Gli errori di sicurezza informatica commessi dalle startup tecnologiche, secondo un esperto

Se c’è una cosa che la tua startup tecnologica dovrebbe imparare dal 2025, è che nessuna azienda è troppo piccola per essere un bersaglio per i criminali informatici. Infatti, le PMI sono ora prospettive più attraenti per il ransomware rispetto alle imprese legacy, grazie alle loro risorse limitate e ai preziosi dati dei clienti.

Spesso, le startup mancano della conoscenza o delle risorse necessarie per prendere buone decisioni all’inizio della loro attività. Abbiamo contattato un esperto di sicurezza IT che lavora frequentemente con startup tecnologiche per ottenere approfondimenti su ciò che le aziende devono sapere quando sono appena agli inizi.

Gary Power, COO e Direttore dei Servizi Clienti presso Power Consulting(nuova finestra), ha 25 anni di esperienza nel settore IT in outsourcing. Power Consulting lavora a stretto contatto con aziende di tutte le dimensioni in tutti i settori, fornendo servizi tra cui servizi IT gestiti, pianificazione strategica IT e audit e servizi di sicurezza informatica.

Abbiamo parlato con Gary per capire dove le startup tecnologiche commettono errori all’inizio della loro attività.

La tua azienda non è troppo piccola per le misure di sicurezza informatica

Utilizzando il nostro Osservatorio sulle violazioni dei dati, Proton ha tracciato i dati aziendali trapelati nel dark web per capire chi gli hacker stessero prendendo di mira e come le aziende venissero violate. Abbiamo scoperto 794 violazioni, per un totale di oltre 300 milioni di record trapelati, ed è diventato ovvio che le organizzazioni più piccole sono sempre più a rischio.

La tua azienda può trarre vantaggio dall’esaminare come e perché altre aziende sono state colpite da violazioni dei dati. Le informazioni ottenute dall’Osservatorio sulle violazioni dei dati, così come le nostre raccomandazioni di sicurezza informatica per le startup tecnologiche, si trovano nel nostro ultimo eBook, The breaches that broke 2025.

Scarica l’eBook

Che la gestione delle credenziali sia stata carente o che non abbiano utilizzato misure protettive come la crittografia end-to-end, sembra che le PMI stiano commettendo errori cruciali nelle loro pratiche di sicurezza. E se le piccole imprese rimangono vulnerabili alle minacce informatiche, ciò finirà per danneggiare le industrie e l’innovazione in tutto il mondo limitando la crescita aziendale.

Gary nota che una parte fondamentale della protezione adeguata della tua azienda è cambiare mentalità quando si tratta delle misure di sicurezza che impieghi.

“All’inizio, i fondatori di solito pongono domande reattive come ‘Ne abbiamo bisogno?’ o ‘È eccessivo per le nostre dimensioni?’ Man mano che maturano, le domande si spostano su ‘Cosa ci impedirebbe effettivamente di essere violati?’ e ‘Come scaliamo in sicurezza senza rallentare l’azienda?'”

Invece di saltare passaggi man mano che la tua azienda si afferma, investi fin dall’inizio nella tua sicurezza informatica. Dopotutto, come dice Gary: “I fondatori di maggior successo capiscono che la sicurezza è un abilitatore, non un ostacolo.“

Gli strumenti legacy non sono automaticamente sicuri

Quando è il momento di scegliere gli strumenti, come le soluzioni di email, drive e gestore di password che la tua azienda utilizzerà, la tua scelta fa una grande differenza. Gary mette in guardia dal presumere che le soluzioni popolari e moderne siano automaticamente l’opzione più sicura.

“Il punto cieco più grande è presumere che la sicurezza sia ‘implicita’ perché utilizzano strumenti moderni o piattaforme cloud. I fondatori spesso credono che Microsoft 365, Google Workspace o AWS equivalgano automaticamente a sicurezza. In realtà, la maggior parte delle violazioni deriva da configurazioni errate, controlli di identità deboli, scarsa igiene degli accessi e mancanza di monitoraggio — non da tecniche di hacking esotiche.”

Questo potrebbe non sembrare positivo, ma lo è: è molto più difficile prevedere e prevenire tecniche di hacking sofisticate che costruire forti pratiche di gestione dell’identità e monitoraggio all’interno della tua rete. I problemi evidenziati da Gary possono essere affrontati utilizzando quanto segue:

• Accurate pratiche di sicurezza delle applicazioni web che ti consentono di identificare e mitigare potenziali minacce al tuo ambiente.
• Misure di gestione dell’identità come single sign-on (SSO) e autenticazione a due fattori (2FA) che proteggono la tua rete aziendale rendendo al contempo più facile e sicuro per i membri del team accedere alla rete aziendale.
• Il monitoraggio del dark web è uno strumento utile che può informarti se qualcuno dei tuoi dati aziendali appare nel dark web, permettendoti di agire rapidamente e prevenire una violazione dei dati.

L’errore umano è una seria minaccia

Non importa se i tuoi strumenti sono sicuri se non vengono utilizzati in modo sicuro. L’errore umano è in realtà una delle maggiori minacce alla sicurezza informatica della tua azienda. Le superfici di attacco stanno crescendo esponenzialmente grazie alla complessità delle moderne reti aziendali, richiedendo ai membri del team di creare dozzine di account con password uniche e potenzialmente accedere a questi account dai loro dispositivi personali.

“Un’altra grave mancanza è sottovalutare il rischio umano: phishing, riutilizzo delle credenziali e dispositivi non gestiti sono solitamente la porta d’ingresso.“

Questi rischi possono essere attribuiti alla mancanza di consapevolezza nella sicurezza informatica e ad aspettative poco chiare su come o se si possa accedere alla rete aziendale tramite i dispositivi personali dei membri del team. Fortunatamente, possono essere affrontati facilmente con un approccio duplice di policy e formazione:

• Una formazione aziendale su come individuare truffe di phishing e altri tipi di malware(nuova finestra) aiuterà ogni membro del team a proteggere la tua rete aziendale
• Una policy sul lavoro da remoto e una policy bring your own device (BYOD) se rilevante per la tua azienda
• Un gestore di password aziendale sicuro garantirà che le tue policy sulle password vengano applicate e che le credenziali sensibili siano archiviate in una posizione centrale e persino condivisibili in modo sicuro se necessario.

“Le decisioni iniziali diventano impostazioni predefinite permanenti”, afferma Gary. “Modelli di identità, posizioni dei dati, accesso amministratore e standard dei dispositivi sono incredibilmente difficili da smantellare in seguito — specialmente una volta coinvolti clienti, investitori e regolatori. Il debito di sicurezza si accumula proprio come il debito tecnico. È molto più economico e meno dirompente stabilire buone barriere di protezione presto che adattare i controlli dopo una violazione, un fallimento dell’audit o un rifiuto dell’assicurazione informatica.”

I fondamenti della sicurezza sono più importanti degli strumenti

Gli strumenti non sono l’unica considerazione che le aziende devono fare mentre si affacciano sul mercato. La tua infrastruttura IT detterà quanto in sicurezza i membri del team possono lavorare, quanto bene puoi individuare i rischi e quanto velocemente puoi mitigare i problemi.

Gary spiega come gli esperti di Power Consulting approcciano la configurazione dell’infrastruttura IT e di sicurezza informatica per le startup. “Ci concentriamo sui fondamenti prima che sugli strumenti luccicanti.”

• Configura solide policy di gestione dell’identità e degli accessi, inclusi MFA e “principio del privilegio minimo”, il che significa che le persone dovrebbero avere accesso solo ai sistemi di cui hanno bisogno.
• Proteggi i tuoi endpoint, inclusi i dispositivi personali dei dipendenti, fin dal primo giorno. Il software di gestione dei dispositivi può aiutarti a tenere traccia di chi accede alla tua rete e dove.
• Usa logging e monitoraggio centralizzati in modo che problemi come accessi non autorizzati o violazioni dell’account non passino inosservati.
• Preparati a un evento con adeguati strumenti di backup e ripristino come backup immutabili (che non possono essere modificati dopo essere stati creati) o protezione offsite dove i dati critici vengono inviati e archiviati lontano dalla tua sede aziendale principale.

Costruendo la tua azienda su solide basi, in definitiva stai investendo in un’azienda più sicura per il tuo futuro. Il tempo che impieghi a costruire un’infrastruttura sicura vale i soldi che risparmierai e il rischio che eviterai a lungo termine.

Prenditi il tempo per configurare correttamente

Gary raccomanda di concentrarsi sull’architettura dell’identità perché questa è l’area con il maggiore impatto sulla sicurezza. Ogni membro del team ha un’identità digitale che gli consente di accedere ai dati e agli strumenti di cui ha bisogno nella tua rete aziendale e configurarla bene fa tutta la differenza in seguito.

“Una cattiva architettura dell’identità è la più difficile da annullare — account condivisi, debole adozione dell’MFA e troppi amministratori creano rischi a lungo termine”, spiega Gary. “La proliferazione di dati non strutturati è un altro problema grave; una volta che i dati sensibili sono sparsi su drive personali, caselle email e app SaaS non gestite, riprendere il controllo è doloroso. Infine, la mancanza di documentazione e proprietà all’inizio porta a confusione e punti ciechi man mano che i team crescono.”