In mezzo a questa giungla di pericoli vedo già qualcuno con le mani tra i capelli. Se è vero che lì fuori, nella rete, ci sono diversi pericoli, è pur vero che si può fare molto per scampare questi pericoli e limitare gli effetti di un attacco informatico indirizzato alle nostre infrastrutture. Attuale le seguenti best practice ha proprio questo scopo
Verifica periodica delle vulnerabilità: Avere un quadro aggiornato delle release sw dei propri sistemi, conoscere eventuali vulnerabilità note e pianificare i continui aggiornamenti necessari, riduce di certo la superficie di esposizione al rischio di attacchi. Poiché i bad bots scansionano i siti e-commerce regolarmente, in cerca di vulnerabilità, è essenziale che tu mantenga il software sempre aggiornato.
Fare il back-up non una ma due volte: il back-up faceva parte di quelle “misure di sicurezza minime” dell’allegato B della 196/2003. Ogg quelle misure da minime sono diventate “adeguate” e sicuramente il back-up è una di queste. Due consigli al volo: il back-up va fatto in locale ma anche sul cloud e dovrebbe essere criptato altrimenti come lo spieghiamo ai nostri clienti che ci hanno rubato i loro dati da una copia di back-up non protetta?
Utilizzare la crittografia SSL/TLS su tutte le pagine del sito. Questo oramai non dovrebbe essere un problema più per nessuno. Quando un criminale informatico trova pagine web non crittografate sa che di fronte ha probabilmente un “green field” dove scorrazzare e fare danni.
Usare password sicure e un’autenticazione a due passaggi per gli account critici, ovvero quelli degli admin. Consigliare agli utenti un cambio password periodico e avere delle procedura di ripristino della password semplice e sicure.
Aderire al PCI (Payment Card Industry). Se il tuo sito e-commerce accetta le carte di credito come metodo di pagamento, è opportuno aderire allo standard di sicurezza voluto dal consiglio di sicurezza della Payment Card Industry ovvero lo standard internazionale per la protezione dei dati che coinvolge tutte quelle entità che si occupano di memorizzare, elaborare o trasmettere i dati dei titolari di carta e/o i dati sensibili di autenticazione. Il PCI DSS stabilisce un livello di riferimento per la protezione dei consumatori e aiuta a ridurre le frodi e le violazioni di dati in tutto l’ecosistema di pagamento.
Farsi consigliare. Un team di esperti risulta necessario non solo per non farvi spendere soldi inutili ma anche per validare le azioni da compiere. Scegliete qualcuno che prediliga il rapporto continuativo invece che il servizio “one shot”. Questo ad esempio è il nostro modo di vedere il rapporto con i nostri Partner: