Prevenire è meglio che curare: perché la vostra azienda dovrebbe investire nella gestione delle password

Nancy Deol è una Marketing Manager presso Advanced Kiosks, un’azienda cliente di LastPass Enterprise. Oggi ci delizia della sua presenza sul nostro blog per sostenere la causa dell’adozione aziendale della gestione delle password. Un argomento che cade a fagiolo. Sono innumerevoli le aziende e i CEO che di recente hanno fatto notizia in quanto vittime di incidenti informatici, ma la maggior parte di loro non sa come approcciarsi al problema della protezione delle password. Le parole di Nancy vi aiuteranno a comprendere come muovere i primi passi nella giusta direzione, oltre a come LastPass promuova una gestione accorta delle tecnologie informatiche in materia di password. Ad Advanced Kiosks non possiamo permetterci di prendere la criminalità informatica sotto gamba. Lavoriamo con parecchie organizzazioni governative e sanitarie, perciò la protezione dei loro dati non è solo un requisito fondamentale, ma irrinunciabile. Quando siamo scelti per un progetto di chioschi multimediali interattivi, non aspettiamo neppure che il responsabile di progetto ce lo chieda per spiegare che includiamo il nostro software preinstallato di gestione dei chioschi multimediali per proteggerli dalla manomissione fraudolenta. Questo software, chiamato Zamok, blocca il touchscreen e tiene il chiosco multimediale interattivo al sicuro dagli hacker e dalla navigazione indesiderata. Inoltre, assicura che l’utente successivo del chiosco multimediale non possa accedere alle informazioni di quello precedente. I dati personali scambiati con il software o l’applicazione sono numerosi, e noi ci assicuriamo che rimangano riservati. Proteggiamo anche i file e le impostazioni degli amministratori in modo che non siano accessibili agli utenti esterni. Dunque, se garantiamo un simile impegno per proteggere i nostri prodotti, perché non dovremmo fare lo stesso con le nostre postazioni informatiche?

Non sono solo i grandi marchi a essere sotto attacco

Rimanere informati sui nuovi reati informatici e sui modi migliori per prevenirli fa parte del nostro lavoro ad Advanced Kiosks. IBM e il Ponemon Institute hanno pubblicato le loro conclusioni sullo studio denominato 2015 Cost of Data Breach Study, da cui risulta che il costo totale medio di una singola violazione dei dati ammontava alla sconcertante cifra di $ 3,79 milioni. Molti di noi potrebbero leggere quei dati statistici e pensare: “Beh, con ogni probabilità non ci tocca. Cose del genere succedono solo alle aziende davvero grandi.” Vi invito a riconsiderare la questione. Anche se la copertura mediatica si concentra sui reati informatici a scapito di grandi nomi quali Target, LinkedIn, Ashley Madison, Sony o NASDAQ, la verità è che 1 piccola azienda su 40 corre il rischio di diventare vittima della criminalità informatica. Gli attacchi contro piccole aziende si moltiplicano con preoccupante rapidità. Il più recente rapporto sulla sicurezza di Internet di Symantec, denominato 2016 Internet Security Report, ha stabilito che ciò di cui le piccole aziende debbano davvero preoccuparsi sono gli attacchi meno sofisticati, più facili ed economici da eseguire, come il phishing o il riutilizzo delle password. In sostanza, dovreste proteggere le vostre risorse, come anche quelle dei vostri clienti. Ciò è d’importanza critica se la vostra azienda si occupa, come noi, di SaaS, o se invitate i vostri clienti a condividere dati personali, finanziari o altri dati sensibili. Ritengo che la maggior parte delle piccole aziende non presti grande attenzione a quest’aspetto, e che, a causa della mancanza di preparazione che ne deriva, rimangano insieme ai loro clienti vulnerabili di fronte agli attacchi. Quindi perché le aziende non si proteggono dalla criminalità informatica? “Non potrà mai succedere a noi” Una delle più importanti ragioni è che le aziende credono fermamente di non essere un bersaglio abbastanza valido, e che una cosa del genere non possa assolutamente succedere a loro. Mi ricorda quella citazione dal film Hunger Games: “Possa la fortuna essere sempre a vostro favore.” Questo modo di ragionare, purtroppo, è pericoloso e non riflette la realtà degli attacchi informatici. I dati dimostrano che i criminali informatici sono opportunisti, prendono di mira le loro vittime a caso e sono alla ricerca di un facile accesso al denaro durante i loro attacchi. E sfortunatamente, le piccole aziende sono facili bersagli. Secondo Small Business Trends, che ha estrapolato informazioni essenziali dallo studio di Symantec, “questi attacchi di phishing prendono di mira quegli impiegati che sono responsabili dell’aspetto finanziario delle piccole aziende.” Quindi, se pensate di essere al sicuro solo perché non siete Target o Sony, è ora di cambiare atteggiamento e riconoscere i rischi reali cui va incontro la vostra azienda. “Non ne abbiamo il tempo” C’è una diffusa convinzione errata secondo la quale impiegare la giusta prevenzione richiederebbe troppo tempo. Il che mi ha sempre sorpreso perché risulterebbe certamente molto più costoso tentare la fortuna e perdere. Specialmente se tenete a mente che, secondo un recente rapporto di Experian, il 60% delle piccole aziende che subisce una violazione dei dati fallisce entro 6 mesi. Quindi, sì, dovreste impiegare del tempo per:

