{"id":509,"date":"2021-03-08T07:42:00","date_gmt":"2021-03-08T06:42:00","guid":{"rendered":"https:\/\/brentasoft.com\/blog\/sicurezza-informatica-pmi-guida-2021\/"},"modified":"2021-03-08T07:42:00","modified_gmt":"2021-03-08T06:42:00","slug":"sicurezza-informatica-pmi-guida-2021","status":"publish","type":"post","link":"https:\/\/brentasoft.com\/blog\/sicurezza-informatica-pmi-guida-2021\/","title":{"rendered":"Sicurezza informatica per PMI: la guida 2021"},"content":{"rendered":"<p><strong>La sicurezza informatica per le PMI italiane<\/strong> non e&#8217; piu&#8217; un argomento da delegare al &#8220;ragazzo dell&#8217;IT&#8221; o da rimandare quando ci sara&#8217; tempo. Nel 2020 Clusit ha registrato il numero piu&#8217; alto di attacchi informatici gravi mai documentato in Italia, e le piccole e medie imprese sono ormai bersaglio sistematico di ransomware, phishing e furto di dati. Questa guida 2021 spiega in modo concreto cosa significa fare cybersecurity in una PMI: i rischi reali, le misure di base che ogni azienda dovrebbe adottare, gli errori piu&#8217; comuni e come costruire una strategia sostenibile, anche con budget contenuti.<\/p>\n<p>L&#8217;obiettivo non e&#8217; trasformare la tua azienda in una fortezza digitale, ma alzare il costo dell&#8217;attacco abbastanza da rendere la tua PMI un bersaglio poco interessante. La maggior parte degli attacchi che colpiscono le piccole imprese italiane sfrutta vulnerabilita&#8217; banali: password deboli, mancato aggiornamento dei software, dipendenti non formati, backup assenti o non testati. Affrontare questi punti significa proteggere il 90% del perimetro reale.<\/p>\n<h2>Cybersecurity per PMI italiane: lo stato 2021<\/h2>\n<p>Il <strong>Clusit Report 2021<\/strong> fotografa una situazione critica: il 2020 e&#8217; stato l&#8217;anno peggiore di sempre per la cybersecurity italiana, con un incremento a doppia cifra degli attacchi gravi rispetto al 2019. La pandemia ha accelerato la digitalizzazione delle PMI, spesso senza un&#8217;adeguata pianificazione della sicurezza: smart working improvvisato, VPN configurate in fretta, dispositivi personali usati per accedere a dati aziendali, cloud adottati senza policy chiare.<\/p>\n<p>Secondo i dati della <strong>Polizia Postale<\/strong>, in Italia nel 2020 sono stati denunciati circa 50.000 reati informatici, con un&#8217;esplosione di frodi online, ransomware e attacchi a infrastrutture critiche. Le PMI rappresentano il bersaglio ideale per i criminali informatici per tre motivi:<\/p>\n<ul>\n<li><strong>Difese inferiori<\/strong> rispetto alle grandi aziende, che dispongono di SOC interni e budget dedicati<\/li>\n<li><strong>Dati di valore<\/strong> (clienti, fornitori, brevetti, contratti) che possono essere monetizzati o usati come leva di ricatto<\/li>\n<li><strong>Catena di fornitura<\/strong>: una PMI compromessa puo&#8217; diventare il vettore per attaccare un cliente piu&#8217; grande (supply chain attack)<\/li>\n<\/ul>\n<p>L&#8217;<a href=\"https:\/\/www.enisa.europa.eu\/\" target=\"_blank\" rel=\"noopener\">ENISA<\/a>, l&#8217;agenzia europea per la cybersecurity, ha pubblicato linee guida specifiche per le PMI proprio nel 2021, riconoscendo che il rischio non e&#8217; piu&#8217; &#8220;se&#8221; ma &#8220;quando&#8221; si verifichera&#8217; un incidente. Per chi gestisce dati personali, la <a href=\"https:\/\/brentasoft.com\/erp-brenta\/gdpr.php\">compliance GDPR<\/a> e&#8217; un requisito non negoziabile, e include obblighi precisi sulla sicurezza dei trattamenti.<\/p>\n<h2>I 7 rischi piu&#8217; comuni per una PMI italiana<\/h2>\n<p>Conoscere i rischi e&#8217; il primo passo per difendersi. Ecco i sette scenari di minaccia che, secondo i dati Clusit e Polizia Postale, colpiscono piu&#8217; frequentemente le piccole e medie imprese italiane.