Massimizzare la Sicurezza e Minimizzare i Costi: Consigli da un Professionista della Cybersecurity in una Startup
Gestire i rischi informatici è difficile per le aziende di qualsiasi dimensione. Ma può essere particolarmente impegnativo per le startup, che hanno uno staff limitato e poche risorse finanziarie da investire in software di cybersecurity avanzati—un fatto che conosco bene sulla base della mia esperienza nella supervisione della sicurezza informatica per una startup che opera nel settore della gestione dei costi cloud.
Per fortuna, trovare modi per ottimizzare il budget destinato alla sicurezza informatica è possibile. Si comincia sfruttando il "basso sforzo, grande risultato" – ovvero tutte quelle azioni che le aziende possono intraprendere per migliorare la sicurezza, a basso costo ma ad alto impatto.
Ecco alcuni esempi di queste pratiche, e i motivi per cui le startup attente ai costi dovrebbero adottarle per ridurre i rischi senza limitare la crescita.
Want more from The CTO Club?
Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.
Have an account? Log In
Perché le startup fanno fatica con la sicurezza informatica
Prima di parlare delle azioni economiche che le startup possono adottare per ridurre i rischi di sicurezza, consideriamo perché spesso le startup non eccellono nella protezione informatica.
Il motivo principale è semplice: la maggior parte delle startup è in fase di crescita, ed è fin troppo facile relegare la sicurezza in secondo piano rispetto alla crescita. Nel desiderio di portare i prodotti sul mercato e aumentare il fatturato, troppo spesso la sicurezza viene trascurata.
Inoltre, la maggior parte delle startup semplicemente non dispone di grandi risorse economiche e di personale da dedicare alle sfide della sicurezza. Questo significa che, anche se prendono la sicurezza sul serio, potrebbero non avere abbastanza mezzi per applicare le best practice con la dovuta rigorosità.
Massimizza i risultati della sicurezza informatica con poco budget
Ma il fatto che la sicurezza rappresenti una sfida per le startup non significa che debbano esporsi a rischi eccessivi. Anche le nuove aziende con risorse molto limitate possono avvalersi di pratiche come quelle che seguono, migliorando la propria sicurezza a costo nullo o quasi.
1. Fai formazione sulla consapevolezza in ambito sicurezza
Il phishing rimane uno dei tipi più diffusi di minacce informatiche, coinvolgendo oltre il 90 percento delle aziende, che hanno subito almeno un attacco di phishing nel 2023.
La buona notizia è che la formazione dei dipendenti sulla consapevolezza della sicurezza è efficace nel ridurre il rischio di cadere vittima di attacchi di phishing. Non è nemmeno troppo costosa—specialmente per le piccole aziende. La formazione può consistere in brevi presentazioni tenute dal personale di sicurezza, mentre i test possono prevedere l’invio di simulazioni di messaggi di phishing ai dipendenti per vedere chi clicca su contenuti dannosi.
Ho implementato personalmente questa pratica nella mia startup e sono felice di dire che, dopo alcuni cicli di formazione, abbiamo ottenuto un tasso di clic sui contenuti di phishing simulati pari a zero percento—il che significa che tutti i nostri dipendenti dimostrano pienamente la consapevolezza della sicurezza che la formazione mirava ad instillare.
2. Abilita i componenti aggiuntivi di sicurezza gratuiti
Molte applicazioni e servizi offrono funzionalità di sicurezza gratuite che puoi attivare per aumentare la protezione. Ad esempio, la maggior parte dei provider cloud mette a disposizione la Multi-Factor Authentication (MFA) come opzione senza costi aggiuntivi. Puoi anche attivare, spesso senza costi, funzionalità come la cifratura dei dati di default o disabilitare l’accesso pubblico alle risorse, a meno che tu non lo configuri esplicitamente.
Utilizzare questi componenti aggiuntivi è un modo facile e praticamente gratuito per migliorare la sicurezza. L’unica spesa consiste nel tempo minimo necessario per abilitare queste funzionalità, un piccolo investimento che vale sicuramente la protezione aggiuntiva che otterrai.
3. Aggiorna, aggiorna, aggiorna
Oltre il 50 percento degli attacchi informatici riesce a causa di una semplice falla: software non aggiornato, cioè applicazioni che le aziende dimenticano di mantenere al passo con le ultime versioni.
