso del phishing, così come altri problemi di sicurezza informatica. Ma, ehi, ognuno è diverso e ha priorità e preoccupazioni di sicurezza diverse.
Takeaway n. 2: quasi un terzo delle aziende dedica meno del 5% del budget IT alla sicurezza
Una statistica inquietante del rapporto di Devolution che mi ha davvero colpito è che il 32% delle piccole e medie imprese dedica meno di un ventesimo (1/20) del loro budget IT alla sicurezza IT. Ora, considera che Connectwise riferisce che il 69% degli intervistati ammette di essere preoccupato che un brutto attacco informatico possa costringerli permanentemente a chiudere i battenti. Conoscere questa preoccupazione ed essere consapevoli del fatto che quasi un terzo delle organizzazioni dedica solo il 5% del proprio budget IT complessivo alla sicurezza invia il messaggio che le aziende non si stanno impegnando molto per impedire che si verifichi un simile attacco.
Ciò che fa davvero capire la natura deprimente di quel numero è se si considera che CompTIA segnala che la piccola impresa media dedica all’IT solo $ 5.000- $ 249.000 del proprio budget complessivo ogni anno (il “punto debole” per le PMI varia tra $ 10.000 e $ 49.000 ). Ciò significa che solo il 5% dei budget già potenzialmente limitati viene utilizzato dalle aziende per finanziare le proprie iniziative di sicurezza IT. Yikes.
Diamo un’occhiata più da vicino a questo per una prospettiva un po’ più ampia. Immagina che la tua azienda investa ogni anno $ 45.000 nel tuo budget IT. Ciò significa che se fai parte del 32% delle PMI che dedica solo il 5% del tuo budget IT alla sicurezza IT, significa che stai spendendo solo $ 2.250 all’anno per proteggere la tua organizzazione da attacchi informatici e minacce. Ciò significa che la tua sicurezza informatica vale solo $ 6,25 al giorno per la tua attività, o l’equivalente di un grande latte speziato di zucca in una specifica importante catena di caffetterie.
È davvero sorprendente che alcune aziende considerino la sicurezza IT come un brutto figliastro dai capelli rossi. Considerando che basta un “ops” di sicurezza informatica perché tutto vada storto, la sicurezza IT dovrebbe essere classificata come uno degli elementi essenziali del tuo ambiente IT. Non importa quanti dispositivi nuovi e brillanti hai… se non ti preoccupi di dedicare il tempo, i soldi e le risorse necessarie per mantenere quei dispositivi e la rete al sicuro, allora non ti serviranno a nulla.
Ma qui ci sono alcune buone notizie: Devolutions consiglia alle PMI di destinare tra il 6% e il 15% del budget IT alla sicurezza IT (che include la sicurezza informatica). Siamo lieti di comunicare che la maggior parte degli intervistati delle PMI (68%) rientra in questo intervallo. Ma in un mondo perfetto, preferiremmo decisamente vedere una spesa media per la sicurezza IT più alta.
Takeaway n. 3: in generale, le organizzazioni vogliono aumentare la spesa del budget IT
Ora, vediamo cosa stanno facendo le organizzazioni in termini di aumento o diminuzione dei budget per la sicurezza IT. Il 49% dichiara di spendere di più quest’anno per la sicurezza IT rispetto all’anno scorso. Stupendo. Ma questa statistica è mitigata se si considera che il 51% indica che i propri budget sono diminuiti (6%) o sono rimasti invariati (45%) rispetto all’anno precedente.
Tuttavia, c’è un po’ di buone notizie qui. Il 94% degli intervistati indica che intende spendere lo stesso importo (48%) o aumentare la propria spesa (46%) nei prossimi 12 mesi. Ovviamente, preferiremmo vedere il numero più alto nella categoria del budget “vogliamo aumentare la nostra spesa per la sicurezza IT”, ma credo che riusciremo a vincere dove possiamo.
C’è anche una considerazione molto importante da tenere a mente quando si tratta di budget e spese per la sicurezza IT: ogni organizzazione è diversa e ciascuna alloca importi diversi per cominciare. Quindi, alcune aziende potrebbero iniziare con un importo più alto (più vicino alla fine di $ 249.000 dell’intervallo menzionato in precedenza) e devono aumentarlo di meno ogni anno, mentre altre potrebbero avere un budget molto più piccolo (come l’estremità $ 5.000 dell’intervallo) e hanno bisogno investimenti più significativi.
