Proteggere le informazioni ed i dati aziendali è un dovere di chiunque vi lavori, anche del personale non direttamente implicato nel processo di “messa in sicurezza” dell’infrastruttura. Una società che investe nei mezzi tecnologici più sofisticati in termini di cybersecurity potrebbe infatti essere compromessa dalla noncuranza di un impiegato che, per andare al bagno, lascia incustodita la propria scrivania – su cui magari sono adagiati fogli e documenti di importanza vitale per l’azienda: a volte basta un secondo di disattenzione o un click su un link sbagliato per pregiudicare l’intera rete informatica di una società.
Ogni impiegato deve essere consapevole di giocare un ruolo fondamentale nella stessa sopravvivenza dell’azienda e deve quindi tener conto di una serie di accorgimenti per evitare episodi sconvenienti, suscettibili di diffondere informazioni sensibili a individui male intenzionati. In questo senso, un datore di lavoro che investe tempo ed energia nell’istruire i propri dipendenti su come mettere in sicurezza i propri dispostivi elettronici è un leader lungimirante, che sa come ridurre al minimo la possibilità di attacchi informatici alla propria azienda: la conoscenza, d’altronde, è potere.
Ecco dunque una serie di best practices di cui i dipendenti di qualunque società – piccola o grande che sia – devono necessariamente tener conto nello svolgimento del proprio lavoro:
- Mantenere aggiornati il proprio sistema operativo, browser, antivirus: i truffatori informatici trovano sempre nuovi espedienti per bypassare i meccanismi di sicurezza di un’azienda. Per questo motivo, scaricare le versioni più recenti dei sistemi antivirus e mantenere aggiornati il sistema operativo ed il browser alle ultime versioni è una condizione necessaria – ma non sufficiente – se si vogliono evitare le terribili conseguenze di un attacco cyber. Ecco dunque che ogni impiegato deve prontamente installare gli aggiornamenti del software di sicurezza (tanto sui dispositivi aziendali quanto su quelli personali utilizzati a lavoro) quando la società invia istruzioni e direttive a riguardo.
- Usare password strong e sistemi di autenticazione a più fattori: utilizzare password complesse è tra i metodi più efficaci per evitare minacce alla cybersecurity di una società. Una password sicura contiene almeno 10/12 caratteri (tra cui numeri, caratteri speciali, combinazioni di lettere maiuscole e minuscole), non include informazioni personali (come il nome, il recapito telefonico, la data di nascita di un membro della propria famiglia); bisogna assolutamente evitare di utilizzare la stessa combinazione di login e password per più sistemi, nonché di utilizzare la funzione di riempimento automatico del browser per le password. Si consiglia vivamente l’utilizzo di un software di gestione delle password. (es. Keepass).
- Allenarsi a riconoscere il phishing:
qualunque impiegato deve sapere riconoscere – e quindi scongiurare – il fenomeno del phishing. I truffatori informatici – palesandosi come soggetti credibili e affidabili – possono estorcere all’impiegato informazioni vitali dell’azienda per cui lavora tramite e-mail fittizie che spesso contengono link che – una volta cliccati – conducono il mal capitato a condividere dati sensibili della società.
Considerate queste minacce, è bene che gli impiegati rispettino una serie di best practices in materia di phishing:- Non condividere informazioni sensibili tramite e-mail;
- Prestare attenzione agli URL presenti in un sito web: molti attacchi di phishing vengono condotti tramite siti web dannosi che imitano quelli legittimi;
- Verificare le e-mail sospette: nel dubbio, contattare il reparto IT;
- Tenere una scrivania ordinata:
sebbene possa sembrare banale, gli impiegati di un’azienda non sempre rispettano questo semplice accorgimento. Eppure, mantenere in ordine il proprio piano di lavoro è fondamentale per evitare problemi (quali furti e smarrimenti). Una scrivania ordinata ci facilita nel controllo di cosa abbiamo in bella vista e soprattutto ci permette di capire se qualcosa manca. Furti di documenti su scrivanie disordinate possono essere scoperti con mesi di ritardo.
