Su Internet si possono trovare circa un milione di consigli su come mantenere a galla una startup. Di solito i consulenti attirano l’attenzione sulle questioni di pianificazione aziendale, strategia di marketing, attrarre ulteriori investimenti e così via, ma gli articoli raramente parlano del problema della costruzione di un solido sistema di cybersecurity. Tuttavia, la mancanza di una chiara comprensione delle minacce può costare a una startup anche con un business potenzialmente di successo. Abbiamo deciso di parlare dei più tipici errori di cybersecurity e, soprattutto, di come prevenirli.
Fonte del problema
Ecco una tipica storia di startup: voi e il vostro amico avete un’idea brillante, la discutete con la vostra cerchia ristretta, raccogliete un gruppo di appassionati e il dream team è pronto. È così che sono iniziate le storie di Airbnb, Pinterest, Twitter, Uber e molti altri progetti famosi.
Tuttavia, i problemi sorgono quando una startup passa da un’idea iniziale alla costruzione di flussi di lavoro reali e all’assunzione di personale. A questo punto, il piccolo gruppo di persone che la pensano allo stesso modo si espande e diventa un team di persone casuali con diversi punti di vista sulla vita e diverse esperienze di vita. In un tale team, i dipendenti possono avere una comprensione molto diversa di quali informazioni debbano essere considerate confidenziali e di come mantenerle sicure.
Ecco un esempio: un dipendente decide che sarebbe conveniente scrivere la password di un servizio online su una lavagna, il suo pensiero è che chiunque ne abbia bisogno può trovarla rapidamente e facilmente. Un altro membro del personale pubblica un selfie in ufficio su un social network, scrivendo “chi scriverebbe qualcosa di riservato su una lavagna, dove tutti possono vederlo”? Questo tipo di equivoco è uno dei motivi per cui le giovani startup possono incorrere in problemi di cyber-sicurezza. Il problema può essere risolto solo sviluppando una cultura aziendale di cybersecurity.
Allo stesso tempo, le persone che vengono a lavorare nelle startup sono spesso appassionati e avventurieri, si innamorano rapidamente dell’idea, e spesso possono cambiare rapidamente i loro interessi e andarsene. Inoltre, molto spesso le startup moderne dipendono da specialisti IT che generalmente tendono a spostarsi da un’azienda all’altra nel corso di diversi anni.
La combinazione di questi due fatti può creare un alto ricambio dei dipendenti. In tali condizioni vari errori possono facilmente moltiplicarsi, specialmente quelli relativi alla cybersecurity. Pertanto è facile trascurare una minaccia informatica che può essere facilmente evitata.
Tipici errori di cybersecurity
Immaginiamo: non vi siete accorti di come la vostra piccola startup sia diventata un’azienda a tutti gli effetti. Quali errori di cybersecurity potreste aver commesso finora?
Diritti di accesso eccessivi
Spesso quando un dipendente di una startup ha bisogno di accedere a risorse o servizi aziendali, ottiene immediatamente i diritti di amministratore. La persona che condivide quei diritti di accesso di solito pensa che sia più facile dare accesso a tutto una volta, senza capire le reali esigenze di un particolare dipendente e le sue responsabilità, che ricevere nuove richieste di accesso ogni settimana. Ma più diritti di accesso ha un dipendente, più aumenta la possibilità di un errore. Se si vuole ridurre al minimo il numero di incidenti informatici, ogni partecipante al flusso di lavoro dovrebbe avere solo i diritti di accesso che sono necessari per i suoi compiti.
Mancanza di regole del sistema di archiviazione delle informazioni
In generale, questo è un male per qualsiasi azienda. Ma in una startup, a causa del suddetto ricambio del personale, un giorno potreste semplicemente non essere in grado di trovare importanti file di lavoro. Molto probabilmente esistono da qualche parte, ma dove esattamente è un mistero. Uno sviluppatore o uno stagista di marketing lo sapeva una volta, ma ha lasciato l’azienda di recente senza dirlo a nessuno.