<\/p>\n<h3>1. Phishing<\/h3>\n<p>L&#8217;email di phishing resta il vettore d&#8217;attacco numero uno. Nel 2021 abbiamo visto campagne mirate contro PMI italiane che imitano fatture elettroniche, comunicazioni bancarie, PEC, pacchi in giacenza. Il <strong>spear phishing<\/strong> usa informazioni pubbliche (LinkedIn, sito aziendale) per personalizzare il messaggio e renderlo credibile. Una variante crescente e&#8217; il <strong>BEC (Business Email Compromise)<\/strong>: l&#8217;attaccante si finge l&#8217;amministratore e richiede un bonifico urgente al CFO.<\/p>\n<h3>2. Ransomware<\/h3>\n<p>Famiglie come <strong>REvil, Maze, Conti, Ryuk<\/strong> hanno colpito decine di PMI italiane nel 2020-2021. Il modello e&#8217; evoluto: oltre a cifrare i file, gli attaccanti esfiltrano i dati e minacciano la pubblicazione (double extortion). Il riscatto medio richiesto a una PMI italiana nel 2021 oscilla tra 20.000 e 200.000 euro.<\/p>\n<h3>3. Social engineering<\/h3>\n<p>Telefonate a centralino fingendosi tecnici Microsoft, finti corrieri che chiedono accesso fisico, profili LinkedIn falsi che contattano il responsabile acquisti. Le persone restano l&#8217;anello debole: nessun firewall protegge da un dipendente che fornisce volontariamente le credenziali.<\/p>\n<h3>4. Insider threat<\/h3>\n<p>Dipendenti scontenti, ex collaboratori con accessi non revocati, terzi (consulenti, fornitori IT) con permessi eccessivi. La maggior parte degli incidenti &#8220;interni&#8221; non e&#8217; dolosa ma colposa: file condivisi per errore, email inviate al destinatario sbagliato, USB perse.<\/p>\n<h3>5. Malware<\/h3>\n<p>Trojan bancari, keylogger, miner di criptovalute. L&#8217;infezione avviene tipicamente via allegato email, software craccato scaricato da un dipendente, o aggiornamento finto. Il caso <strong>SolarWinds<\/strong> (2020) ha mostrato come anche software legittimi possano essere compromessi a monte.<\/p>\n<h3>6. Password deboli<\/h3>\n<p>&#8220;Azienda2021&#8221;, &#8220;Mario1980&#8221;, &#8220;123456&#8221;: password che resistono pochi secondi a un attacco brute force. Senza un <strong>password manager<\/strong> e l&#8217;autenticazione a due fattori, la sicurezza degli account e&#8217; un&#8217;illusione.<\/p>\n<h3>7. Configurazioni errate<\/h3>\n<p>Database MongoDB esposti su internet senza autenticazione, bucket S3 pubblici, RDP aperto sulla porta 3389, condivisioni SMB accessibili dall&#8217;esterno. Ogni anno migliaia di PMI italiane scoprono che i loro dati erano accessibili a chiunque per mesi.<\/p>\n<figure class=\"wp-block-image size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1880\" height=\"1253\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/attacco-informatico-azienda.jpg\" alt=\"Attacco informatico contro PMI italiana\" class=\"wp-image-511\" srcset=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/attacco-informatico-azienda.jpg 1880w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/attacco-informatico-azienda-300x200.jpg 300w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/attacco-informatico-azienda-1024x682.jpg 1024w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/attacco-informatico-azienda-768x512.jpg 768w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/attacco-informatico-azienda-1536x1024.jpg 1536w\" sizes=\"(max-width: 1880px) 100vw, 1880px\" \/><figcaption>Gli attacchi informatici contro le PMI italiane sono cresciuti del 60% nel 2020<\/figcaption><\/figure>\n<h2>Gli attacchi piu&#8217; frequenti contro le PMI italiane<\/h2>\n<p>I dati 2020-2021 mostrano un pattern ricorrente di attacchi alle PMI italiane. Vediamo i piu&#8217; diffusi e come si manifestano nella pratica.