Non importa quanto sia complessa, una password da sola non è più un mezzo affidabile per mantenere la tua azienda al sicuro. Recenti violazioni dei dati hanno dimostrato quanto siano semplici le password da acquisire: gli aggressori spesso prendono di mira un dipendente in un attacco di "phishing", ottenendo l'accesso alla rete e, in modo cruciale, i dati aziendali.

Con la biometria ancora per fare enormi onde, è probabile che la password continui ad apparire negli scenari di sicurezza ancora per un po '. Tuttavia, gli esperti raccomandano che formi solo una parte del processo di autenticazione, piuttosto che la sua interezza.

  • Come utilizzare la potenza delle recensioni per gestire la tua reputazione online

Complessità e gestione sono importanti: le PMI sono spesso colpevoli di utilizzare la stessa password per più account, il che significa che una volta che gli aggressori sono entrati, hanno accesso a tutti i sistemi.

Peggio ancora, secondo Dan Power, Sales Director di OneLogin: "Spesso, dove la password è condivisa, la complessità è piuttosto debole".

"Anche per le cose semplici come l'accesso all'account FedEx, scopriamo che non vi è alcun processo per modificare la password quando le persone lasciano l'azienda", aggiunge.

Monitorare la tua rete

Tuttavia, se le password non funzionano, come può una SMB rimanere al sicuro? Gli esperti consigliano di monitorare la rete e rilevare gli attacchi non appena si verificano. La sicurezza è tradizionalmente incentrata sulla prevenzione, ma non funziona, afferma Jeremy Bergsman, responsabile della divisione di rischio informativo della società di consulenza aziendale CEB.

Consiglia alle aziende di cercare di nominare un "cacciatore" per monitorare i sistemi per traffico di rete sospetto. "Questo [cacciatore] sta individuando le cose mentre accadono, piuttosto che prevenirle", spiega, aggiungendo che stanno diventando sempre più popolari nelle società di servizi finanziari, nelle case farmaceutiche e "chiunque sia preso di mira dalla criminalità organizzata".

In passato, il monitoraggio coinvolgeva semplicemente la ricerca di avvisi dai sistemi, afferma Bergsman. "Ma il 'cacciatore' sta uscendo attivamente e sta cercando un comportamento strano - hanno la capacità unica di individuare gli indicatori di compromesso."

Idealmente, dice Bergsman, il "cacciatore" dovrebbe essere in grado di pensare simultaneamente sia dalla prospettiva dell'attaccante che dalle PMI. Il lavoro può essere estraneo a quelle piccole imprese, ma richiede una certa familiarità con i tuoi sistemi: "Le persone stanno esternalizzando il monitoraggio tradizionale, quindi magari esternalizzare il cacciatore", consiglia.

Prodotti

Con gli attacchi quasi sempre a partire da una persona, attraverso mezzi come le e-mail di phishing, anche l'educazione degli impiegati è molto importante. Ciò dovrebbe far parte di un approccio a più livelli alla sicurezza, gli esperti sono d'accordo e sono disponibili strumenti gratuiti per le piccole e medie imprese.

Ma parte di questo approccio a livelli include l'autenticazione: quindi se le password non la stanno tagliando, cosa funziona? Sono disponibili configurazioni di sicurezza basate su pattern come quelle utilizzate per gli schermi di blocco Android, afferma Catalin Cosoi, Chief Security Strategist di Bitdefender. Ma è probabile che alla fine verrà trovato un modo per comprometterli.

Invece, aggiunge: "Un'opzione molto interessante è fornita da configurazioni di password monouso: i generatori di token key fob sembrano essere i più efficaci per quanto riguarda l'autorizzazione di transazioni finanziarie specifiche: offrono molta sicurezza per pochissimo inconveniente."

Le PMI potrebbero anche utilizzare la biometria per un metodo sicuro di accesso fisico al cloud, afferma Peter Jones, Business Manager di soluzioni di sicurezza, gruppo di sistemi informatici, Hitachi Europe. "Poiché le aziende considerano il diritto al cloud e l'accesso diventa più critico da gestire, è possibile utilizzare biometrico come ingresso nel cloud: la biometria è un metodo più efficace per l'accesso ai sistemi o alle transazioni", afferma.

OneLogin offre gestione delle identità e single sign-on per le PMI per l'accesso ai servizi cloud. Nel frattempo, la società di sicurezza VASCO offre l'autenticazione a due fattori basata sul cloud per le PMI che gestiscono le transazioni, attraverso la sua piattaforma scalabile Mydigipass.com.

Con l'aumentare delle minacce alla sicurezza, un approccio a livelli che include il monitoraggio è fondamentale. La password non è ancora morta, ma certamente non è abbastanza sicura da sola.

  • Come scegliere la giusta banda larga aziendale