Immagina di avere un ufficio dove nessuno chiude la porta a chiave la sera, le password sono scritte sui post-it e nessuno ha mai cambiato la serratura dal 2019. Ecco: per molte aziende, i loro server, PC e rete sono esattamente così. La cyber hygiene (igiene informatica) è l'equivalente digitale di chiudere la porta, cambiare le serrature e controllare chi ha le chiavi. L'80% degli attacchi informatici sfrutta vulnerabilità risolvibili con buone pratiche di base. La NIS2 la richiede esplicitamente. Eppure, quasi nessuna PMI italiana ha un programma strutturato. Questa guida ti dà 10 pratiche concrete, un modo per misurare a che punto sei e un piano per metterti in regola in 60 giorni.
Indice dei Contenuti
Cos'è la Cyber Hygiene
La cyber hygiene (igiene informatica) è l'insieme di abitudini e regole di sicurezza che la tua azienda segue ogni giorno per tenere in salute i propri server, PC e rete e proteggere i dati aziendali. L'analogia con l'igiene personale funziona bene: così come lavarti le mani e fare i controlli dal medico prevengono la maggior parte delle malattie, le pratiche di cyber hygiene prevengono la maggior parte degli incidenti informatici.
Non stiamo parlando di tecnologie avanzate o investimenti milionari. La cyber hygiene riguarda le buone pratiche di base che ogni azienda, grande o piccola, può e deve adottare. Secondo il Center for Internet Security (CIS), attivare le pratiche base di cyber hygiene previene l'80% degli attacchi informatici. Il restante 20% richiede misure più avanzate, ma senza una base solida qualsiasi investimento in sicurezza è costruito sulla sabbia.
Cyber hygiene in numeri
- 80% degli attacchi prevenibili con pratiche di base (CIS Controls)
- 99,9% delle compromissioni account prevenibili con MFA (Microsoft)
- 70-80% riduzione incidenti con formazione security awareness strutturata
- 60% dei breach sfruttano vulnerabilità note con patch già disponibili (Verizon DBIR 2025)
Le 10 Pratiche Fondamentali di Cyber Hygiene
Ecco le 10 pratiche che ogni azienda deve attivare. Sono ordinate per priorità: le prime 5 hanno l'impatto maggiore e vanno fatte per prime.
Password Policy e MFA
CRITICOConfigura una policy password seria: minimo 12 caratteri, complessità, divieto di riutilizzo, password manager aziendale. Ma soprattutto, attiva l'autenticazione multi-fattore (MFA, cioè il codice di conferma via app oltre alla password) su tutti gli account critici: email, cloud, VPN, applicativi di business. L'MFA previene il 99,9% delle compromissioni account, anche se la password viene rubata. Priorità assoluta: MFA su Microsoft 365 e accessi VPN.
Aggiornamenti e Patch Management
CRITICOIl 60% dei data breach sfrutta vulnerabilità note per le quali esisteva già un aggiornamento. Organizza un processo di aggiornamento strutturato: patch critiche entro 48 ore, importanti entro 7 giorni, moderate entro 30 giorni. Automatizza gli aggiornamenti dove possibile (Windows Update for Business, NinjaOne). Non dimenticare il firmware di firewall, switch, access point e dispositivi IoT.
Backup Regolari e Testati
CRITICOSegui la regola 3-2-1-1-0: 3 copie dei dati, su 2 supporti diversi, 1 copia offsite, 1 copia immutabile (che nessuno può cancellare o modificare), 0 errori nei test di ripristino. Il backup è la tua ultima difesa contro il ransomware. Ma un backup che non viene mai testato è solo una speranza: prova i ripristini almeno ogni 3 mesi. Scopri di più sulla regola nella nostra guida al backup aziendale 3-2-1.
Formazione Dipendenti
CRITICOIl 90% degli attacchi inizia con un errore umano. La formazione cybersecurity deve essere continua (non fatta una volta e dimenticata), pratica (simulazioni di phishing), misurabile (quanti cliccano sui link falsi?) e adattata ai ruoli. L'obiettivo: ogni dipendente deve saper riconoscere un'email truffa, segnalarla e non cliccarci sopra. Sessioni trimestrali + simulazioni mensili + policy firmata.
