Data: 

8 May 2024

Autore: 

PREO AG

On-Premise vs. Cloud


In che modo un'implementazione coerente aumenta significativamente il livello di sicurezza

Ransomware, malware, attacchi DDoS e molto altro: i principali rischi informatici attuali  stanno diventando sempre più una minaccia economica esistenziale per le aziende a causa del pericolo che rappresentano. Lo ha confermato solo l'anno scorso l'ultimo rapporto sui pericoli dell'Agenzia dell'Unione europea per la cybersicurezza, ENISA.


L'espansione dei servizi e delle infrastrutture cloud guidata dall'attuale sviluppo digitale e l'uso spesso troppo spensierato di prodotti software basati su cloud aprono ulteriori porte di accesso alle reti aziendali per i pirati informatici e creano requisiti sempre più complessi per la sicurezza informatica e dei dati. La nostra esperienza dimostra che, nonostante tutte le complessità, le misure di sicurezza semplici e comprovate vengono sempre trascurate. La loro costante osservanza nel lavoro quotidiano garantisce un significativo aumento della resilienza informatica.


In questo post del blog abbiamo quindi riassunto otto misure ampiamente note e abbastanza facili da implementare all'interno di un'azienda. Dimostriamo con degli esempi perché soprattutto le aziende e le amministrazioni pubbliche con elevati requisiti di sicurezza, sovranità e disponibilità dei dati e severe linee guida di conformità si affidano all'uso di licenze software usate di PREO in modalità on-premise.


Aumentare la sicurezza informatica e dei dati: otto misure comprovate per le aziende

1. Aggiornamenti regolari e patch

Ciò che di solito è ovvio, nella pratica quotidiana si presenta sempre di nuovo con delle lacune. Soprattutto perché tra l'informazione che è disponibile un aggiornamento del sistema o del software e l'installazione tecnica passano rapidamente uno o più giorni. In questo caso, un'amministrazione centralizzata, un sistema di allarme precoce automatizzato e procedure chiaramente definite aiutano a installare il più rapidamente possibile gli aggiornamenti e le patch disponibili per colmare le lacune di sicurezza.


2. Tecnologie di base per la protezione di terminali e reti

Rimane fondamentale la protezione delle reti aziendali con tecnologie di base, in particolare una protezione capillare dei terminali con software antivirus aggiornato, un firewall perimetrale per endpoint di server disponibili pubblicamente o un WAF (Web Application Firewall) per applicazioni esterne e per portali di accesso o di amministrazione, una protezione anti-malware di nuova generazione anche contro il phishing e una connessione VPN sicura per tutte le operazioni di lavoro remoto.


3. Disciplina con le password

In ogni azienda dovrebbero esistere linee guida chiare per le password complesse, che devono contenere una combinazione obbligatoria di lettere, numeri e caratteri speciali. Inoltre, può essere utile implementare l'uso di un gestore di password o l'autenticazione a più fattori (MFA) come livelli di sicurezza aggiuntivi. Quest' ultimo punto è consigliato, tra l'altro, per l'utilizzo di applicazioni software esterne basate su cloud, in modo che gli account utente non vengano compromessi.


4. Formazione regolare sulla sicurezza per i dipendenti 

La conoscenza e l'applicazione pratica di queste nozioni nelle situazioni quotidiane sono la chiave per evitare attacchi di phishing e altri tentativi di frode. La formazione regolare per dirigenti e dipendenti aumenta notevolmente la consapevolezza sulla sicurezza informatica aziendale. Ciò può includere anche attacchi informatici simulati eseguiti in incognito per aree particolarmente rilevanti dal punto di vista della sicurezza, al fine di includere i risultati nei corsi di formazione e preparare i dipendenti a scenari di pericolo concreti.


5. Assegnazione restrittiva dei diritti di accesso e dei privilegi di ruolo 

Non tutti i dipendenti dell'azienda hanno bisogno di tutti i diritti di accesso. L'assegnazione parsimoniosa di diritti e privilegi a singoli dipendenti, gruppi o unità organizzative e ruoli di amministratore è una misura efficace per prevenire efficacemente un uso improprio o negligente di applicazioni e risorse.


6. Sicurezza dei dati grazie a frequenti cicli di backup 

I backup regolari e sincronizzati di tutti i dati aziendali rilevanti e il loro backup, preferibilmente in una posizione esterna e separatamente dalla rete esistente, assicurano che i dati possano essere ripristinati e resi disponibili rapidamente in caso di attacco. A tal fine, è necessario creare un cosiddetto piano di ripristino con procedure e responsabilità chiaramente definite per essere preparati in caso di emergenza.