<\/p>\n<p><strong>Ransomware via RDP esposto<\/strong>: l&#8217;attaccante scansiona internet alla ricerca di porte 3389 aperte, esegue brute force sulle credenziali, accede al server, disabilita antivirus e backup, lancia il payload. Tempo medio dall&#8217;accesso al riscatto: 24-72 ore. Soluzione: chiudere RDP da internet, esporre solo via VPN con 2FA.<\/p>\n<p><strong>Phishing con macro malevole<\/strong>: arriva un&#8217;email con una &#8220;fattura&#8221; Word o Excel. All&#8217;apertura, una macro scarica il malware vero e proprio. Soluzione: disabilitare macro per default, formare il personale, usare gateway email con sandbox.<\/p>\n<p><strong>Furto di credenziali via fake login<\/strong>: pagine clone di Office 365, Google Workspace, banche. Soluzione: 2FA obbligatoria su tutti gli account critici, formazione anti-phishing, password manager con auto-fill (riempie solo sui domini reali).<\/p>\n<p><strong>Attacchi alla supply chain<\/strong>: l&#8217;attaccante non ti colpisce direttamente, ma compromette un fornitore (gestionale, antivirus, software contabile) e usa l&#8217;aggiornamento legittimo come trojan horse. Il caso <strong>CCleaner<\/strong> e poi <strong>SolarWinds<\/strong> hanno reso questa minaccia centrale.<\/p>\n<p><strong>Esfiltrazione dati senza ransomware<\/strong>: a volte l&#8217;attaccante non cifra nulla, copia silenziosamente database clienti, brevetti, listini, e li rivende sul dark web o li usa per estorsione. Il danno reputazionale e GDPR puo&#8217; essere superiore al ransomware.<\/p>\n<h2>Le 8 misure di base che ogni PMI dovrebbe applicare<\/h2>\n<p>Nessuna strategia di sicurezza e&#8217; completa senza queste otto misure di base. Sono il minimo sindacale per una PMI italiana nel 2021, e coprono la maggior parte degli scenari realistici.<\/p>\n<ol>\n<li><strong>Inventario degli asset<\/strong>: sai esattamente quanti server, PC, telefoni, account cloud ha la tua azienda? Senza inventario non c&#8217;e&#8217; protezione possibile. Anche un foglio Excel ben mantenuto e&#8217; meglio di niente.<\/li>\n<li><strong>Aggiornamenti automatici<\/strong>: Windows, Office, browser, antivirus, firmware router. Il 60% delle vulnerabilita&#8217; sfruttate nel 2021 aveva una patch disponibile da mesi.<\/li>\n<li><strong>Antivirus EDR<\/strong>: gli antivirus tradizionali non bastano piu&#8217;. Soluzioni EDR (Endpoint Detection and Response) come SentinelOne, CrowdStrike, Microsoft Defender for Business rilevano comportamenti anomali, non solo signature.<\/li>\n<li><strong>Backup 3-2-1<\/strong>: tre copie dei dati, su due supporti diversi, una off-site (cloud o nastro fuori sede). E testare i ripristini almeno trimestralmente.<\/li>\n<li><strong>Password manager aziendale<\/strong>: 1Password Business, Bitwarden, LastPass Business. Ogni account un password unica e robusta, condivisione sicura con i collaboratori.<\/li>\n<li><strong>2FA ovunque<\/strong>: email, gestionali, banche, VPN, social aziendali. App TOTP (Google Authenticator, Authy, Microsoft Authenticator) o chiavi hardware (YubiKey).<\/li>\n<li><strong>Firewall configurato correttamente<\/strong>: Cisco, Fortinet, SonicWall, pfSense. Regole di default deny, segmentazione rete, log abilitato e monitorato.<\/li>\n<li><strong>Formazione del personale<\/strong>: corsi anti-phishing trimestrali, simulazioni di attacco, policy chiare su uso di USB, password, dispositivi personali.<\/li>\n<\/ol>\n<p>Queste misure non richiedono budget enormi: con 50-150 euro per dipendente all&#8217;anno una PMI puo&#8217; coprire l&#8217;80% del rischio. Per chi cerca <a href=\"https:\/\/brentasoft.com\/soluzioni\/software-cloud.php\">soluzioni cloud sicure<\/a>, il vantaggio e&#8217; che molti di questi controlli sono gia&#8217; integrati nei servizi gestiti.