Ecco dunque un elenco delle cattive abitudini che spesso gli impiegati sviluppano sul posto di lavoro:
-
Lasciare il pc senza protezione/password: è necessario invece bloccare l’accesso al dispositivo;
-
Lasciare incustoditi sulla scrivania documenti sensibili: è fondamentale riporli in un luogo sicuro;
-
Non chiudere schedari/archivi: questo rende il contenuto degli stessi accessibile a chiunque (compresi male intenzionati);
-
Lasciare cellulari e dispositivi USB senza impostare password di protezione;
-
Lasciare note/informazioni riservate e sensibili sulle lavagne;
-
Trascrivere nomi-utente, password o codici di sicurezza vari su post-it o altro supporto cartaceo;
-
Lasciare in giro la chiave di un cassetto chiuso;
-
Visualizzare i calendari a tutto schermo: in questo modo, tutti possono leggerne il contenuto (spesso i calendari contengono anche informazioni su clienti e prodotti);
-
- Distruggere i documenti contenenti informazioni riservate:
è di fondamentale importanza evitare di accartocciare documenti riservati per poi lanciarli nel cestino. Uno dei metodi preferiti dai malintenzionati per carpire informazioni riservate è il Dumpster Diving, che letteralmente significa Immeggersi nella spazzatura. Ogni volta che dobbiamo disfarci di un documento accertiamoci di distruggerlo adeguatamente in modo tale che le informazioni in esso contenute non siano più reperibili. Ogni ufficio dovrebbe dotarsi di un distruggidocumenti! Lo stesso concetto vale per i dispositivi elettronici, come chiavi usb oppure dischi portatili. Se vogliamo disfarcene dobbiamo romperli fisicamente! - Proteggere i dati:
come presumibilmente fa nella vita privata, un impiegato deve assolutamente evitare di condividere codici di sicurezza, dati sensibili e informazioni vitali dell’azienda con terzi, tenendo bene a mente che spesso i truffatori utilizzando tecniche di social engineering possono fare delle richieste che all’apparenza sembrano legittime celandone l’intento criminale. Qualunque dipendente deve astenersi dal condividere e diffondere informazioni riguardanti la propria azienda e deve adottare meccanismi di crittazione dei dati riservati. - Non far uscire dalla propria azienda documenti riservati:
è fondamentale che tutti i documenti riservati circolino il meno possibile e soprattutto non escano dall’azienda a meno di condizioni eccezionali. Lo stesso dicasi con le informazioni registrate su dispositivi elettronici:- Non inviare email contenente documenti riservati
- Non archiviare documenti riservati su Dropbox, Google Drive etc
- Non archiviare documenti riservati sui propri dispositivi personali.
- Proteggere i propri dispositivi:
le vulnerabilità principali in termini di sicurezza informatica sono legate allo smarrimento da parte dei lavoratori dei propri dispositivi elettronici (si pensi al fatto che negli aeroporti ogni 53 secondi viene rubato un pc portatile). Considerata l’impossibilità di prevedere situazioni del genere, è bene che i dipendenti di un’azienda facciano proprie una serie di accortezze. A tal proposito, è fondamentale attivare le funzioni di tracciamento del proprio telefono/tablet/pc così da ritrovare facilmente il dispositivo in caso di smarrimento; inoltre, è fondamentale utilizzare un passcode o un’autorizzazione biometrica (es. impronta digitale, riconoscimento facciale) per rendere più sicuro l’accesso ai propri dispositivi elettronici; è consigliabile poi tenere “puliti” i dispositivi elettronici, utilizzando antivirus e anti-malware. Di significativa importanza è infine utilizzare il metodo più sicuro per bloccare le schermate dei vari apparecchi a disposizione, nonché prendere in considerazione l’ipotesi di crittografare i dati sensibili; - Riconoscere l’ingegneria sociale: ogni utente del web adotta una serie di comportamenti su Internet, alcuni dei quali rischiano di comprometterne la sicurezza tanto da un punto di vista personale quanto da un punto di vista lavorativo. Per fare un esempio, alcuni dettagli da noi trascritti su un blog (come il nome del nostro cane) potrebbero essere utilizzati da terzi per accedere ai nostri dati personali (si pensi alle domande di sicurezza). E’ fondamentale conoscere le tecniche utilizzate dagli ingegneri sociali per carpire informazioni sensibili.