Controllo Accessi (Least Privilege)
CRITICOOgni dipendente accede solo ai dati e sistemi che gli servono per il suo lavoro. Nessuno ha più accesso del necessario. Account amministratore separato per chi gestisce l'IT, mai usato per email o navigazione. Quando qualcuno lascia l'azienda, disattivi subito i suoi accessi. Revisione trimestrale dei permessi. Questo principio è alla base della sicurezza Zero Trust.
Crittografia dei Dati
ALTOI dati sensibili devono essere crittografati sia quando sono fermi su disco ('at rest') che quando viaggiano in rete ('in transit'). Attiva BitLocker su tutti i PC e server Windows, usa HTTPS per tutti i servizi web, crittografa le email che contengono dati personali. La crittografia è un obbligo esplicito del GDPR e una misura richiesta dalla NIS2.
Monitoraggio Endpoint
ALTOOgni PC, server e dispositivo mobile aziendale deve essere monitorato con un agente EDR (Endpoint Detection and Response, un antivirus evoluto che analizza i comportamenti sospetti). L'EDR va oltre l'antivirus tradizionale: non cerca solo virus noti, ma rileva anomalie e risponde automaticamente alle minacce. Il monitoraggio proattivo ti permette di individuare e bloccare i problemi prima che facciano danni.
Email Security
ALTOL'email è il canale di attacco numero uno. Installa una soluzione di email security dedicata con anti-phishing AI, sandboxing allegati (gli allegati vengono aperti in un ambiente isolato prima di arrivare all'utente), URL rewriting e anti-spoofing. Configura SPF, DKIM e DMARC per proteggere il tuo dominio. Insegna ai dipendenti a segnalare le email sospette con un pulsante dedicato.
Segmentazione della Rete
MEDIONon mettere tutto sulla stessa rete. Dividi la rete aziendale in VLAN separate (reti virtuali isolate): una per i PC, una per i server, una per gli ospiti WiFi, una per i dispositivi IoT e telecamere. Se un ransomware colpisce un PC, la segmentazione impedisce che si diffonda ai server e ai backup. Il firewall gestisce le regole di comunicazione tra le VLAN.
Incident Response Plan
MEDIOMetti per iscritto cosa fare se succede un incidente informatico: chi chiamare, come isolare i sistemi colpiti, come comunicare al management, ai clienti e alle autorità. Definisci chi fa cosa. Prova il piano almeno una volta l'anno con un'esercitazione tabletop (una simulazione a tavolino). Senza un piano, il panico durante un incidente porta a decisioni sbagliate che peggiorano la situazione.
BullTech attiva e gestisce tutte queste pratiche per i propri clienti come parte dei servizi di monitoraggio proattivo e formazione cybersecurity.
Vuoi capire a che punto è la tua azienda?
Facciamo un checkup gratuito delle tue pratiche di sicurezza e ti diamo un report chiaro con le priorità.
Chiedi il checkup gratuitoCyber Hygiene e NIS2: un Obbligo di Legge
La direttiva NIS2 (recepita in Italia con il D.Lgs. 138/2024) ha reso la cyber hygiene un obbligo di legge, non più solo una buona pratica. L'articolo 21 della direttiva elenca esplicitamente le "pratiche di igiene informatica di base" tra le misure minime di sicurezza richieste ai soggetti essenziali e importanti.
Le 10 misure NIS2 e la cyber hygiene
L'articolo 21 della NIS2 richiede almeno queste 10 misure di sicurezza. Le pratiche di cyber hygiene coprono direttamente 8 di queste 10:
1. Politiche di analisi dei rischi e sicurezza dei sistemi informativi(coperta dalla cyber hygiene)
2. Gestione degli incidenti (prevenzione, rilevamento, risposta)(coperta dalla cyber hygiene)
3. Continuità operativa e gestione delle crisi(coperta dalla cyber hygiene)
4. Sicurezza della catena di approvvigionamento (supply chain)
5. Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi(coperta dalla cyber hygiene)
6. Valutazione dell'efficacia delle misure di gestione dei rischi(coperta dalla cyber hygiene)
7. Pratiche di igiene informatica di base e formazione(coperta dalla cyber hygiene)
8. Politiche sull'uso della crittografia(coperta dalla cyber hygiene)
9. Sicurezza delle risorse umane e controllo degli accessi(coperta dalla cyber hygiene)
10. Autenticazione multi-fattore o autenticazione continua(coperta dalla cyber hygiene)
Le sanzioni per chi non si adegua alla NIS2 possono arrivare al 2% del fatturato annuo, con responsabilità personale dei dirigenti per negligenza. Attivare le pratiche di cyber hygiene non è solo buon senso, è un obbligo legale. Approfondisci con la nostra guida completa alla NIS2.