<\/p>\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1880\" height=\"1255\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/formazione-sicurezza-team.jpg\" alt=\"Formazione cybersecurity per dipendenti PMI\" class=\"wp-image-512\" srcset=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/formazione-sicurezza-team.jpg 1880w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/formazione-sicurezza-team-300x200.jpg 300w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/formazione-sicurezza-team-1024x684.jpg 1024w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/formazione-sicurezza-team-768x513.jpg 768w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/formazione-sicurezza-team-1536x1025.jpg 1536w\" sizes=\"(max-width: 1880px) 100vw, 1880px\" \/><figcaption>La formazione del personale e&#8217; la misura piu&#8217; efficace contro phishing e social engineering<\/figcaption><\/figure>\n<h2>Backup, password manager, 2FA: le basi spesso ignorate<\/h2>\n<p>Su queste tre misure si gioca la differenza tra una PMI che si rialza dopo un incidente e una che chiude i battenti. Nel 60% dei casi di ransomware analizzati nel 2020, le aziende non avevano backup utilizzabili: o non li facevano, o erano sulla stessa rete e venivano cifrati anche loro, o non erano mai stati testati.<\/p>\n<p><strong>Backup 3-2-1 in pratica<\/strong>: la regola classica prevede tre copie totali, su almeno due tipologie di supporto (es. disco e cloud), con una copia fisicamente o logicamente isolata. Per una PMI tipica significa: backup giornaliero su NAS interno, replica notturna su cloud (Backblaze, Wasabi, AWS S3 Glacier), snapshot settimanali immutabili. Il backup va <strong>testato<\/strong>: un ripristino non testato e&#8217; un backup che non esiste. Pianifica un test di disaster recovery almeno una volta l&#8217;anno.<\/p>\n<p><strong>Password manager<\/strong>: nel 2021 le opzioni serie per PMI italiane sono <strong>1Password Business<\/strong> (4-8 dollari\/utente\/mese, ottima UX), <strong>Bitwarden<\/strong> (open source, da 3 dollari\/utente\/mese, self-hostable), <strong>LastPass Business<\/strong> (storico, ma con problemi di sicurezza nel 2022). La regola: ogni account un password unica generata, niente riutilizzi, niente post-it, condivisione tramite vault (mai via email o chat).<\/p>\n<p><strong>Autenticazione a due fattori<\/strong>: l&#8217;ordine di preferenza nel 2021 e&#8217;:<\/p>\n<ol>\n<li><strong>Chiave hardware FIDO2\/U2F<\/strong> (YubiKey, Feitian): massima sicurezza, immune a phishing<\/li>\n<li><strong>App TOTP<\/strong> (Authy, Google Authenticator): buon compromesso, gratis<\/li>\n<li><strong>SMS<\/strong>: meglio di niente, ma vulnerabile a SIM swap, da evitare per account critici<\/li>\n<\/ol>\n<p>Una buona pratica e&#8217; implementare 2FA con backup codes stampati in cassaforte, per evitare lockout in caso di smartphone perso o rubato.<\/p>\n<h2>Email security: phishing, MX records, DMARC\/SPF\/DKIM<\/h2>\n<p>L&#8217;email resta il vettore numero uno. Proteggerla significa lavorare su due fronti: filtri in ingresso (gateway anti-phishing, sandbox allegati) e autenticazione del proprio dominio in uscita (per evitare che gli attaccanti spedicano email a tuo nome).<\/p>\n<p>I tre record DNS fondamentali sono:<\/p>\n<ul>\n<li><strong>SPF (Sender Policy Framework)<\/strong>: dichiara quali server sono autorizzati a inviare email per il tuo dominio. Esempio: <code>v=spf1 include:_spf.google.com -all<\/code><\/li>\n<li><strong>DKIM (DomainKeys Identified Mail)<\/strong>: firma crittografica delle email in uscita, verificabile dal destinatario tramite DNS<\/li>\n<li><strong>DMARC (Domain-based Message Authentication, Reporting &amp; Conformance)<\/strong>: policy che dice ai server riceventi cosa fare con email che falliscono SPF\/DKIM (none, quarantine, reject) e dove inviare i report<\/li>\n<\/ul>\n<p>Una PMI senza DMARC in policy <code>reject<\/code> consente a chiunque di spedire email finte a nome del suo dominio, danneggiando reputazione e clienti. La configurazione corretta richiede 1-2 giorni di lavoro e un periodo di monitoraggio dei report (4-8 settimane in policy <code>none<\/code>) prima di passare a <code>quarantine<\/code> e poi a <code>reject<\/code>.