Quando si parla di sicurezza informatica nelle PMI, alla fine la conversazione finisce sempre lì: “abbiamo il backup”. Bene. È il pilastro. Ma il backup è uno dei tre pilastri, non l’unico. Gli altri due sono la prevenzione (rendere difficile l’accesso) e la rilevazione (sapere quando qualcosa è successo, prima che diventi grave).
Un’azienda con solo backup è come una casa con solo l’assicurazione contro il furto: dopo che ti hanno svaligiato tutto, ti danno dei soldi. Ma il vetro rotto, il senso di violazione, la fiducia con i clienti, i tre giorni a riconfigurare i sistemi – quelli non te li ridà nessuno. Aggiungere una serratura buona (autenticazione forte, aggiornamenti, password manager) e un sensore (log monitoring, alerting) costa pochissimo e cambia il film.
Il punto operativo: scegli un giorno al trimestre e fai tre cose. Aggiorna tutto quello che ha un aggiornamento pendente. Verifica che il backup di ieri sia davvero ripristinabile (non guardare l’icona verde: prova a ripristinare un file qualunque). Leggi i log degli ultimi sette giorni di tutto quello che hai esposto su Internet. Tre ore al trimestre. Dodici ore all’anno. È il miglior investimento di sicurezza che puoi fare con i soldi che già hai.