- Non utilizzare dispositivi USB non controllati: tutti i dispositivi USB devono essere trattati come se contenessero malware. Di conseguenza, è consigliabile non inserire alcun dispositivo simile all’interno di un computer utilizzato per accedere a dati e informazioni aziendali né permettere ad altri di farlo (anche se si tratta di persone conosciute);
- Abilitare in Windows l’opzione “Mostra estensioni nomi file”: alcune estensioni (.exe, .doc, .xls, .js etc…) sono potenzialmente dannose e riconoscerle ci può permettere di evitare un’infezione.
- Non consentire l’esecuzione delle macro di Office: le macro di office possono contenere codice malevolo. E’ fondamentale disabilitarle ed abilitarle sono quando siamo certi della fonte della macro.
- Connettersi remotamente all’ufficio da una rete Wi-fi protetta: le reti Wi-fi non protette fanno viaggiare le informazioni in chiaro. Sarà così facile per un criminale sniffare la comunicazione per carpire informazioni riservate. Lo stesso discorso va fatto quando dobbiamo connetterci a siti che richiedono l’utilizzo di informazioni riservate come i codici della carta di credito oppure l’accesso alla propria banca on line. In questi casi bisogna evitare assolutamente di essere connessi ad una rete Wi-fi non protetta.
- Adottare le seguenti precauzioni quando si lavora remotamente:
- Non accedere a informazioni riservate da dispositivi pubblici;
- Utilizzare il dispositivo in modo tale che il contenuto non sia visibile (es. schiena contro il muro): tra le principali tecniche di ingegneria sociale figurano infatti il “Shoulder Surfing”, un espediente volto a rubare informazioni e dati sensibili (es. PIN, password…) spiando il mal capitato. È bene ricordare come la tecnica possa essere messa in atto sia da vicino (il truffatore è fisicamente vicino alla vittima) o da lontano (tramite telecamere o strumenti simili);
- Eseguire un logout completo una volta che si vuole terminare la sessione di lavoro.
- Deselezionare l’opzione di memorizzazione delle informazioni di accesso del browser;
- Eliminare definitivamente ogni file scaricato;
- Se possibile, utilizzare la navigazione privata;
- Abilitare la protezione firewall sia a lavoro sia a casa: si tratta di un tipo di protezione fondamentale che impedisce a utenti non autorizzati di accedere alle risorse di un sistema. Sarebbe meglio inoltre non accontentarsi della protezione firewall aziendale ma installarne una propria a casa;
- Navigare su Internet in sicurezza: a tal proposito, è possibile menzionare una serie di best practices per gli impiegati:
- Essere prudenti con i download online;
- Navigare solo su siti web dalla comprovata affidabilità;
- Assicurarsi che il sito web su cui si naviga sia quello originale e non uno falso;
- Assicurarsi che il sito web su cui si svolgono operazioni delicate come acquisti o bonifici utilizzi il protocollo Https, che consente di crittografare – rendendola di fatto più sicura – la comunicazione mittente/destinatario;
- Non cliccare sui link presenti nelle e-mail ma inserire manualmente sul barra di navigazione del browser l’indirizzo di destinazione;
- Utilizzare nel modo oculato i social media;
- Eseguire il backup dei file: fondamentale in caso di attacchi alla sicurezza informatica è l’esecuzione di un backup. In tal caso è bene attenersi alle regole e alle procedure che l’azienda molto probabilmente possiede in materia. Il backup risulta uno strumento fondamentale soprattutto in caso di minacce a dati sensibili: si pensi a ransomware, un malware capace di infettare un sistema informatico compromettendone l’accesso all’utente, che chiede un riscatto in cambio del ripristino delle condizioni iniziali. Eseguire con regolarità un procedimento di backup – e quindi una copia – dei dati personali (anche documenti, foto…) su un disco rigido collegato tramite USB (backup fisico) o su un cloud è un’ottima soluzione per arginare problemi di sicurezza simili;
- Non lavorare sul proprio pc con diritti amministrativi: in caso di infezione da malware gli effetti potrebbero essere devastanti. L’utilizzo di un utente con privilegi ristretti conterrà il malware in un perimetro limitato.
