Checklist Sicurezza PMI 2025
20 punti pratici per proteggere
i dati della tua azienda

L'autenticazione a più fattori è il singolo intervento più efficace che puoi implementare oggi. Secondo Microsoft, l'MFA blocca il 99,9% degli attacchi automatici basati su credenziali compromesse. Abilita l'MFA su email aziendale, VPN, gestionale, portale cloud e qualsiasi accesso remoto. Usa app authenticator (es. Microsoft Authenticator, Google Authenticator) anziché SMS, più vulnerabili al SIM swapping.

Il ransomware colpisce un'azienda ogni 11 secondi nel mondo. L'unico rimedio certo è avere backup integri e offline. La regola 3-2-1 dice: 3 copie dei dati, su 2 supporti diversi, di cui 1 completamente offline (air-gapped). Automatizza i backup con strumenti come Veeam, Acronis o Windows Server Backup. Testa il ripristino almeno ogni 90 giorni: un backup mai testato è come non avere backup.

L'85% degli exploit sfruttati in attacchi reali usa vulnerabilità già note e già patchate dai vendor. Un programma di patch management strutturato – con scansione settimanale, aggiornamento entro 72 ore per vulnerabilità critiche (CVSS ≥ 9.0) e inventario di tutti gli asset software – riduce drasticamente la superficie di attacco. Usa strumenti come WSUS, Microsoft Endpoint Manager, o soluzioni RMM per automatizzare il processo.

Il fattore umano è coinvolto nell'82% dei breach. La formazione classica (slide + quiz) non funziona: serve un approccio basato sulla pratica. Le piattaforme di phishing simulation (KnowBe4, Proofpoint, Cofense) inviano email fasulle ai dipendenti e misurano chi clicca. Con un programma strutturato, il tasso di click scende dal 25% a meno del 5% in 12 mesi. Forma su: riconoscimento link sospetti, urgenza artificiale, impersonation di CEO o fornitori.

Il Principle of Least Privilege stabilisce che ogni utente, processo e sistema debba avere solo i permessi strettamente necessari per svolgere il proprio compito. Nella pratica: niente account admin generici, revisione trimestrale dei permessi, accesso privilegiato solo tramite PAM (Privileged Access Management), rimozione immediata degli accessi quando un dipendente lascia l'azienda. Il PoLP è anche un requisito esplicito del GDPR per il trattamento dei dati personali.

La crittografia è la prima linea di difesa se qualcuno riesce ad accedere ai tuoi dati. A riposo: abilita BitLocker su tutti i PC e laptop, crittografa i database che contengono dati personali (AES-256). In transito: usa solo TLS 1.2/1.3 per comunicazioni web, email cifrate (S/MIME o PGP) per comunicazioni sensibili. È anche un requisito GDPR (art. 32): in caso di violazione, se i dati erano cifrati la sanzione è ridotta significativamente.

Il 61% dei breach coinvolge credenziali compromesse. La soluzione è un password manager aziendale (1Password Business, Bitwarden Teams, LastPass Enterprise) che genera e memorizza credenziali uniche e complesse per ogni servizio. Vantaggi: zero password riusate, niente "Excel delle password", controllo centralizzato degli accessi, revoca immediata in caso di offboarding. Abbina sempre al password manager l'MFA (vedi punto 1).

Non puoi difendere ciò che non vedi. Un SIEM (Security Information and Event Management) o anche una soluzione più semplice come Microsoft Sentinel, Elastic SIEM o Graylog raccoglie i log di tutti i sistemi in un unico punto. Configura alert per: accessi fuori orario, login da IP insoliti, tentativi di accesso falliti multipli, modifiche ai permessi di admin. Il tempo medio di rilevamento di un attacco senza monitoraggio è 207 giorni.

La segmentazione di rete limita il "movimento laterale" dei malware: se un dispositivo viene compromesso, l'attaccante non riesce ad accedere agli altri sistemi. Implementa VLAN separate per: rete uffici, server, dispositivi IoT, ospiti Wi-Fi, sistemi OT/industriali. Usa firewall interni (micro-segmentazione) per filtrare il traffico tra VLAN. I dispositivi IoT in particolare sono spesso vulnerabili e non aggiornabili: isolali sempre dalla rete principale.

L'antivirus tradizionale basato su firme non basta più. Le soluzioni EDR (CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne) usano l'analisi comportamentale: identificano comportamenti anomali anche di malware sconosciuti (zero-day). Monitorano continuamente ogni endpoint (PC, server, laptop, mobile), correlano gli eventi e permettono una risposta automatica o assistita. Fondamentale per PMI con dipendenti remoti e dispositivi non sempre sotto controllo fisico.

