Cybersecurity per aziende: le basi da non trascurare
Backup, MFA, password manager, monitoraggio: le quattro azioni concrete che la maggior parte delle PMI italiane ancora salta.
Gianmarco Pacetti
La cybersecurity sembra complessa, ma per la maggior parte delle PMI italiane il problema non sono gli attacchi sofisticati: sono le basi. Phishing che funziona perché tutti hanno la stessa password ovunque. Ransomware che cripta tutto perché non c'è un backup serio. Account violati perché manca l'autenticazione a due fattori.
Dopo aver ripreso il controllo di una dozzina di infrastrutture compromesse in 3 anni, posso dire con certezza che 80% degli incidenti che ho visto sarebbero stati evitati con quattro azioni semplici, che costano poco e si fanno in poche settimane.
1. Backup serio (e testato)
Il backup è la tua assicurazione contro il ransomware. Senza, vieni colpito, pagano, e pregare. Le regole del backup serio:
La regola 3-2-1
3 copie dei dati
2 supporti diversi (es. NAS + cloud)
1 copia off-site (fisicamente lontana)
Cosa va backuppato
Database (con backup notturni e settimanali archiviati)
File condivisi (Drive, SharePoint, NAS)
Email (sì, anche le email — soprattutto se sono il tuo CRM)
Configurazioni dei server e dei servizi cloud
Cosa NON è un backup
Una sincronizzazione (Dropbox, OneDrive): se cancelli, si cancella anche nel cloud
Un RAID: se l'attacco cripta i file, il RAID copia i file criptati
Uno screenshot dell'admin panel
Il backup NON testato non esiste
Blog
Continua a leggere
Raccontaci cosa vuoi costruire
Che si tratti di un sito, un gestionale, un’automazione o una nuova piattaforma, ti aiutiamo a capire la soluzione più adatta.
Almeno una volta ogni 3 mesi: prendi un backup, ripristinalo su un ambiente di test, verifica che funzioni. Il 70% delle aziende che si affidano al backup scoprono di averlo rotto solo nel momento in cui ne hanno bisogno.
2. MFA (Multi-Factor Authentication) ovunque
Le password da sole non bastano più. Il phishing è ovunque, le password vengono trafugate continuamente, e una password forte non protegge se viene rubata.
L'autenticazione a due fattori (MFA) deve essere obbligatoria su:
✅ Email aziendali (Google Workspace, Microsoft 365)
✅ Banche e portali fiscali
✅ CRM (HubSpot, Salesforce, Pipedrive)
✅ Gestionali contabili
✅ Account amministrativi su qualsiasi server cloud
✅ GitHub / GitLab / repository codice
✅ Account di hosting (Vercel, AWS, Hetzner)
✅ Domain registrar (perdere il dominio = perdere il business)
Quale MFA usare
In ordine di sicurezza:
Chiavi hardware (YubiKey) — la migliore, ma costa 50€ a utente
App authenticator (Google Authenticator, Authy, 1Password) — il giusto compromesso
SMS — meglio di niente, ma vulnerabile a SIM swap
Sconsigliato: usare solo SMS per gli account critici. Per il personale comune, OK; per admin e finance, MAI.
3. Password manager aziendale
Il foglio Excel con tutte le password condiviso via Drive è il peggior nemico della cybersecurity aziendale. Soluzione: un password manager aziendale dove:
Ogni dipendente ha il suo vault personale
Le password condivise (es. Canva, Mailchimp aziendali) sono in vault di team
L'admin può revocare l'accesso quando uno se ne va (senza dover cambiare 30 password)
Le password generate sono lunghe e uniche (no più "Azienda2024!")
Strumenti consigliati
1Password Business: il migliore per UX, ~8€/utente/mese
Bitwarden Teams: open source, ~4€/utente/mese, ottima alternativa
Dashlane Business: buono ma più caro
NordPass Business: in crescita, prezzo competitivo
Investimento minimo per un team da 10 persone: 40-80€/mese. Recuperi i soldi al primo non-incidente.
4. Monitoraggio attivo
Tante PMI scoprono di essere state attaccate mesi dopo che è successo. Nel frattempo, l'attaccante ha già esfiltrato dati, lasciato backdoor, venduto credenziali. Il monitoraggio attivo serve a vedere subito se qualcosa non torna.
Accessi falliti ripetuti (segno di brute force o spray attack)
Cambi di configurazione sui sistemi critici
Traffico in uscita anomalo (può essere esfiltrazione dati)
Stato dei backup (alert se non parte)
Certificati SSL in scadenza
Domini simili registrati da altri (typosquatting per phishing)
Strumenti accessibili per le PMI
Have I Been Pwned + 1Password Watchtower: avvisa se le password leak
Cloudflare o Google Workspace alerts: notifiche su login sospetti
Sentry o Datadog: monitoring errori applicazione
UptimeRobot o Better Stack: monitoring siti e API
5. Bonus: formazione anti-phishing del team
Anche con tutto il resto in piedi, un click sbagliato dal CEO può aprire la porta. La formazione anti-phishing va fatta:
All'onboarding (workshop di 1 ora obbligatorio)
Ogni 6 mesi con email finte di phishing simulate
Subito quando arriva una nuova campagna nota (es. finto pacco DHL)
Strumenti come KnowBe4 o Hoxhunt fanno simulazioni a basso costo. In alternativa, una sessione interna fatta bene è meglio di nulla.
Quanto costa fare le basi
Per una PMI da 10-30 persone, l'investimento per coprire i 5 punti è:
Backup cloud serio: 30-100€/mese
1Password Business: 80-240€/mese
MFA: gratis (le app sono gratis)
Monitoraggio essenziale: 50-200€/mese
Formazione iniziale: 300-1500€ una tantum
Totale: 160-540€/mese + setup iniziale di 1-3k euro. Rispetto al costo medio di un attacco ransomware in Italia (50-200k€ tra riscatto + downtime + recupero), è il miglior ROI della tua infrastruttura.
Per dove iniziare
Se ti riconosci in almeno 2 di queste situazioni:
Le password sono in un Excel su Drive
Solo il CEO ha l'MFA (perché "rallenta gli altri")
Il backup è "sì c'è ma non ricordo l'ultima volta che l'abbiamo testato"
Non hai un fornitore che ti avvisa di anomalie
Sei in zona rischio alto. Parliamone: in una call di 30 minuti facciamo l'inventario e usciamo con un piano di priorità realistico per i prossimi 60 giorni.