Negli ultimi anni sono nate moltissime startup e il numero di queste realtà è destinato a crescere. L'esplosione delle tecnologie di intelligenza artificiale ha spinto molti giovani imprenditori a cercare opportunità di business, con l'obiettivo di accaparrarsi una parte di questo fiorente mercato.
Nonostante l'entusiasmo dilagante e la volontà di investire sull'innovazione, dare vita a una startup comporta delle difficoltà che non si possono ignorare: il passaggio da un'idea alla realtà è un percorso sempre un po' accidentato e si scontra con problemi di costi, di personale e soprattutto di sicurezza.
Di solito queste realtà commettono molti errori di cybersecurity legati in parte all'inesperienza e in parte alla convinzione di non essere dei bersagli interessanti per gli attaccanti. Bisogna considerare inoltre che le startup tendono ad avere un alto ricambio dei dipendenti e ciò moltiplica i problemi di sicurezza.
Per aiutare le giovani aziende a migliorare il proprio assetto di cybersecurity, Kaspersky ha stilato una lista degli errori più tipici commessi dalle startup, insieme ai consigli per prevenirli.
Gli errori di sicurezza più comuni delle startup
Quando si tratta di fornire ai dipendenti i permessi per accedere alle risorse, molte aziende commettono l'errore di concedergli molti più diritti di quelli che servirebbero. Questo accade soprattutto nelle startup: per comodità tutti i collaboratori ottengono i permessi di amministratore, senza valutare le reali esigenze di ogni caso.
Più permessi ha un utente, più aumenta la possibilità che commetta degli errori o esponga la startup a un pericolo esterno, consentendo a un attaccante di accedere alle risorse centrali per l'azienda; per questo è importante fornire a ciascun collaboratore solo i diritti necessari a svolgere le proprie attività.
Le startup soffrono anche per la mancanza di regole nel sistema di archiviazione delle informazioni: senza un'organizzazione precisa per l'archiviazione dei documenti è difficile accedere ai dati di cui si ha bisogno.
Definire delle regole per la conservazione dei file è fondamentale per garantire il corretto svolgimento delle attività dei dipendenti, soprattutto nelle giovani realtà dove il ricambio di personale è molto elevato.
Nelle startup c'è anche un grosso problema di gestione delle password: visto l'elevato turnover, molte persone potrebbero pensare che sia meglio condividere gli account e le credenziali dei servizi aziendali.
Il problema è che più persone conoscono una password, più aumenta la probabilità che questa venga intercettata dagli attaccanti; inoltre, in caso di incidente di sicurezza, è più difficile risalire al dispositivo da cui ha avuto origine l'attacco, visto che più persone avevano accesso all'account compromesso.
Nelle giovani aziende si tende a non utilizzare strumenti per la gestione delle credenziali come i password manager, col risultato che le password vengono spesso dimenticate e, se un dipendente lascia la compagnia, le possibilità di recupero si riducono.
Molti allora decidono di memorizzare le credenziali in file condivisi sul cloud, per esempio in Google Docs, col rischio che, a causa di impostazioni di condivisioni errate, le password siano facilmente accessibili anche da persone esterne all'azienda.
Buona parte dei problemi legati alle credenziali potrebbe essere risolta utilizzando l'autenticazione a due fattori, una delle grandi assenti tra le soluzioni di sicurezza aziendali.
Come proteggere la propria azienda
Per proteggere al meglio le piccole aziende e le startup è importante applicare alcune buone pratiche di base di sicurezza.
Nel fornire i privilegi di accesso ai dipendenti bisogna seguire il principio del "least privilege" (minimo privilegio), ovvero garantire ai collaboratori il set minimo di diritti per svolgere le loro mansioni. Prima di fornire gli accessi occorre definire con esattezza ruoli e attività di ciascun dipendente per individuare tutti e i soli permessi di cui ha bisogno.
I dati, la risorsa più importante per ogni realtà, devono essere archiviati seguendo precise linee guida ed è necessario sapere esattamente dove sono conservate le informazioni e chi vi ha accesso.
Non può mancare un password manager per sollevare i dipendenti dal peso di ricordare tutte le credenziali e per ridurre al minimo il rischio che vengano rese note all'esterno dell'organizzazione. È importante inoltre implementare meccanismi di autenticazione a due fattori per ogni account e installare un antivirus per proteggere i dispositivi dai malware.
In generale, l'intera azienda deve fondarsi su una cultura di cybersecurity condivisa e robusta. È consigliabile mettere a disposizione dei dipendenti un manuale di sicurezza con le indicazioni più importanti e prevedere incontri formativi per tenere aggiornati tutti i collaboratori sulle minacce più diffuse e le tecniche per contrastarle.
Infine, è consigliabile dotarsi di una soluzione di sicurezza completa in grado di proteggere i dispositivi aziendali e velocizzare la risposta alle minacce. Small Office Security di Kasperksy offre tutti gli strumenti necessari a proteggere le startup, dalla rilevazione e il blocco delle attività dannose, ai backup regolari dei dati, al password manager per archiviare e usate in tutta sicurezza le credenziali.