- Parlare con il proprio reparto informatico (IT department): un rapporto amichevole e costante con il reparto informatico dell’azienda è fondamentale sia se si vuole prevenire un problema sia se lo si vuole correggere. È bene dunque che ogni attività sospetta nonché qualunque avviso del software di sicurezza venga immediatamente segnalato agli esperti informatici. In particolare, il reparto informatico deve essere sempre al corrente di:
- Un aumento imprevisto degli annunci pop-up e spam;
- Un calo notevole delle prestazioni;
- Frequenti messaggi di errore;
- Una nuova homepage o un nuovo motore di ricerca predefinito;
- Segnalazione della presenza di un malware da parte dei software antivirus/anti-malware;
- Eventuale accesso non autorizzato tramite strumenti di ingegneria sociale;
E’ necessario inoltre rivolgersi al reparto IT ogniqualvolta sia necessario cambiare la configurazione del proprio pc.
- Istruirsi e informarsi: come un’azienda ha la responsabilità di istruire i propri dipendenti in materia di sicurezza informatica, gli impiegati devono essere disponibili all’apprendimento e non avere il timore di chiedere quando non sanno qualcosa. Come accennato, risulta fondamentale rimanere in perenne contatto con il reparto informatico della società, cui ci si dovrà rivolgere sia in caso di dubbi inerenti la policy aziendale in materia di accesso dei dispositivi personali ai dati della ditta (BYOD) sia nel caso si renda necessario eseguire il backup dei dati nel cloud: anche in questo caso infatti le aziende prevedono spesso delle normative specifiche che, se non rispettate, possono comportare il licenziamento del dipendente. Oltre a ciò, gli impiegati dovrebbero poter sviluppare in prima persona delle competenze tecnologiche e digitali così da facilitare il processo di supporto da parte del reparto informatico.
Come risulta evidente da una lettura di queste best practices, non serve essere degli esperti informatici per tenere in sicurezza i propri dispositivi elettronici e quelli dell’azienda per cui si lavora. Ogni impiegato ha la possibilità – nonché il dovere – di fare la propria parte nella strenua lotta agli attacchi informatici: compito dell’azienda è quello di mettere a disposizione dei propri dipendenti tutti gli strumenti necessari affinché essi possano fare concretamente del loro meglio, investendo primariamente sulla loro istruzione digitale. Ciascun individuo è tenuto a occuparsi – seppur a livello micro – di sicurezza informatica: che questa sia di competenza esclusiva degli addetti ai lavori è ormai un concetto superato in quanto quello all’informazione, oltre a un diritto, è oggi un dovere. La cybersecurity awareness risulta dunque fondamentale in un mondo sempre più digitalizzato, in cui la tecnologia scandisce i tempi e le modalità del lavoro: da questo punto di vista, capire come muoversi in una realtà simile – e quindi sapersi proteggere dalle trappole e dalle insidie della rete – è oggi di primaria importanza. L’impegno delle aziende, in questo senso, è essenziale: svolgere dei corsi di formazione volti a implementare le capacità dei dipendenti in ambito cybersecurity è un modo efficace per formare degli impiegati consapevoli, capaci e quindi più produttivi.
FATA Informatica, società leader nel settore delle tecnologie informatiche e delle telecomunicazioni, ha dato origine a tal proposito al brand “Digital Trainer”: sul sito https://www.digitaltrainer.it/ è possibile usufruire di un vero e proprio training che, attraverso delle semplici video-lezioni, consente (anche ai neofiti) di apprendere i contenuti base della sicurezza informatica e delle tecnologie digitali in maniera chiara e intuitiva, così da rimanere costantemente aggiornati sulle nuove strategie e tecniche della cybersecurity. Il metodo utilizzato è quello del “gamification”, dell’utilizzo cioè dei concetti chiave del gioco (livelli, punteggio, ricompense) per stimolare l’interesse dell’utente e condurlo passo dopo passo verso una conoscenza e un’“awareness” sempre maggiori del mondo cyber.
In un mondo in continua evoluzione, la consapevolezza e la sensibilità al cambiamento sono doti necessarie: per imparare a tenere il passo, fortunatamente, non è mai troppo tardi!