7. Sviluppo di un piano di risposta agli incidenti 

Lo sviluppo e l'implementazione di un cosiddetto Piano di Risposta agli Incidenti è un'altra misura importante. Esso contiene istruzioni chiare su come procedere in caso di incidenti di sicurezza. Il piano dovrebbe definire ruoli e responsabilità, stabilire passaggi per contenere l'incidente e includere linee guida di comunicazione interne ed esterne per garantire che tutte le parti coinvolte collaborino efficacemente per limitare gli impatti e ripristinare lo stato originale.


8. Valutazione e gestione del rischio 

Le valutazioni periodiche dei potenziali pericoli e delle possibili lacune di sicurezza all'interno dell'infrastruttura IT stanno diventando sempre più importanti. Sulla base dei risultati della valutazione, si consiglia di sviluppare una strategia di gestione del rischio. Questa stabilisce le priorità per ridurre al minimo i rischi, affrontando gli scenari di attacco più probabili e dannosi e, se necessario, eseguendoli in simulazioni. In una fase successiva, può anche includere la verifica di terze parti e delle loro pratiche di sicurezza per garantire che i partner esterni soddisfino gli standard di sicurezza dell'azienda o almeno non interferiscano involontariamente.


Sicurezza dei dati in azienda: ridurre al minimo i rischi legati al cloud

Più le aziende spostano i loro processi di lavoro nel cloud, più i pirati informatici cercheranno di approfittare di potenziali vulnerabilità nel cloud computing. Non per niente i grandi player internazionali stanno attualmente investendo miliardi nelle loro infrastrutture cloud per garantire alle aziende la massima sicurezza dei dati e la disponibilità dei loro servizi cloud. Ma oltre ai rischi esterni, come un'eccessiva dipendenza dal fornitore, che può diventare problematica non solo dal punto di vista della sicurezza, ma anche dal punto di vista finanziario, il cloud computing riguarda anche l'identificazione e la minimizzazione dei rischi per la sicurezza interna, come il password spray o l'IT ombra.


In questo contesto, molti responsabili IT sono ancora riluttanti a passare completamente al cloud e si affidano principalmente a modelli cloud ibridi che utilizzano software on-premise in modo parziale o addirittura predominante. Anche i casi in cui le aziende abbandonano il cloud dopo alcuni anni, sia per motivi di sicurezza, sovranità e disponibilità dei dati, sia per considerazioni finanziarie, sono in aumento. Invece, si affidano a software on-premise collaudati ed efficienti e sfruttano i vantaggi delle licenze software usate, come conferma in modo impressionante il seguente esempio di un'azienda tedesca di medie dimensioni:


Più sicurezza, meno costi – Swedex si affida al software usato di PREO

Il fatto che una soluzione Total Cloud non rappresenti solo una sfida in termini di sicurezza, ma possa anche comportare una spirale di costi a volte difficile da calcolare, è stato testimoniato dall'azienda di medie dimensioni Swedex di Essen, uno dei fornitori leader a livello europeo nel settore del "merchandising" con circa 300 dipendenti.


La conseguenza: l'azienda di medie dimensioni non ha più accettato l'aumento dinamico dei costi e la dipendenza da un grande fornitore di cloud e ha optato per un'alternativa autonoma e molto più economica.


Il risultato: dopo tre anni nel cloud Microsoft, i responsabili sono tornati ad un sistema on-premise. Di conseguenza, è stato possibile ottenere enormi risparmi sui costi di licenza correnti di circa 100.000 euro integrando le licenze software usate di PREO. Ulteriori informazioni su questo e altri casi studio sono disponibili qui.



Con PREO stai puntando su un fornitore B2B esperto e serio

Siamo uno dei pionieri nella compravendita a livello europeo di licenze software usate, in particolare di Microsoft e oltre 1.000 aziende hanno già beneficiato dei vantaggi di un'integrazione sicura di contratti multilicenza usati nella loro gestione delle risorse IT:


  • Elevato risparmio sui costi di licenza correnti fino al 70% rispetto alla nuova versione.
       
  • Nuove entrate generate dalla vendita di licenze inutilizzate o non più necessarie.

  • Maggiore sostenibilità nel settore IT attraverso la promozione di un'economia circolare attiva e la riduzione dell'impronta di carbonio aziendale.

  • Acquisto di licenze sicuro al 100% dal punto di vista legale e dell'audit con la massima trasparenza in tutte le fasi di elaborazione, compresa la documentazione completa nel portale di licenze PREO "Easy Compliance".

  • Esperienza pluriennale nell'integrazione di licenze software usate in strutture di rete classiche o modelli di licenza ibridi.

  • Conoscenza dettagliata del mercato e vasta esperienza attraverso il trasferimento sicuro di oltre un milione di licenze software usate.

  • Capacità di gestione delle licenze software esistenti per grandi progetti IT con migliaia di postazioni di lavoro e sedi internazionali.

  • Progetti di punta per numerose aziende di medie e grandi dimensioni dei settori più disparati.