<\/p>\n<p>Sul fronte gateway, soluzioni come <strong>Proofpoint, Mimecast, Barracuda<\/strong> filtrano email malevole prima che raggiungano la casella. In alternativa, le suite Microsoft 365 Business Premium e Google Workspace Business Plus includono filtri avanzati nativi.<\/p>\n<h2>Firewall e VPN aziendale<\/h2>\n<p>Il perimetro di rete tradizionale (LAN dietro firewall) si e&#8217; frammentato con lo smart working. Oggi una PMI deve proteggere tre fronti: la sede fisica, gli accessi remoti, i servizi cloud.<\/p>\n<p><strong>Firewall<\/strong>: i leader 2021 per PMI italiane sono Cisco Meraki MX, Fortinet FortiGate, SonicWall, WatchGuard. Le funzionalita&#8217; minime da pretendere sono: stateful inspection, IPS\/IDS, web filtering, application control, log centralizzato, supporto VPN site-to-site e client. Per piccole sedi (5-20 PC) un firewall di fascia entry-level con licenza annuale (200-800 euro\/anno) e&#8217; sufficiente.<\/p>\n<p><strong>VPN aziendale<\/strong>: per smart working e accessi remoti la VPN e&#8217; obbligatoria. Le opzioni sono:<\/p>\n<ul>\n<li><strong>VPN client classica<\/strong> (IPSec, OpenVPN, WireGuard): connette il PC del dipendente alla rete aziendale<\/li>\n<li><strong>SASE \/ ZTNA<\/strong> (Zero Trust Network Access): approccio moderno dove ogni accesso e&#8217; verificato per utente, dispositivo, applicazione. Soluzioni: Cloudflare Access, Zscaler, Cisco Duo<\/li>\n<\/ul>\n<p>Per PMI con 10-50 dipendenti, una VPN WireGuard self-hosted o un OpenVPN su firewall e&#8217; il punto di partenza piu&#8217; economico. Per crescere e gestire decine di accessi, ZTNA e&#8217; la direzione del futuro.<\/p>\n<h2>Sicurezza del personale: formazione e cultura<\/h2>\n<p>La tecnologia da sola non basta. Il 90% degli incidenti analizzati da Clusit ha una componente umana: qualcuno ha cliccato un link, aperto un allegato, fornito una password, lasciato un PC sbloccato. La <strong>cultura della sicurezza<\/strong> in azienda e&#8217; il moltiplicatore di tutte le altre misure.<\/p>\n<p>Una strategia di security awareness per PMI include:<\/p>\n<ol>\n<li><strong>Onboarding<\/strong>: ogni nuovo assunto riceve formazione di base (1-2 ore) su phishing, password, dati personali, GDPR, policy aziendali<\/li>\n<li><strong>Corsi annuali obbligatori<\/strong>: 30-60 minuti di e-learning aggiornato sulle minacce dell&#8217;anno<\/li>\n<li><strong>Phishing simulato<\/strong>: campagne trimestrali (KnowBe4, Cofense, Hoxhunt) misurano il tasso di click e identificano chi ha bisogno di formazione mirata<\/li>\n<li><strong>Policy scritte e firmate<\/strong>: uso accettabile, password, dispositivi personali (BYOD), gestione incidenti<\/li>\n<li><strong>Cultura dell&#8217;errore<\/strong>: incoraggiare i dipendenti a segnalare email sospette o errori commessi senza paura di sanzioni. Un click segnalato in 5 minuti puo&#8217; evitare un incidente da 50.000 euro<\/li>\n<\/ol>\n<p>Non sottovalutare la <a href=\"https:\/\/brentasoft.com\/erp-brenta\/utenti.php\">gestione utenti e permessi<\/a>: il principio del minimo privilegio (least privilege) richiede che ogni utente abbia solo gli accessi strettamente necessari al suo ruolo, e che gli accessi siano revisionati almeno semestralmente.