• Trovare la tecnologia adeguata alla vostra azienda
• Imparare tale tecnologia
• Applicare tale tecnologia
• Insegnare tale tecnologia ai vostri dipendenti

Ma non tutti i SaaS sono creati uguali, e il tempo necessario all’implementazione varia in modo considerevole. Tutti i fattori finora elencati rappresentano i motivi fondamentali per cui abbiamo deciso che LastPass Enterprise fosse la scelta giusta per la nostra azienda, e per cui crediamo che sia la soluzione perfetta per la gestione delle password di tutte quelle aziende che non hanno molto tempo extra a disposizione. LastPass rende tutto incredibilmente facile da usare per tutti. È una soluzione self-service, il che significa che tutti (parlo soprattutto con chi non ha dimestichezza con l’informatica) possono essere operativi in pochissimo tempo. È lo strumento ideale per noi, essendo una compagnia di tecnologia self-service. Inoltre, LastPass Enterprise è facilmente scalabile, il che implica che potete iniziare in piccolo coinvolgendo solo dei membri scelti del vostro team, per poi implementarla in tutta l’azienda, una volta pronti. “Confido che i miei dipendenti si proteggano a dovere” Francamente, non si tratta di una questione di fiducia, e, onestamente, non potete esserne certi finché non implementiate un sistema che possa confermare che i vostri dipendenti stiano attuando le migliori pratiche del caso. La prima domanda da porsi (e a cui rispondere) è: conosciamo le migliori pratiche in materia di password da attuare per proteggere i nostri dati dai criminali informatici, e i nostri dipendenti sono equipaggiati per porle in atto? Se la risposta è sì, mi congratulo con voi perché sapete tenere il passo con la criminalità informatica. È una cosa importante per la vostra azienda. Se non ne siete sicuri, sono qui per condividere con voi le informazioni di cui avete bisogno. Nell’articolo How do you protect your passwords? (Come proteggete le vostre password?), Tech Talks consiglia alcune linee guida molto utili. Ecco le più importanti:

• Scegliete una password più lunga, anziché una più corta e complessa. Certamente, potete aggiungere simboli, numeri, lettere e quant’altro, ma sceglietene una lunga. Detto questo, non mettete in fila 20 numeri da 0 a 9 per poi ripeterli. 01234567890123456789 non è una password complessa. Randomizzata è meglio.
• Evitate tormentoni comuni nella vostra lingua. I criminali informatici sanno bene che alle persone piacciono le password popolari e familiari. Per esempio, “mai una gioia” oppure “sapevatelo” non vi forniranno mai la protezione sicura che state cercando.
• Evitate di utilizzare password duplicate, a prescindere da quanto siano complesse. Anche se i criminali informatici non riescono a indovinare la vostra password, ciò non significa che non potranno rubarla da un servizio di cui usufruite.