Password dimenticate
Un altro problema comune è quello delle password dimenticate per i social network aziendali o altri servizi usati raramente. Forse un nuovo membro del personale imposta un account Facebook o LinkedIn per aiutare a promuovere l’azienda, ma non riesce a condividere i dettagli dell’account con altri membri del personale, poi prontamente lascia per un altro ruolo, le credenziali di accesso sono andate, con poche possibilità di recupero.
Password condivise
Alcune persone potrebbero pensare che con un alto ricambio potrebbe essere una buona idea usare account condivisi. Ma più persone conoscono una password, più è probabile che questa trapeli a causa di phishing, negligenza o intento dannoso. Inoltre, complica notevolmente l’indagine di un incidente, quando accade. Diciamo che si scopre che qualcuno ha ottenuto l’accesso a un account, gli esperti sospettano che la password sia stata intercettata da un malware e vogliono controllare il computer di un dipendente che aveva accesso. Solo per scoprire che tutti l’hanno avuto!
Le password nei servizi cloud
Un altro errore legato alle password è quello di memorizzarle in qualche file in Google Docs, poiché un’impostazione errata significa che di solito è accessibile da chiunque abbia il link. Il vantaggio evidente è che è molto conveniente trasferire le informazioni necessarie a tutti i dipendenti, è sufficiente mettere tutte le password necessarie in un documento e inviare un link. Tuttavia, tali documenti di Google possono essere indicizzati dai motori di ricerca. In altre parole, il file con tutte le vostre password potrebbe potenzialmente cadere nelle mani sbagliate.
Mancanza di autenticazione a due fattori
Alcuni dei problemi associati alle password sarebbero meno pericolosi se le startup non trascurassero l’autenticazione a due fattori sugli account di lavoro. Questo permette di proteggere i dati importanti da vari metodi di furto, come il phishing. Prima di tutto, la protezione a due passi dovrebbe essere messa su tutti i servizi finanziari, come Upwork.
Consigli universali per la prevenzione delle minacce informatiche
Per evitare gli errori “tipici” che commettono molte piccole imprese e start-up, provate a seguire questi consigli:
- Quando si tratta di concedere l’accesso a risorse o servizi si dovrebbe seguire il principio del minimo privilegio. Cioè, un dipendente deve avere il set minimo di diritti di accesso, abbastanza solo per eseguire i suoi compiti.
- È necessario sapere esattamente dove sono conservate le informazioni importanti della vostra startup e chi vi ha accesso. A partire da questo, sviluppate delle linee guida quando assumete nuovi dipendenti, definendo chiaramente quali account sono necessari per ogni dipendente, e quali dovrebbero essere limitati solo per determinati ruoli.
- Una cultura matura della cybersecurity aziendale aiuta a prevenire molte minacce informatiche. Si può, per esempio, iniziare con la creazione di un manuale di cybersecurity per i dipendenti in modo che tutti siano sulla stessa pagina. Ecco un buon esempio per i nuovi dipendenti.
- Tutte le password devono essere memorizzate in un gestore di password sicuro. Questo aiuterà i vostri dipendenti a non dimenticarle o perderle e anche a ridurre al minimo la possibilità che un estraneo abbia accesso ai vostri account. Utilizzate anche meccanismi di autenticazione a due fattori, ove possibile.
- Consigliate ai vostri impiegati di chiudere a chiave il loro computer quando si allontanano dalla scrivania. Dovrebbero tenere a mente che un ufficio può essere visitato da tutti i tipi di terzi, compresi i corrieri, i clienti, i subappaltatori o chi cerca lavoro.
- Considerate l’installazione di un software antivirus per proteggere i dispositivi da virus, trojan e altri programmi dannosi
Un gran numero di minacce può essere evitato con Kaspersky Small Office Security. Questa soluzione non solo protegge i dispositivi dei vostri dipendenti da ransomware e altre minacce informatiche comuni, ma include anche un password manager.