La sicurezza informatica in azienda non può prescindere da una corretta formazione del personale: ottobre, mese europeo della cybersecurity, è il momento adatto per un ripasso delle buone pratiche da tenere a mente per non correre rischi. Infatti, programmi sofisticati a tutela dei propri sistemi possono risultare poco efficaci se i lavoratori non sono consapevoli dei pericoli che si insidiano anche nei gesti più semplici che si compiono in smart working così come in ufficio. Cliccare su un link senza pensarci troppo, connettersi al wifi gratuito in stazione, dare la password del proprio computer aziendale al collega, sono tutti comportamenti ingenui che possono condurre a incidenti informatici, anche di entità rilevante.
Se a livello corporate è cresciuta negli ultimi anni la consapevolezza sull’importanza di adottare adeguate misure di sicurezza, a tutela dei sistemi e dei dati, resta il nodo del singolo lavoratore. Ecco quindi un vademecum con dieci suggerimenti per lavorare in sicurezza.
Fake news ed elezioni, le norme Ue saranno un argine adeguato? Casi recenti e scenari
1 – Il backup non è un optional
È importante fare sempre un backup dei propri dati, non solo dal computer ma anche dal telefono. Una priorità assoluta. In caso non sia più possibile accedere ai propri dati infatti, per aver subito un attacco che li ha criptati per esempio o per problemi all’hardware, è importante avere la possibilità di entrarne in possesso nuovamente, garantendo così la business continuity.
Del resto, “è nostra responsabilità fare il possibile per impedire che accadano incidenti, ma bisogna sempre partire dal presupposto che prima o poi un incidente accadrà; per questa ragione dobbiamo essere pronti a poter gestire eventuali ripercussioni. Avere una copia offline dei propri dati è il primo presidio in assoluto”, spiega Alessio Pennasilico, Information & Cyber Security Advisor di P4I. Il consiglio per effettuare il backup è quello di utilizzare un hard disk esterno, in alternativa è utile servirsi anche del cloud.
2 – Non cliccare incautamente sui link nelle mail che ricevi
Quando si riceve un link in una mail, per quanto questa sembri innocente, è importante controllare sempre l’indirizzo del mittente. Malintenzionati possono infatti servirsi di nomi account riconducibili a colleghi o amici, ma possono essere scoperti da indirizzi email con domini che sembrano strani, non attinenti al contesto paventato o incomprensibili. In tal caso ci sono alte probabilità che si tratti di una mail di phishing. Il link potrebbe rinviare a un sito ingannevole in cui viene richiesto l’inserimento dei dati, oppure portare al download di elementi malevoli. Allo stesso modo, è bene non indicare mai i propri dati personali se richiesti in una mail sospetta.
3 – Non fidarti se il capo (o altri) ti chiedono per mail trasferimenti di denaro
La cosiddetta truffa del CEO è un grande classico che però è sempre in auge. Consiste in una mail apparentemente inviata dal proprio capo, in cui viene chiesto di effettuare una transazione di denaro dalle casse dell’azienda a un altro conto. Viene chiesto un bonifico con estrema urgenza: una frode informatica in piena regola, che punta alla sottrazione dei beni. Il modus operandi spesso è preceduto da un’attività di studio, da parte dei criminali informatici, della realtà che si vuole colpire, in modo da capire quali siano gli attori giusti da coinvolgere.
4 – Non condividere le tue password con altri
Le proprie password non andrebbero condivise. Nessuno, nemmeno amici, parenti o colleghi, dovrebbero essere a conoscenza delle credenziali personali per il proprio account di posta, o del pin del bancomat per esempio. Non è una questione di mancanza di fiducia per l’uso che direttamente potrebbero farne i conoscenti, ma diffondere le proprie password aumenta le possibilità che vengano sottratte, perse o divulgate anche in modo non volontario. Se per ragioni tecniche bisogna per forza condividere una password, magari per usufruire dell’assistenza da remoto, meglio usare metodi sicuri, come per esempio un sistema one time.