<\/p>\n<h2>Disaster recovery e business continuity<\/h2>\n<p>Quando l&#8217;incidente accade, la differenza tra una PMI che riprende le operazioni in 4 ore e una che resta ferma 4 settimane sta nel <strong>piano di disaster recovery<\/strong>. Non serve un manuale di 200 pagine: bastano alcune risposte chiare scritte e testate.<\/p>\n<p>Le domande fondamentali sono:<\/p>\n<ul>\n<li><strong>RTO (Recovery Time Objective)<\/strong>: in quante ore devi tornare operativo? 1 ora? 24 ore? 1 settimana?<\/li>\n<li><strong>RPO (Recovery Point Objective)<\/strong>: quanti dati puoi permetterti di perdere? Le ultime 24 ore? Le ultime 4 ore? L&#8217;ultima ora?<\/li>\n<li><strong>Chi attiva il piano<\/strong>? Chi sostituisce il responsabile IT se non e&#8217; raggiungibile?<\/li>\n<li><strong>Come comunichi<\/strong> con clienti, fornitori, dipendenti se l&#8217;email e&#8217; giu&#8217;?<\/li>\n<li><strong>Dove ripristini<\/strong> se la sede fisica non e&#8217; accessibile?<\/li>\n<\/ul>\n<p>Un piano DR realistico per PMI prevede: backup cloud immutabile, infrastruttura ridondata in cloud (anche solo come &#8220;bare bone&#8221; attivabile in caso di disastro), procedure scritte di failover, test annuale completo. Il costo per una PMI media (20 dipendenti, 1 server) si aggira sui 300-1000 euro al mese, una frazione del costo di una settimana di fermo.<\/p>\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1880\" height=\"1255\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/backup-dati-aziendali.jpg\" alt=\"Backup dati aziendali in data center sicuro\" class=\"wp-image-513\" srcset=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/backup-dati-aziendali.jpg 1880w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/backup-dati-aziendali-300x200.jpg 300w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/backup-dati-aziendali-1024x684.jpg 1024w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/backup-dati-aziendali-768x513.jpg 768w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/03\/backup-dati-aziendali-1536x1025.jpg 1536w\" sizes=\"(max-width: 1880px) 100vw, 1880px\" \/><figcaption>Backup 3-2-1 con copia off-site immutabile: il salvavita contro il ransomware<\/figcaption><\/figure>\n<h2>Sicurezza nel software gestionale e CRM<\/h2>\n<p>Il gestionale aziendale e il CRM sono il cuore digitale della PMI: contengono dati di clienti, fornitori, fatture, contratti, anagrafiche dipendenti. Una compromissione qui equivale alla paralisi totale. Le caratteristiche di sicurezza che dovresti pretendere da qualunque <a href=\"https:\/\/brentasoft.com\/soluzioni\/gestionali-personalizzati.php\">gestionale moderno<\/a> sono:<\/p>\n<ul>\n<li><strong>Autenticazione a due fattori nativa<\/strong>: non opzionale, non a pagamento aggiuntivo. Disponibile per tutti gli utenti.<\/li>\n<li><strong>Ruoli e permessi granulari<\/strong>: l&#8217;addetto magazzino non deve vedere il listino acquisti, il commerciale non deve modificare le fatture passive.<\/li>\n<li><strong>Log accessi e operazioni<\/strong>: chi ha visualizzato cosa, chi ha modificato cosa, quando. Conservazione log minimo 6-12 mesi.<\/li>\n<li><strong>Backup automatici cifrati<\/strong>: con retention configurabile e ripristino self-service.<\/li>\n<li><strong>Crittografia in transito (TLS 1.2+) e a riposo<\/strong>: dati sempre cifrati, anche nei backup.<\/li>\n<li><strong>Conformita&#8217; GDPR<\/strong>: registro trattamenti integrato, gestione consensi, export dati per richieste di portabilita&#8217;, cancellazione automatizzata.<\/li>\n<li><strong>Aggiornamenti di sicurezza tempestivi<\/strong>: patch per vulnerabilita&#8217; note rilasciate entro 30-90 giorni dalla scoperta.<\/li>\n<li><strong>Audit trail immutabile<\/strong> per le operazioni critiche (modifica fatture, cancellazione anagrafiche).