Piano di emergenza IT per le PMI

La trasformazione digitale rende molte aziende più dipendenti dai programmi critici per le loro attività e aumenta il rischio di attacchi informatici. Le PMI, che dispongono di minori risorse rispetto alle grandi aziende e sono quindi meno preparate, sono particolarmente a rischio. Un terzo di tutte le PMI svizzere è già stato attaccato almeno una volta da criminali informatici.

Un attacco informatico o un guasto di sistema dovuto a errori operativi, hardware o software può paralizzare l’IT e quindi l’attività per giorni o settimane. Questo costa molto in termini di denaro, fiducia della clientela e reputazione. Per questo motivo ogni azienda, indipendentemente dalle sue dimensioni, ha bisogno di un piano per il recupero dei dati aziendali critici e dei sistemi IT in caso di emergenza. Molte PMI sono tecnicamente preparate: proteggono i loro sistemi informatici con programmi antivirus, aggiornano regolarmente i software e hanno installato dei firewall. Ma troppo poche hanno un piano di emergenza IT o un concetto di emergenza IT su come rispondere a un attacco o a un guasto.

Il piano di emergenza garantisce che l’azienda possa rispondere in modo appropriato, rapido ed efficace alle emergenze IT. Un piano di emergenza IT per le PMI dovrebbe contenere almeno i seguenti documenti:

• tutti i dati di contatto della direzione aziendale e del personale IT centrale
• tutti i dettagli di contatto dei fornitori esterni di servizi IT e dell’assicurazione cyber
• documentazione di tutti i sistemi, le reti e le applicazioni IT rilevanti, comprese le dipendenze e i possibili effetti sui processi critici per l’azienda
• modelli per la comunicazione con i principali clienti, fornitori e partner e con le parti interessate, come l’Ufficio federale della cibersicurezza (UFCS)
• liste di controllo con compiti e responsabilità per gli scenari di emergenza IT più probabili, come violazioni di dati, attacchi ransomware o guasti di sistema
• elenco di tutti i documenti che possono essere utili in caso di emergenza, ad esempio l’inventario, gli elenchi dei e delle clienti e del personale, la documentazione del sistema e delle applicazioni o i piani di ripristino

Il piano di emergenza IT deve essere conservato fisicamente in un luogo sicuro e aggiornato almeno una volta all’anno. Tutti i collaboratori e tutte le collaboratrici chiave e il management devono sapere dove trovare il piano e potervi accedere in qualsiasi momento.

Non esistono due crisi uguali. Ogni PMI dovrebbe quindi integrare nel proprio piano di emergenza varie liste di controllo con misure per gli scenari di emergenza IT più probabili. Oltre alle misure, le liste di controllo definiscono anche i livelli di escalation, i canali di segnalazione e le responsabilità.

1. Scollegare immediatamente il sistema di backup dalla rete
2. Spegnere il router e scollegare tutte le connessioni a Internet
3. Scollegare il server dalla rete, ma non spegnerlo (conservazione delle prove)
4. Non pagare alcun riscatto, o solo in accordo con un fornitore di servizi di emergenza IT esperto.
5. Non comunicare tramite il sistema di posta elettronica interno
6. Non utilizzare sistemi e applicazioni eventualmente infetti
7. Nessuna analisi tecnica o recupero affrettato del sistema

1. Determinare l’entità dei dati rubati o compromessi e documentarli per le indagini
2. Segnalare immediatamente l’accaduto alla polizia cantonale e, nel caso di attacchi informatici, anche all’Ufficio federale della cibersicurezza UFCS. Inoltre, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) deve essere informato ai sensi della legge sulla protezione dei dati se il rischio per le parti interessate è elevato. 
3. Rivolgersi a un avvocato che valuterà se l’accaduto è da segnalare, comunicherà con l’IFPDT e supporterà l’azienda nella gestione delle conseguenze dell’accaduto.
4. Informare tutte le persone interessate (fisiche e giuridiche).
5. Migliorare le misure tecniche e organizzative per migliorare la sicurezza del sistema e la protezione dei dati e prevenire tali incidenti in futuro.

Importante: le PMI che hanno stipulato una Cyber assicurazione dovrebbero innanzitutto chiarire la copertura dei costi con la propria assicurazione prima di consultare un avvocato.

1. Scollegare immediatamente il sistema di backup dalla rete
2. Informare tutti gli e tutte le utenti
3. Localizzare i sistemi e le applicazioni interessati
4. Controllare il sistema per individuare eventuali difetti hardware e software e problemi di comunicazione
5. Chiarire le dipendenze e le conseguenze
6. Visualizzare la documentazione e il piano di ripristino
7. Contattare un fornitore esterno di servizi IT

La carta è paziente. Non è quindi sufficiente creare un piano di emergenza IT, stamparlo e archiviarlo. Queste misure evitano alle piccole e medie imprese di scoprire quanto sia valido il loro piano di emergenza solo in caso di emergenza:

• Aggiornare continuamente e testare regolarmente il piano di emergenza IT, ad esempio attraverso scenari di emergenza simulati o esercitazioni di emergenza
• Adattare continuamente il piano di emergenza IT alle minacce attuali, ma anche ai nuovi requisiti legali, alle nuove infrastrutture IT o alle nuove tecnologie
• Sensibilizzare tutti i collaboratori e tutte le collaboratrici sui temi della sicurezza informatica e della protezione dei dati, informarli e informarle sul piano di emergenza e organizzare corsi di formazione o workshop

Le imprese assicurate con Zurich possono chiamare la nostra Cyber Hotline 24 ore su 24, 7 giorni su 7. Il numero di telefono è riportato sulla polizza d’assicurazione. Durante gli orari d’ufficio, si occupano del caso collaboratori specializzati e collaboratrici specializzate di Zurich, di notte e nei fine settimana gli esperti e le esperte IT Security della nostra rete di partner.