5 – Scegli password complesse
Il nome del gatto o la propria data di nascita non sono considerate password sicure. Attraverso l’ingegneria sociale, per un malintenzionato è facile appropriarsene, così come è semplice . Bene invece scegliere lunghe password alfanumeriche, che contengano simboli come la punteggiatura e lettere sia maiuscole che minuscole.
6 – Non utilizzare la stessa password su diversi servizi
Utilizzando una password complessa, può venire in mente di imparare a memoria e riutilizzarla per l’accesso a diversi servizi. È un errore, perché aumenta il rischio in caso di sottrazione o perdita, in quanto con una sola chiave si può accedere a numerosi account e potenzialmente rubare più dati.
7 – Abilita l’autenticazione multifattore
Oggi l’autenticazione multifattore è disponibile in via gratuita per numerosi servizi online, a cominciare dai social network: abilitarla permette di prevenire il furto del proprio profilo e il configurarsi di reati come la sostituzione di persona o ancora il furto dei propri dati.
8 – Fai sempre logout se ci si allontana dal proprio computer
È importante effettuare il logout dai propri account in qualunque circostanza, ma soprattutto se si usano computer pubblici o condivisi in ufficio, perché chiunque potrebbe accedervi senza alcuno sforzo. Emblematici i casi di persone che si sono trovate a dover porre rimedio ad affermazioni scritte online, magari sui social, per scherzo o in malafede da altri, con ripercussioni anche sulla reputazione aziendale.
9 – Non connetterti a wifi pubblici senza usare la VPN
Il wifi gratuito della stazione o quello dei giardini pubblici sono attraenti, perché permettono di connettersi senza difficoltà e di lavorare anche quando si è in viaggio o per strada. Tuttavia, non si conosce il grado di protezione di queste reti, quindi è bene premunirsi connettendosi attraverso una VPN, cioè un network privato che tutela la propria navigazione.
Sul mercato ci sono diverse opzioni da parte di provider specializzati, alcune disponibili in abbonamento, mentre altre offrono il servizio in via gratuita. Basta scaricarla e installarla sul proprio computer, poi accedervi attraverso credenziali personali e infine connettersi a una delle reti proposte dal servizio. A quel punto si potrà navigare in sicurezza sfruttando il wifi pubblico, senza il rischio che le proprie attività online siano intercettati da malintenzionati.
10 – Attenzione a orecchie e occhi indiscreti
Lo smart working ha portato a una dimensione liquida del concetto di spazio di lavoro. Le aree di casa, o del coworking, vengono frequentate anche da familiari o lavoratori di altre realtà. È importante ricordarsene quando si parla al telefono o ci si posiziona con il proprio computer: orecchie e occhi indiscreti potrebbero captare non solo password, ma anche informazioni e dati sensibili. Da sottolineare che molte aziende richiedono la sottoscrizione di accordi di riservatezza ai propri dipendenti, per evitare la diffusione di notizie riguardanti l’attività d’impresa o lavori particolarmente delicati, ma anche i liberi professionisti devono prestare attenzione, anche solo nel fare il nome di altre persone.
Il consiglio “finale”
Per Pennasilico, “il rischio che preoccupa più le persone è la perdita economica derivante da accessi non autorizzati al conto corrente o dall’utilizzo fraudolento della carta di credito. Simili incidenti sono per certo fastidiosi ed è necessario attivarsi per prevenirli!. Tuttavia, “io sono molto più preoccupato riguardo ad altri possibili accadimenti: accesso abusivo al mio conto, non per svuotarlo, ma per usarlo come transito in una truffa o nel riciclo di denaro sporco. Accesso ai miei social e tentativi di frode o infezione ai miei contatti sono altri rischi a impatto non economico ma che possono avere gravi impatti sulla reputazione”.
Per diffondere maggiore consapevolezza su questi temi, il 27 ottobre Digital360 ha organizzato una nuova edizione dell’evento Cybersecurity360Summit.