Lavorando in una startup, so bene quanto i team IT possano essere sovraccarichi, e capisco perché a volte non diano priorità agli aggiornamenti. Ma considerando che molte applicazioni consentono la configurazione automatica degli aggiornamenti, davvero non c’è una buona scusa per trascurare il patching.
È anche fondamentale definire un processo di aggiornamento che permetta al team di revisionare e testare le patch prima di distribuirle tramite strumenti automatici. Di nuovo, il minimo tempo speso per strutturare e mantenere una routine di patching verrà ampiamente ripagato dalla protezione aggiuntiva garantita.
4. Etichetta le risorse
Etichettare le risorse – cioè applicare etichette per identificare cosa fa una risorsa, chi l'ha creata e così via – rappresenta una best practice basilare per il controllo dei costi, perché consente di capire più facilmente se stai pagando per risorse inutili.
Ma l’etichettatura gioca anche un ruolo importante nella sicurezza. Quando le risorse sono correttamente etichettate, puoi stabilire velocemente chi ne è il “proprietario” nel caso si debbano apportare modifiche a seguito di un rischio informatico. In questo modo, l’etichettatura rappresenta un metodo a basso costo per ridurre il Mean Time to Remediate (MTTR), una delle metriche chiave per valutare l’efficacia della sicurezza informatica.
5. Abilita RBAC
Il controllo accessi basato sui ruoli, o RBAC, è un'altra funzionalità presente nella maggior parte delle applicazioni o piattaforme software che puoi attivare gratuitamente, ma che troppo spesso le startup trascurano. Invece di assegnare a ciascun utente un livello di accesso allineato ai propri ruoli in base al principio del privilegio minimo, le startup tendono ad esempio a rendere tutti amministratori perché è più veloce e semplice.
Ma ancora una volta, lo sforzo necessario per adottare la soluzione più sicura—ovvero abilitare RBAC e configurare controlli d’accesso granulari per ogni utente—è di gran lunga inferiore rispetto al tempo e al costo derivanti da una violazione causata da account sovra-privilegiati. Non importa quanto sia piccola la tua azienda, sfrutta i vantaggi dell’RBAC.
6. Semplifica la gestione delle password
Il modo ideale per gestire le password è implementare una soluzione di single sign-on (SSO) che consenta ai dipendenti di accedere a tutte le tue app e servizi con un solo login, riducendo così la superficie d’attacco dei dati di accesso da proteggere. Tuttavia, i servizi SSO possono essere costosi e le aziende potrebbero aver bisogno di risorse di sviluppo per integrarli con le proprie app. Per entrambi questi motivi, l’SSO non è sempre una soluzione praticabile per le startup.
I gestori di password rappresentano la soluzione migliore successiva. Generano automaticamente password per le singole app e le sbloccano tramite una password principale inserita dai dipendenti. La maggior parte dei gestori di password ha un costo, ma è comunque inferiore rispetto ai servizi SSO e non richiedono il supporto di sviluppatori.
Il punto è che, anche con un budget limitato, dovresti adottare misure per ridurre il rischio che gli aggressori abusino delle credenziali di accesso – se non tramite SSO, almeno tramite un gestore di password.
Fare di Più con Meno
In un mondo ideale, ogni startup avrebbe risorse illimitate da investire in sicurezza. Ma nel mondo reale, poche startup hanno questo lusso, perciò è necessario concentrarsi sulle iniziative che garantiscono i maggiori benefici al minor costo.
Adottando questo approccio, le piccole aziende non solo minimizzano i rischi, ma aiutano anche a proteggere le loro prospettive di crescita a lungo termine. Infatti, la capacità di dimostrare l’adozione delle migliori pratiche di cybersecurity è spesso fondamentale nel rapporto con investitori, clienti aziendali e per ottenere le certificazioni necessarie per portare i prodotti sul mercato.
Ciò significa che investire in pratiche di cybersecurity efficaci e a basso costo non è solo positivo dal punto di vista della sicurezza, ma è anche una scelta aziendale intelligente per una startup.
Per altri consigli sulla cybersecurity, iscriviti alla Newsletter di The CTO Club.