<\/li>\n<\/ul>\n<p>Per PMI italiane, il consiglio e&#8217; privilegiare gestionali progettati con security by design e gia&#8217; conformi alle normative italiane ed europee. Per un approfondimento sulla compliance, leggi la nostra <a href=\"https:\/\/brentasoft.com\/blog\/gdpr-aziendale-guida-pmi-2021\/\">guida GDPR aziendale per PMI 2021<\/a> nel pillar dedicato.<\/p>\n<h2>Errori frequenti e come evitarli<\/h2>\n<p>Ecco gli errori che vediamo ripetersi nelle PMI italiane, con il rispettivo correttivo.<\/p>\n<p><strong>Errore 1: &#8220;Siamo troppo piccoli per essere attaccati&#8221;<\/strong>. Falso: il 43% degli attacchi colpisce piccole imprese, proprio perche&#8217; sono meno protette. <em>Correttivo<\/em>: applica le 8 misure di base, non aspettare l&#8217;incidente.<\/p>\n<p><strong>Errore 2: Backup sulla stessa rete<\/strong>. Il ransomware cifra anche i NAS condivisi. <em>Correttivo<\/em>: backup off-site cifrato, immutabile, testato.<\/p>\n<p><strong>Errore 3: Stesso amministratore per tutto<\/strong>. Account &#8220;Administrator&#8221; usato per email, RDP, gestionale. <em>Correttivo<\/em>: account separati per uso quotidiano e amministrazione, just-in-time admin.<\/p>\n<p><strong>Errore 4: VPN senza 2FA<\/strong>. Una credenziale rubata = accesso completo alla rete. <em>Correttivo<\/em>: 2FA obbligatoria su VPN.<\/p>\n<p><strong>Errore 5: &#8220;Ci pensa il consulente IT&#8221;<\/strong>. Il consulente esterno ha mille clienti, la sicurezza non e&#8217; la sua priorita&#8217; principale. <em>Correttivo<\/em>: contratto SLA scritto, controlli periodici, audit indipendente annuale.<\/p>\n<p><strong>Errore 6: Niente formazione<\/strong>. &#8220;I miei dipendenti sono svegli&#8221;. I phishing del 2021 ingannerebbero chiunque senza training. <em>Correttivo<\/em>: formazione strutturata, simulazioni trimestrali.<\/p>\n<p><strong>Errore 7: Polizza assicurativa come unica difesa<\/strong>. La cyber insurance copre i danni economici, non riporta in vita un&#8217;azienda chiusa per 3 mesi. <em>Correttivo<\/em>: l&#8217;assicurazione integra le misure tecniche, non le sostituisce.<\/p>\n<p><strong>Errore 8: Rimandare<\/strong>. &#8220;Ci pensiamo il prossimo trimestre&#8221;. Il prossimo trimestre puo&#8217; essere troppo tardi. <em>Correttivo<\/em>: definisci una roadmap a 90 giorni e parti dalle priorita&#8217; (backup, 2FA, formazione).<\/p>\n<h2>Domande frequenti<\/h2>\n<p><strong>Quanto deve investire una PMI in cybersecurity?<\/strong><br \/>\nUna stima ragionevole e&#8217; il 5-10% del budget IT complessivo, o 50-150 euro per dipendente all&#8217;anno per le misure di base. Le PMI che gestiscono dati sensibili (sanitario, finanziario, legale) dovrebbero investire di piu&#8217;, fino al 15-20% del budget IT.<\/p>\n<p><strong>Serve un CISO interno?<\/strong><br \/>\nPer PMI sotto i 50 dipendenti normalmente no. Sufficienti un responsabile IT formato sulla sicurezza e un consulente esterno (vCISO) per audit e strategia. Oltre i 100 dipendenti o in settori regolamentati, un CISO part-time o full-time diventa giustificato.<\/p>\n<p><strong>Cosa fare in caso di attacco ransomware?<\/strong><br \/>\nNon pagare immediatamente, isolare i sistemi infetti, contattare la Polizia Postale (denuncia obbligatoria entro 72h se ci sono dati personali coinvolti, per GDPR), attivare il piano DR, valutare con esperti forensi se i backup sono utilizzabili. Pagare il riscatto e&#8217; spesso una scommessa: nel 30% dei casi i decryptor non funzionano o sono parziali.<\/p>\n<p><strong>La certificazione ISO 27001 e&#8217; utile per una PMI?<\/strong><br \/>\nISO 27001 e&#8217; utile se hai clienti enterprise che la richiedono o se operi in settori regolamentati. Per altre PMI, e&#8217; meglio partire da framework piu&#8217; agili come CIS Controls o NIST CSF, che indicano le priorita&#8217; senza richiedere il rigore documentale ISO.