Ecco una realtà che toglie il sonno a molti piccoli imprenditori: una singola configurazione errata del cloud può esporre i dati dei clienti, innescare sanzioni normative e compromettere la reputazione aziendale, il tutto prima ancora di aver bevuto il caffè del mattino. La buona notizia? Proteggere il proprio ambiente cloud non richiede un budget di sicurezza a sei cifre o un reparto IT dedicato. Richiede le giuste priorità, applicate nel giusto ordine.
Il rischio maggiore probabilmente non è quello che pensi
La maggior parte delle piccole imprese presume che il proprio cloud sia sicuro perché un fornitore gestisce i server. Questa supposizione è costosa. I fornitori di servizi cloud proteggono l'infrastruttura. Proteggere ciò che viene eseguito su di essa, ovvero i vostri dati, le vostre autorizzazioni utente e le vostre configurazioni, è interamente responsabilità vostra.
I punti di accesso più comuni per gli aggressori sono incredibilmente banali: account con autorizzazioni eccessive, bucket di archiviazione dimenticati e lasciati pubblici, e credenziali codificate direttamente nelle applicazioni. Nessuno di questi richiede tecniche di hacking sofisticate. I bot automatizzati scansionano gli ambienti cloud 24 ore su 24 e individuano queste vulnerabilità in pochi minuti.
Parti dall'identità, poi procedi verso l'esterno
Prima di spendere un solo dollaro in strumenti di sicurezza, verificate chi e cosa ha accesso ai vostri account cloud. Eliminate le credenziali non utilizzate, imponete l'autenticazione a più fattori per ogni accesso umano e rivedete le autorizzazioni dei servizi in modo che ogni applicazione possa accedere solo a ciò di cui ha effettivamente bisogno. Questa semplice operazione elimina gran parte della superficie di attacco che la maggior parte delle piccole imprese presenta inconsapevolmente.
A questo punto, abilita il rilevamento delle minacce integrato del tuo provider cloud. AWS GuardDuty , Microsoft Defender for Cloud e Google Security Command Center offrono tutti un monitoraggio di base a costi contenuti o nulli. Segnalano chiamate API sospette, schemi di accesso insoliti e potenziali esfiltrazioni di dati senza richiedere la creazione di alcuna soluzione da zero.
Ottenere una copertura maggiore a un prezzo inferiore
Gli strumenti di sicurezza più importanti per le piccole imprese sono gratuiti o costano poche centinaia di dollari al mese. Gli scanner di postura open source come Prowler possono eseguire controlli settimanali sull'ambiente e individuare le configurazioni errate prima che si trasformino in incidenti. I gestori di segreti di AWS, Azure o HashiCorp archiviano in modo sicuro le credenziali del database e le chiavi API a un costo inferiore a quello di un pranzo.
Le aziende tendono a spendere troppo quando cercano di replicare programmi di sicurezza aziendali che non sono mai stati progettati per le loro dimensioni. Un team di 12 persone non ha bisogno di una piattaforma SIEM pensata per un SOC di 500 persone. Scegliere gli strumenti giusti per le proprie dimensioni reali è di per sé una decisione di sicurezza, perché i sistemi sovradimensionati tendono a non essere controllati e a essere configurati in modo errato.
Crittografia e backup sono imprescindibili per un cloud computing sicuro
L'attivazione della crittografia per lo storage cloud e i database non comporta costi aggiuntivi sulla maggior parte delle piattaforme. È sufficiente attivarla e verificarne l'integrità. Altrettanto importante è una strategia di backup collaudata. Gli attacchi ransomware contro le piccole imprese sono aumentati vertiginosamente e le aziende che si riprendono più velocemente sono quelle che dispongono di backup recenti e integri, archiviati in un account o in una regione separata.
Un backup mai testato potrebbe non funzionare quando ne avrai bisogno. Pianifica un'esercitazione di ripristino trimestrale. Richiede un pomeriggio e può salvare l'intera attività.
Raggiungere il pubblico giusto senza sforare il budget
La sicurezza è solo metà dell'equazione per le piccole imprese che competono in un mercato affollato. Aumentare il fatturato gestendo risorse limitate significa che ogni euro speso per il contatto con i clienti deve essere ben investito. Il marketing basato sull'intento aiuta le aziende a identificare e coinvolgere i potenziali clienti che stanno già attivamente cercando soluzioni come le loro, in modo che tempo e denaro vengano impiegati verso persone che hanno un reale motivo per acquistare.
Abbinato al marketing basato sugli account (ABM) , che concentra gli sforzi su un elenco definito di aziende altamente idonee anziché rivolgersi a un pubblico indiscriminato, il marketing basato sugli account consente alle piccole imprese di generare un flusso di clienti molto più consistente rispetto alle loro dimensioni, senza dover ricorrere a campagne ingombranti pensate per i budget delle grandi aziende.
Le basi battono tutto
Un approccio rigoroso e costante in materia di sicurezza protegge una piccola impresa con la stessa efficacia di un programma di sicurezza molto più ampio applicato in modo negligente.
Iniziate dall'identità. Abilitate il rilevamento nativo. Verificate la presenza di configurazioni errate. Crittografate tutto per impostazione predefinita. Testate i vostri backup. Questa sequenza, eseguita con un budget limitato, chiude la stragrande maggioranza delle porte che gli aggressori effettivamente utilizzano.