Come Misurare il Livello di Cyber Hygiene
Per migliorare la cyber hygiene, devi prima capire a che punto sei. Usiamo un modello di maturità a 5 livelli ispirato al NIST Cybersecurity Framework, adattato alle pratiche di igiene informatica:
Livello 1: Iniziale
Nessuna pratica strutturata. Gestione completamente reattiva. Nessuna documentazione. Nessuna formazione. La sicurezza è affidata al buon senso individuale.
Livello 2: Base
Alcune cose le fai, ma non le hai documentate. Antivirus presente ma non gestito. Backup fatto ma non testato. Password policy a voce. Nessun monitoraggio.
Livello 3: Strutturato
Tutto documentato e fatto con metodo. MFA attivo. Aggiornamenti organizzati. Backup testato regolarmente. Formazione annuale. Firewall configurato da professionisti.
Livello 4: Gestito
Misuri i risultati con metriche e KPI. Dashboard di sicurezza. Simulazioni di phishing con reportistica. Analisi delle vulnerabilità periodiche. Piano di emergenza testato. Miglioramento continuo.
Livello 5: Ottimizzato
Sicurezza integrata nei processi aziendali con automazione avanzata. SOC/MDR attivo. Zero Trust attivo. Threat intelligence. Sicurezza by design. Confronto continuo con standard internazionali.
La maggior parte delle PMI italiane è tra il livello 1 e 2. L'obiettivo realistico per il primo anno è raggiungere il livello 3 su tutte le 10 pratiche, che corrisponde alla conformità base NIS2. Il livello 4 è il traguardo per le aziende nei settori critici o che gestiscono dati particolarmente sensibili.
Piano Pratico per PMI (60 Giorni)
Ecco un piano concreto per portare la tua azienda al livello 3 di cyber hygiene in 60 giorni. Il piano è diviso in 4 fasi di 2 settimane ciascuna:
Checkup Iniziale e Vittorie Rapide
Inventario completo di tutti i dispositivi, software e account
Checkup del livello attuale di cyber hygiene (modello di maturità)
Attivazione MFA su Microsoft 365 e VPN (Quick Win #1)
Verifica funzionamento backup e primo test di ripristino (Quick Win #2)
Attivazione aggiornamenti automatici su tutti i PC (Quick Win #3)
Fondamenta di Sicurezza
Configurazione policy password aziendale + password manager
Deploy EDR/antivirus gestito su tutti gli endpoint
Configurazione email security (anti-phishing, SPF, DKIM, DMARC)
Review e aggiornamento firmware firewall e switch
Prima sessione formativa cybersecurity per tutti i dipendenti
Pratiche Avanzate
Applicazione del principio least privilege su tutti gli account
Attivazione crittografia disco (BitLocker) su tutti i PC
Segmentazione rete in VLAN (PC, server, guest WiFi, IoT)
Configurazione monitoraggio proattivo su server e rete
Prima simulazione di phishing con reportistica
Stesura bozza incident response plan
Consolidamento e Documentazione
Documentazione di tutte le policy e procedure
Test completo dell'incident response plan (tabletop exercise)
Vulnerability assessment della rete e dei sistemi esposti
Report finale di maturità (confronto con il punto di partenza)
Definizione piano di mantenimento e miglioramento continuo
Firma policy sicurezza da parte di tutti i dipendenti
Con un MSP (Managed Service Provider, cioè chi gestisce la tua informatica in outsourcing) come BullTech, le fasi 1-3 si velocizzano parecchio grazie a strumenti già operativi (NinjaOne per il monitoraggio, Bitdefender per l'EDR, Libraesva per l'email security, Veeam per i backup). Il tempo necessario scende a 30-45 giorni invece di 60. Scopri i nostri contratti di assistenza.
