5 errori IT che fanno le aziende
La maggior parte degli incidenti informatici che colpiscono le aziende non è il risultato di attacchi sofisticati condotti da hacker esperti. È il risultato di errori comuni, spesso noti e prevedibili, che si accumulano nel tempo finché non presentano il conto.
Non serve essere una grande azienda per essere a rischio. Anzi, le PMI sono spesso i bersagli preferiti proprio perché di solito tendono ad avere meno presidio sulla sicurezza IT rispetto alle realtà più strutturate.
In questo articolo analizziamo i cinque errori IT più frequenti che vediamo nelle aziende, spieghiamo perché sono pericolosi e cosa si può fare concretamente per correggerli.
Errore 1: Password deboli e gestione degli accessi trascurata
Le credenziali di accesso sono la prima linea di difesa di qualsiasi sistema informatico. Eppure, nella pratica, è anche la difesa più spesso trascurata.
Gli scenari più comuni che troviamo nelle aziende:
- password semplici o prevedibili, spesso costruite sul nome dell’azienda o sull’anno corrente
- password condivise tra più dipendenti per lo stesso account
- account di ex dipendenti ancora attivi mesi o anni dopo la fine del rapporto di lavoro
- nessun secondo fattore di autenticazione attivo sui servizi critici
- stessa password usata su più piattaforme diverse
Il rischio concreto è significativo: un account compromesso attraverso phishing, furto di credenziali da un altro servizio, o semplicemente perché la password era troppo semplice, può dare a facile accesso a email, file aziendali, sistemi gestionali e piattaforme cloud.
La soluzione non richiede investimenti enormi. Le priorità sono tre: attivare l’autenticazione a due fattori su tutti i servizi critici (email, cloud, VPN), adottare un password manager aziendale per gestire credenziali robuste e uniche, e definire una procedura chiara per la revoca immediata degli accessi quando un dipendente lascia l’azienda.
Errore 2: Backup assente o mai verificato
“Abbiamo il backup” è una delle frasi più rassicuranti e più spesso infondate, che si sentono quando si parla di sicurezza IT aziendale.
Avere un sistema di backup attivo è il punto di partenza, non il punto di arrivo. Le domande che ogni azienda dovrebbe saper rispondere sono:
- con quale frequenza viene eseguito il backup? Una volta al giorno? Più volte?
- dove vengono archiviati i dati? Solo in locale, o anche in una sede separata o in cloud?
- il backup copre tutti i dati critici, inclusi quelli su Microsoft 365, SharePoint e OneDrive?
- quando è stato testato l’ultimo ripristino? I dati erano recuperabili?
- quanto tempo richiederebbe ripristinare i sistemi in caso di guasto o attacco?
Un backup non testato è un backup di cui non si conosce l’affidabilità reale. Nella pratica, capita con una certa frequenza che backup apparentemente funzionanti si rivelino corrotti o incompleti nel momento in cui vengono richiesti, spesso quando è già troppo tardi.
L’errore più sottovalutato riguarda il cloud: molte aziende credono che Microsoft o Google si occupino del backup dei loro dati. Non è così, i provider garantiscono la disponibilità del servizio, non il ripristino dei dati in caso di cancellazione accidentale o attacco ransomware. Il backup dei dati cloud va configurato separatamente.
La soluzione: verificare che il backup esista, che sia aggiornato, che copra tutti i dati critici e testare periodicamente il ripristino di un campione di dati.
Errore 3: Sistemi e software non aggiornati
Gli aggiornamenti sono spesso percepiti come un fastidio: interrompono il lavoro, richiedono riavvii, a volte cambiano l’interfaccia dei programmi. Per questo vengono rimandati anche per settimane o mesi.
Il problema è che ogni aggiornamento non installato corrisponde a una vulnerabilità nota e non risolta. I produttori di software rilasciano aggiornamenti di sicurezza esattamente perché sono state scoperte falle che potrebbero essere sfruttate e quando un aggiornamento viene reso pubblico, anche i dettagli della vulnerabilità diventano accessibili a chi vuole sfruttarla.
