Per molte PMI la “sicurezza informatica” coincide con antivirus, backup e una password robusta. Sono importanti, ma non è lì che nascono i problemi più costosi.
Le perdite di dati, i documenti finiti nelle mani sbagliate o una trattativa che si blocca per mancanza di controllo partono quasi sempre da tre cose pratiche: chi può vedere cosa (autorizzazioni), cosa è successo davvero (audit trail), e come disincentivi la condivisione impropria (filigrane).
Questi tre elementi non richiedono un reparto IT enorme. Richiedono metodo, una logica di ruoli e la disciplina di rivedere le impostazioni prima che i documenti escano dall’azienda.
1) Autorizzazioni: il vero “perimetro” quando lavori con file
Quando condividi documenti con consulenti, investitori, clienti o fornitori, il confine della tua azienda non è più l’ufficio o la VPN. È la lista dei permessi. Le autorizzazioni definiscono chi legge, chi scarica, chi modifica, chi inoltra, e fino a quando.
Il principio che salva tempo e incidenti
La regola più utile è semplice: accesso minimo necessario. Dai a ciascun soggetto soltanto ciò che serve per svolgere il suo compito, per il tempo strettamente necessario.
Errori comuni nelle PMI
Link “chiunque abbia il link può accedere” usati per comodità e poi dimenticati.
Permessi individuali assegnati uno per uno, che diventano ingestibili.
Account condivisi (es. “finance@” usato da più persone), che rendono impossibile attribuire azioni e responsabilità.
Download libero su documenti ad alta sensibilità, senza una reale necessità.
Checklist rapida (in pratica)
Crea ruoli (es. “Consulente legale”, “Commercialista”, “Investitore”) e assegna permessi ai ruoli, non alle persone.
Usa gruppi e cartelle con permessi ereditati, evitando eccezioni continue.
Imposta scadenze e rimozione automatica degli accessi per utenti esterni.
Se possibile, limita download e stampa sui documenti più delicati.
Applica doppia verifica per accessi esterni e per azioni sensibili (download massivo, cambio permessi).
Se gestite documentazione riservata con terze parti (M&A, finanziamenti, contratti, HR), può essere utile strutturare questi permessi in una virtual data room; qui trovi un esempio di riferimento su https://virtual-dataroom.it/.
2) Audit trail: sapere “chi ha fatto cosa” quando conta davvero
Un audit trail (o registro attività) è la cronologia che ti permette di ricostruire cosa è accaduto: accessi, visualizzazioni, download, caricamenti, modifiche ai permessi. Serve a due scopi: responsabilità e reazione rapida quando qualcosa non torna.
NIST, ad esempio, descrive i log come strumenti per rilevare violazioni e supportare l’“accountability”, cioè la responsabilità individuale sulle azioni effettuate.
Sicurezza informatica – Cosa dovresti tracciare almeno
Non serve registrare tutto. Serve registrare l’essenziale, in modo coerente:
Login riusciti e falliti (con timestamp e provenienza).
Accesso a cartelle e documenti sensibili.
Download, stampa ed esportazioni.
Modifiche ai permessi e creazione di nuovi utenti.
Azioni “anomale” (es. molti download in poco tempo).
OWASP, nelle sue linee guida sulla registrazione eventi, sottolinea che audit e log di sicurezza hanno scopi specifici e vanno progettati con attenzione, non lasciati al caso.
Il punto che quasi tutti saltano: i log vanno letti
Un audit trail inutilizzato è come una telecamera senza monitor. Anche una PMI può impostare una routine realistica:
Ogni settimana: controllo rapido delle attività “fuori scala” (download massivi, accessi da Paesi insoliti, nuovi utenti esterni).
A fine progetto o trattativa: esporta e archivia i log principali.
Ogni trimestre: revisione degli utenti con accesso e rimozione di chi non serve più.
Per log più maturi, NIST dedica una guida specifica alla gestione dei log, con indicazioni operative su raccolta, conservazione e processi di revisione.
Conservazione e fiducia nei registri
Due idee semplici:
Conserva i log per un periodo coerente con il rischio (alcuni mesi per progetti ordinari, di più per attività regolamentate).
Riduci la possibilità di manomissione: accessi limitati ai log, esportazioni protette, e procedure che rendano evidente ogni modifica.
In Italia, anche le “misure minime” AgID sono un riferimento utile come checklist per alzare il livello di controllo, inclusi aspetti di tracciamento e gestione operativa.
3) Filigrane (watermark): deterrenza intelligente, non magia
La filigrana non è una protezione crittografica. È un deterrente. Serve a ridurre la tentazione di condividere fuori contesto un documento e a rendere più facile risalire alla fonte se accade.
Tipi di filigrane che hanno senso
Visibili: testo sovrapposto (es. “Confidenziale”) e, meglio ancora, filigrane dinamiche con identificativi.
Dinamiche per utente: includono email o ID utente e data/ora di accesso. Sono molto efficaci nei contesti con utenti esterni.
Forensi (invisibili): utili, ma richiedono strumenti di verifica e spesso sono più adatte a organizzazioni con processi strutturati.
Quando usarle davvero
Bilanci, piani industriali, cap table, contratti, elenchi clienti.
Documenti in fase di negoziazione o due diligence.
File condivisi con molte controparti, dove il rischio di inoltro “incauto” è alto.
Limiti da conoscere
Le filigrane non impediscono una foto dello schermo.
Se i permessi sono sbagliati, la filigrana da sola non salva la situazione.
Se sono troppo invasive, rallentano la lettura e irritano gli utenti. Meglio sobrie e informative.
Mettere tutto insieme: una sequenza pratica in 5 passi
Classifica i documenti (pubblici, interni, riservati, altamente riservati).
Definisci ruoli e permessi in base a compiti reali, non a gerarchie astratte.
Attiva audit trail e alert minimi (download massivi, nuovi utenti, cambi permessi).
Applica filigrane ai documenti ad alta sensibilità, preferendo filigrane dinamiche per utenti esterni.
Rivedi e chiudi: a fine progetto, revoca accessi, archivia log, e conserva solo ciò che ha senso conservare.
L’idea chiave
Per una PMI, la sicurezza informatica più utile è quella che rende il lavoro più ordinato e verificabile. Autorizzazioni ben progettate riducono l’esposizione, l’audit trail ti permette di capire subito cosa è successo, e le filigrane aggiungono un livello di responsabilità quando i documenti circolano fuori dall’azienda. Il risultato è meno caos operativo e meno decisioni prese “al buio”, proprio quando la posta in gioco è più alta.