Takeaway #4: le organizzazioni stanno iniziando a vedere la luce per quanto riguarda la sicurezza delle password
Le password sono le chiavi dei regni della maggior parte delle organizzazioni di piccole e medie dimensioni. Questi sono i segreti che forniscono l’accesso agli account utente e danno accesso a qualsiasi cosa, dai conti bancari e finanziari ai dati dei record personali dei dipendenti. Comparitech, citando i dati di LastPass, mostra che i dipendenti delle piccole imprese sono i maggiori responsabili quando si tratta di dimostrare una scarsa sicurezza delle password: “Coloro che lavorano per aziende con 1-25 dipendenti riutilizzano le password in media 14 volte”.
Sì, decisamente non buono. Quindi, ha senso che una delle sezioni del rapporto Devolutions evidenzi 18 progetti di sicurezza che gli intervistati volevano intraprendere nei prossimi 12 mesi… più di un terzo dei quali riguarda password o sicurezza dell’account:
- Presentazione della soluzione di gestione degli accessi privilegiati (PAM).
- Introduzione o integrazione completa dell’autenticazione a due fattori (2FA)
- Implementazione della rotazione automatica delle password
- Ampliare uno strumento di gestione delle password per l’utilizzo da parte di tutti i dipendenti (non solo del personale IT)
- Protezione avanzata di Active Directory
- Implementazione di un accesso più granulare e just-in-time alle risorse
- Passaggio all’autenticazione senza password
Ovviamente, l’uso di password sicure (o l’implementazione dell’autenticazione client basata su PKI) non è tutto ciò che puoi o dovresti fare per proteggere l’accesso all’interno della tua organizzazione. Ulteriori passaggi che puoi eseguire includono:
- Mantenimento del profilo utente corrente e degli elenchi delle autorizzazioni
- Implementare il principio del privilegio minimo all’interno del proprio ambiente IT (ovvero consentire l’accesso solo a coloro che ne hanno bisogno per svolgere il proprio lavoro)
- Richiedere agli utenti di utilizzare connessioni sicure e crittografate durante la connessione ai siti Web
- Educare i dipendenti sull’importanza della sicurezza dell’account e delle migliori pratiche
- Memorizzazione solo di hash di password salati e pepati invece di password in chiaro
- Impostazione dei limiti di velocità di autenticazione
- Monitoraggio del traffico verso la rete, i servizi e le applicazioni
- Blocco dell’accesso alle risorse interne da IP al di fuori dell’area geografica della tua azienda
Takeaway n. 5: il 56% delle PMI si accontenta di mantenere lo status quo del personale di sicurezza IT
Il nostro punto dati finale del rapporto Devolutions si concentra maggiormente sui dipendenti stessi:
- Il 38% degli intervistati ha indicato che le proprie organizzazioni hanno coinvolto nuovi dipendenti dall’inizio della pandemia globale di COVID-19 (cioè all’inizio del 2020) per rispondere alle esigenze e ai problemi di sicurezza IT.
- Un altro 6% afferma di lavorare con fornitori di servizi esterni per ottenere lo stesso risultato.
- Il restante 56% degli intervistati indica di non aver assunto nuovi dipendenti legati alla sicurezza informatica o informatica dall’inizio del 2020.
Non portare nuovi dipendenti nell’ovile non è necessariamente una cattiva notizia. Sì, da un lato, potrebbe significare che non vogliono sborsare fondi per assumere nuove persone e competenze. Ma d’altra parte, potrebbe significare che hanno già le persone e le competenze giuste, quindi non hanno bisogno di assumere nessun altro. (Meno probabile, ma sicuramente ancora una possibilità.)
Sfortunatamente, il primo è lo scenario più probabile. Un altro recente sondaggio di Cobalt (The State of Pentesting 2022) mostra che quasi tutti i loro 602 intervistati indicano di essere colpiti dalla carenza di personale e di talenti. Indipendentemente dalla causa della carenza (se non assumono abbastanza persone o se i dipendenti lasciano), la carenza di manodopera alla fine porta a molti problemi di sicurezza per l’organizzazione e i membri del team che rimangono.
Conclusione sulla sicurezza informatica per le piccole e medie imprese
Ci auguriamo che questo articolo sia stato illuminante e ti abbia fornito maggiori informazioni sull’investimento nella sicurezza informatica come piccola o media impresa. Indipendentemente dal fatto che tu abbia solo una manciata di dipendenti o 100, ogni persona, applicazione e dispositivo esistente nel tuo ambiente IT rappresenta una potenziale superficie di attacco che i criminali informatici possono prendere di mira.
Avere una forte sicurezza informatica e informatica non è solo fondamentale per prevenire gli attacchi informatici, ma sono anche requisiti di conformità per standard importanti come il regolamento generale sulla protezione dei dati dell’UE (GDPR), l’Health Insurance Portability and Accountability Act (HIPAA) degli Stati Uniti e il Payment Standard di sicurezza dei dati del settore delle carte (PCI DSS).