Gli attacchi che sfruttano vulnerabilità note nei sistemi non aggiornati sono tra i più comuni e i più efficaci perchè non richiedono tecniche sofisticate, ma semplicemente la ricerca automatizzata di sistemi che non hanno ancora installato una patch disponibile da settimane o mesi.
Le aree più critiche da tenere aggiornate:
- sistemi operativi di PC, server e dispositivi mobili
- software applicativi, in particolare browser, client email e suite Office
- firmware di router, firewall e apparati di rete
- applicazioni cloud e plugin di terze parti
La soluzione ottimale è automatizzare il processo con strumenti di patch management che distribuiscono gli aggiornamenti in modo centralizzato e pianificato, riducendo il rischio che qualcosa venga dimenticato e minimizzando l’impatto sull’operatività.
Errore 4: Nessun piano di sicurezza IT
La sicurezza IT gestita senza una strategia definita si riduce inevitabilmente a una serie di decisioni improvvisate, prese sotto pressione e senza una visione d’insieme.
Alcune domande che un’azienda dovrebbe saper rispondere, e che spesso non ha risposta:
- chi è responsabile della sicurezza IT in azienda? È un ruolo definito o dipende dalla disponibilità del momento?
- esiste una procedura per gestire un incidente di sicurezza? Chi viene avvisato, in quale ordine, con quale priorità?
- in caso di data breach, chi notifica il Garante entro le 72 ore previste dal GDPR?
- come vengono gestiti i dispositivi smarriti o rubati? Esiste una procedura per cancellare i dati da remoto?
- con quale frequenza vengono riviste le configurazioni di sicurezza dei sistemi?
Senza risposta a queste domande, ogni incidente rischia di trasformarsi in un’emergenza gestita nel caos, con conseguenze amplificate dalla mancanza di procedure chiare.
Un piano di sicurezza IT non deve essere un documento di centinaia di pagine. Per una PMI, possono bastare poche pagine che definiscono i ruoli, le procedure principali e le priorità di intervento. L’importante è che esista, che sia conosciuto da chi di competenza e che venga aggiornato periodicamente.
Errore 5: Affidarsi al fai-da-te
In molte PMI la gestione IT è affidata al dipendente più predisposto per la tecnologia, quello che “se ne intende di computer”, che risolve i problemi più semplici e che ha configurato i sistemi nel tempo. È una soluzione che funziona finché non succede nulla di serio.
Il problema non è la buona volontà della persona, ma i limiti oggettivi di chi gestisce l’IT come attività secondaria, senza formazione specifica e senza il tempo necessario per tenersi aggiornato su un panorama tecnologico in continua evoluzione.
Le conseguenze più comuni:
- sistemi configurati in modo non ottimale, con lacune di sicurezza non identificate
- nessun monitoraggio proattivo: i problemi vengono scoperti solo quando si manifestano
- aggiornamenti rimandati perché richiedono tempo e competenza per essere gestiti correttamente
- assenza di documentazione: se la persona di riferimento non è disponibile, nessuno sa come sono fatti i sistemi
- costi di intervento elevati in caso di emergenza, perché si parte da zero ogni volta
Affidarsi a un partner IT professionale non significa necessariamente rinunciare alla gestione interna. Significa avere un riferimento competente che conosce l’ambiente, lo monitora, interviene proattivamente e garantisce continuità anche quando la persona interna non è disponibile.
Spesso il costo di un servizio IT gestito è inferiore al costo di un singolo intervento d’emergenza non pianificato. E la differenza in termini di stabilità, sicurezza e tranquillità è sostanziale.
Come può aiutare Easy Pc?
In Easy Pc lavoriamo ogni giorno con aziende che si riconoscono in uno o più di questi cinque errori. Il punto di partenza è sempre lo stesso: una valutazione dell’ambiente IT esistente per capire lo stato reale della situazione, identificare le priorità e definire un piano di intervento concreto e proporzionato.
Non proponiamo soluzioni standard: ogni azienda ha una struttura diversa, esigenze diverse e un livello di maturità IT diverso. Il nostro obiettivo è portare ogni cliente a un livello di protezione adeguato alla propria realtà, con interventi sostenibili nel tempo.
Vuoi capire se la tua azienda è esposta a questi rischi?