Domande Frequenti
Cos'è esattamente la cyber hygiene?
In parole semplici, è l'equivalente digitale di lavarsi le mani e chiudere la porta di casa. La cyber hygiene (igiene informatica) è l'insieme di abitudini e regole di sicurezza che la tua azienda segue ogni giorno per proteggere server, PC, rete e dati. Cose come: gestire bene le password, tenere aggiornati i software, fare backup regolari, formare i dipendenti e controllare chi accede a cosa. Non servono tecnologie da film di fantascienza: queste buone pratiche di base, se fatte bene, prevengono l'80% degli attacchi informatici.
La NIS2 richiede davvero la cyber hygiene?
Sì, nero su bianco. L'articolo 21 della direttiva NIS2 (recepita in Italia con il D.Lgs. 138/2024) elenca le 'pratiche di igiene informatica di base' tra le misure di sicurezza obbligatorie per i soggetti essenziali e importanti. Il testo menziona specificamente: gestione delle password, aggiornamenti software, configurazione sicura dei dispositivi, segmentazione della rete, gestione degli accessi e formazione del personale. Se non ti adegui rischi sanzioni fino al 2% del fatturato annuo e responsabilità personale dei dirigenti.
Quanto tempo serve per attivare la cyber hygiene in azienda?
Con un piano organizzato, le pratiche fondamentali si attivano in 60-90 giorni. Le prime 2 settimane servono per capire a che punto sei e decidere le priorità. Le settimane 3-4 sono per le azioni urgenti (MFA, backup, aggiornamenti). Le settimane 5-8 per le pratiche avanzate (formazione, segmentazione rete, piano di emergenza). Le ultime 4 settimane per consolidare, testare e documentare tutto. Con un MSP come BullTech il processo si accorcia parecchio, perché abbiamo già gli strumenti e le competenze pronte.
Quali sono le pratiche di cyber hygiene più urgenti?
Le 3 cose che ti danno il massimo risultato con il minimo sforzo: 1) Attivare l'MFA (autenticazione multi-fattore) su tutti gli account importanti -- previene il 99,9% delle compromissioni account e si configura in poche ore. 2) Verificare e testare i backup -- il backup è la tua ultima difesa contro il ransomware, ma va provato regolarmente. 3) Attivare gli aggiornamenti automatici -- le vulnerabilità note sono la porta d'ingresso preferita dagli attaccanti. Queste 3 azioni da sole riducono il rischio di incidente grave del 70%.
Come misuro il livello di cyber hygiene della mia azienda?
Il modo più pratico è usare un modello a 5 livelli: Livello 1 (Iniziale) -- nessuna regola, gestione a occhio; Livello 2 (Base) -- alcune cose le fai, ma non le hai documentate; Livello 3 (Strutturato) -- tutto scritto e fatto con metodo; Livello 4 (Gestito) -- misuri i risultati e migliori costantemente; Livello 5 (Ottimizzato) -- automazione avanzata e sicurezza integrata nei processi. La maggior parte delle PMI italiane è tra il livello 1 e 2. L'obiettivo realistico nel primo anno è arrivare al livello 3 su tutte le 10 pratiche fondamentali.
Posso attivare la cyber hygiene senza un team IT dedicato?
Sì, ma ti servirà qualcuno che ti dia una mano dall'esterno. Un MSP (Managed Service Provider, cioè chi gestisce la tua informatica in outsourcing) come BullTech può attivare e gestire tutte le 10 pratiche di cyber hygiene per la tua azienda, senza che tu debba assumere tecnici IT specializzati. Noi ci occupiamo di: configurare MFA, aggiornamenti automatici, backup monitorati, email security, monitoraggio dei PC, segmentazione rete e piano di emergenza. Il tuo compito è assicurarti che i dipendenti seguano le regole e partecipino alla formazione. È la soluzione più efficiente per le aziende con meno di 100 dipendenti.
La cyber hygiene non è un progetto che finisce: è un'abitudine che diventa parte di come lavora la tua azienda. Ma iniziare è più semplice di quanto pensi, soprattutto con qualcuno che ti guida. Scrivici o chiamaci al 039 5787 212 per un checkup gratuito della tua azienda e scopri come possiamo aiutarti a metterti in regola con la NIS2 in tempi rapidi.