Le chiavette USB restano uno dei vettori più sottovalutati: un famoso test ha dimostrato che il 45% delle chiavette trovate per terra viene inserita in un PC aziendale. Tramite Group Policy (GPO) su Active Directory o strumenti MDM (Microsoft Intune, Jamf) puoi bloccare l'uso di storage USB non approvati, consentendo solo dispositivi whitelist. Considera anche di disabilitare le porte USB fisicamente sui PC dove non servono.

Se la tua PMI ha un sito web, un portale clienti, un e-commerce o qualsiasi servizio esposto su internet, hai bisogno di un Web Application Firewall. Il WAF (Cloudflare WAF, AWS WAF, Sucuri) filtra il traffico HTTP/HTTPS e blocca automaticamente i tentativi di SQL injection, Cross-Site Scripting (XSS), attacchi CSRF, e bot malevoli. È anche un requisito de facto per la conformità PCI-DSS se accetti pagamenti online.

Quando (non se) subisci un attacco, avere un Incident Response Plan prestabilito riduce i tempi di contenimento da settimane a ore. Il piano deve definire: chi fa cosa, comunicazione interna ed esterna, contatti del CSIRT/fornitore sicurezza, criteri di escalation, procedure di isolamento sistemi, obbligo di notifica al Garante entro 72 ore (art. 33 GDPR). Testa il piano con esercitazioni tabletop almeno una volta l'anno.

Il 63% dei breach nelle PMI coinvolge terze parti: fornitori software, consulenti IT, MSP, studi legali, commercialisti con accesso ai tuoi sistemi. Ogni fornitore con accesso ai tuoi dati è un potenziale vettore di attacco. Implementa: questionari di sicurezza fornitori, clausole contrattuali sulla sicurezza (DPA GDPR), revisione annuale degli accessi di terze parti, preferenza per fornitori certificati ISO 27001 o SOC 2.

Il DNS filtering (Cisco Umbrella, Cloudflare Gateway, NextDNS) blocca la risoluzione DNS di domini malevoli, siti di phishing e C&C (command and control) dei malware prima ancora che la connessione venga stabilita. È uno dei controlli più economici e con il miglior ROI: riduce le infezioni da malware del 70% con minimo impatto sulle performance. Funziona su tutta la rete aziendale e anche sui dispositivi remoti tramite client.

Le macro di Microsoft Office sono state il principale vettore di distribuzione malware per anni. Tramite Group Policy, disabilita l'esecuzione di macro da internet e da fonti non fidate. Considera di abilitare solo macro firmate digitalmente con certificato aziendale. Lo stesso vale per PowerShell: applica il policy di execution policy "RemoteSigned" o "AllSigned" e abilita il logging di PowerShell per rilevare usi anomali. Blocca anche WScript e CScript dove non necessari.

Quando un firewall o un router si guasta, senza backup della configurazione il ripristino può richiedere giorni, causando downtime che costano migliaia di euro l'ora. Automatizza l'esportazione giornaliera delle configurazioni di switch, firewall (Fortinet, Palo Alto, pfSense), router e access point verso un repository separato e sicuro. Testa il ripristino da configurazione di backup in ambiente di test almeno ogni 6 mesi.

L'art. 32 del GDPR richiede misure tecniche per garantire la sicurezza del trattamento, inclusa la capacità di ripristinare disponibilità e accesso ai dati. L'audit trail – registrazione di chi ha acceduto a quali dati, quando e cosa ha fatto – è fondamentale per rilevare accessi non autorizzati, investigare incidenti e dimostrare compliance al Garante. Configura audit log su Active Directory, database, applicativi gestionali e NAS/file server. Conserva i log per almeno 12 mesi.

Gli account di servizio (utilizzati da applicazioni, script, job automatici) sono spesso dimenticati e diventano punti ciechi nella sicurezza. Usa un secret manager (HashiCorp Vault, Azure Key Vault, AWS Secrets Manager) per gestire credenziali tecniche, chiavi API, certificati e connection string. Non hard-codare mai credenziali nel codice o in file di configurazione in chiaro. Ruota le credenziali di servizio regolarmente e monitora il loro utilizzo.

Un penetration test (pentest) è un attacco simulato da parte di esperti etici che cercano vulnerabilità nei tuoi sistemi prima che lo facciano i criminali. È il modo più affidabile per verificare l'efficacia di tutti i 19 controlli precedenti. Un pentest annuale (con scope su infrastruttura interna, applicazioni web, social engineering) ti fornisce un piano di remediation prioritizzato. È anche richiesto da normative come PCI-DSS e consigliato dalle linee guida ACN (Agenzia per la Cybersicurezza Nazionale) per le PMI.