Nonostante i vostri dipendenti possano sapere già tutte queste cose, senza l’implementazione di un sistema adeguato non è possibile sapere se stiano davvero seguendo questi consigli per proteggersi. E se l’attacco informatico a LinkedIn ci ha insegnato qualcosa, è che le tre password principali che i suoi utenti preferivano sono 123456, linkedin e password. Questo soltanto dovrebbe far scattare campanelli d’allarme, perché LinkedIn è una piattaforma social per connessioni aziendali. E voi siete aziende. E loro, i vostri dipendenti. LastPass vi consente finalmente di sapere se i vostri dipendenti a lavoro impiegano le adeguate misure di protezione delle password. Quando usano LastPass, siete in grado di sapere se le loro password sono uniche e complesse. Senza un tale sistema a controllare e informarvi al riguardo, quanto potete starne certi?

Il costo di un attacco contro quello della sua prevenzione

Esistono tre principali tipologie di costi associate alla mancata protezione della vostra azienda dai criminali informatici fraudolenti. Poiché i dati dimostrano che ad essere vulnerabili agli attacchi non sono solo le grandi aziende, ma anche quelle piccole, dovreste tenere in considerazione i costi da affrontare se scegliete di proseguire sulla stessa strada, senza proteggere la vostra azienda.

Queste tre principali tipologie di costi sono:

• Costi finanziari: Potreste ritrovarvi con una perdita di fatturato a causa di un furto informatico. Non solo andreste incontro a una perdita di profitti perché i vostri capitali finanziari sono stati rubati, ma anche a una mancanza di fiducia da parte di potenziali clienti, con conseguente perdita di potenziali introiti derivanti da nuovi accordi. C’è da tenere in considerazione anche il costo aggiuntivo del tempo e delle risorse necessarie a riparare il danno subito, e a richiudere le falle che hanno permesso l’attacco. I costi finanziari sono quelli che comunemente associamo alla criminalità informatica, ma rappresentano soltanto una delle principali tipologie di costi.
• Costi in termini di tempo: Credete sia troppo dispendioso in termini di tempo investire adesso in una soluzione di protezione delle password, ma che dire del tempo che spendereste dopo aver subito un attacco? Dovete tenere in considerazione tutto il tempo che voi e i vostri dipendenti spendereste se foste vittima di un attacco informatico. Dovreste spendere tempo a contattare le forze dell’ordine, gli istituti finanziari, i creditori, i fornitori e i clienti. Per non parlare del tempo necessario a identificare la causa della violazione, porvi rimedio e resettare le password di tutti.
• Costi in termini di imbarazzo: A seconda di ciò che accade dopo un potenziale attacco informatico, il vostro marchio potrebbe risentirne in modo significativo. Innanzi tutto, potreste perdere il lavoro o la vostra azienda. Potreste perdere anche impiegati e clienti a favore dei vostri concorrenti. Se la vostra è un’azienda di piccole o medie dimensioni, oppure di nicchia, la notizia si diffonderebbe rapidamente intaccando la reputazione del marchio.

Se scegliete di non proteggere la vostra azienda dagli attacchi informatici, andrete incontro a un grosso rischio. Advanced Kiosks ha riconosciuto che prevenire potenziali attacchi è di primaria importanza e vale l’investimento nominale anticipato, ragion per cui abbiamo scelto LastPass Enterprise. “Per accertarvi che i vostri dati siano davvero al sicuro, la gestione delle password è senza ombra di dubbio l’investimento più importante in termini di tempo e denaro.” – Robert Siciliano, CEO di IDTheftSecurity.com

Perché Advanced Kiosks ha scelto LastPass Enterprise

Ci sono svariate ragioni per cui LastPass Enterprise è stata una scelta sensata per la nostra azienda di tecnologia self-service. Ecco una breve lista delle caratteristiche principali e dei vantaggi offerti da questa preziosa soluzione di protezione delle password.