<\/p>\n<p><strong>Cloud o on-premise: cosa e&#8217; piu&#8217; sicuro?<\/strong><br \/>\nDipende. I grandi cloud (AWS, Azure, Google Cloud) sono mediamente piu&#8217; sicuri di un server in cantina, ma richiedono competenze specifiche per essere configurati correttamente. Un server on-premise gestito da un IT competente puo&#8217; essere altrettanto sicuro. Il problema non e&#8217; &#8220;dove&#8221; stanno i dati, ma &#8220;come&#8221; sono protetti.<\/p>\n<p><strong>Quanto spesso fare un penetration test?<\/strong><br \/>\nPer PMI con esposizione internet (e-commerce, portali clienti, applicazioni web): annualmente. Per PMI senza servizi pubblici esposti: ogni 2-3 anni o dopo modifiche significative all&#8217;infrastruttura. Un vulnerability assessment automatico (Nessus, Qualys) andrebbe fatto trimestralmente.<\/p>\n<p><strong>Come scelgo un fornitore IT affidabile?<\/strong><br \/>\nVerifica certificazioni (ISO 27001, partnership Microsoft\/Cisco\/Fortinet), chiedi referenze di altri clienti PMI, pretendi un contratto scritto con SLA chiari, retention dei log, procedure di gestione incidenti. Diffida di chi promette &#8220;sicurezza totale&#8221;: non esiste.<\/p>\n<div style=\"background:#f5f7fa;border-left:4px solid #0066cc;padding:20px;margin:30px 0;border-radius:4px;\">\n<h3 style=\"margin-top:0;\">Vuoi un sistema gestionale gia a norma di sicurezza?<\/h3>\n<p>Brentasoft sviluppa software con security by design: log accessi, ruoli granulari, 2FA, backup automatici, conformita GDPR e ISO 27001 per PMI italiane.<\/p>\n<p style=\"margin-bottom:0;\"><a href=\"https:\/\/brentasoft.com\/erp-brenta.php\" style=\"display:inline-block;background:#0066cc;color:#fff;padding:12px 24px;border-radius:4px;text-decoration:none;font-weight:600;\">Scopri ERP Brenta &rarr;<\/a><\/p>\n<\/div>\n<p>La sicurezza informatica per le PMI italiane nel 2021 non e&#8217; un costo opzionale, e&#8217; un investimento sulla continuita&#8217; del business. Le misure di base, applicate con metodo, riducono drasticamente il rischio senza richiedere budget enterprise. Inizia da backup, 2FA e formazione: e&#8217; il modo piu&#8217; rapido per alzare il livello di protezione e dormire piu&#8217; tranquilli.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Guida 2021 alla sicurezza informatica per PMI italiane: rischi, misure di base, ransomware, phishing, backup, 2FA, formazione. Strategie concrete.<\/p>\n","protected":false},"author":2,"featured_media":510,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"Sicurezza informatica per PMI: la guida 2021","_seopress_titles_desc":"Sicurezza informatica PMI: rischi, ransomware, phishing, backup, 2FA, formazione. Guida 2021 con misure di base per piccole imprese italiane.","_seopress_robots_index":"","footnotes":""},"categories":[9],"tags":[233,231,228,232,230,36,229,227],"class_list":["post-509","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-guide-e-tutorial","tag-2fa","tag-backup","tag-cybersecurity","tag-password-manager","tag-phishing","tag-pmi","tag-ransomware","tag-sicurezza-informatica"],"_links":{"self":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/509","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/comments?post=509"}],"version-history":[{"count":0,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/509\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media\/510"}],"wp:attachment":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media?parent=509"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/categories?post=509"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/tags?post=509"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}