• La ragione più importante: Siamo una compagnia che si occupa di tecnologia self-service fondata da un ingegnere che crede fermamente nella necessità di ridurre al minimo i rischi. C’è bisogno di aggiungere altro?
• Il prezzo: LastPass Enterprise aveva un costo ragionevole per il nostro team. Inoltre, è scalabile. Crescendo, possiamo aggiungervi altri membri del team, o anche ridurne il numero secondo le necessità. Il prezzo è flessibile e accessibile per un’azienda nel segmento di mercato delle piccole e medie imprese.
• Le risorse di apprendimento: I membri del nostro team apprezzano la possibilità di avere accesso a innumerevoli risorse di apprendimento, dal blog di LastPass agli Screencast passando per tutte le altre utili opzioni di supporto create da LastPass per mostrare ai clienti la loro soluzione nei dettagli.
• Il Vault: L’interfaccia utente, ovvero il Vault (“cassaforte”), è facile da usare e rende semplice la gestione delle vostre password. A lavoro, non abbiamo il tempo di scervellarci su un’interfaccia utente complicata e poco intuitiva. Grazie al Vault, gestire le nostre password è diventato un gioco da ragazzi.
• La condivisione delle password: Nel Vault, potete tenere una cartella di password che sono state condivise con voi, ma che non potete modificare. Per esempio, il mio capo può garantirmi l’accesso a varie piattaforme software che usiamo senza il bisogno di rivelarne alcuna password. Se mai un giorno dovessi licenziarmi, potrebbe facilmente revocarmi l’accesso alle password e modificarle. Posso anche condividere l’accesso alle mie password con i membri del team di marketing, o revocarlo quando voglio. Quando ho chiesto al mio capo, Howard, cosa ne pensasse di questa funzione, la sua risposta è stata:

“Adoro la funzione di condivisione delle password!” E ha aggiunto: “Di solito spendevo 30 minuti al giorno alla ricerca delle password, ma adesso LastPass mi ha restituito quel tempo.”

• La console di amministrazione centralizzata: È importante perché è con questa che risparmiate una notevole quantità di tempo, specialmente se la vostra azienda è in fase di crescita. Tramite la console di amministrazione centralizzata, il nostro capo può accogliere nuovi dipendenti garantendo loro l’accesso alle app e ai siti in pochissimo tempo. Potete anche precaricare i vault dei dipendenti in modo che abbiano tutte le chiavi di accesso di cui hanno bisogno per essere subito operativi con LastPass.
• La protezione: Un’altra ragione per cui abbiamo scelto LastPass è la sua sicurezza. LastPass utilizza i più avanzati algoritmi di crittografia, non conserva le password sui suoi server e impiega l’autenticazione a due fattori per un livello di protezione aggiuntiva. E questo non è altro che un piccolo assaggio delle misure di sicurezza utilizzate da LastPass per la protezione dei suoi clienti.
• Usare LastPass ha più senso: La morale della favola qui è che risulta molto più semplice chiedere ai vostri dipendenti di ricordare una password difficile anziché più di 20. La logica in questo caso è perfettamente comprensibile.

Adesso che avete gli strumenti per comprendere meglio perché prevenire è meglio che curare, o, in questo caso, perché un piccolo investimento nella sicurezza informatica è meglio che una perdita di milioni di dollari in danni potenziali, vi incoraggio ad agire subito. Non dimenticate: la criminalità informatica è in crescita. Un recente rapporto stilato da Security Intelligence ha rivelato che la criminalità informatica diventerà un problema da $ 2,1 trilioni entro il 2019. È arrivato il momento di proteggere la vostra azienda con un piccolo investimento per ciò che considero inestimabile: la vostra tranquillità.