Nel mondo, il 20 percento dei dipendenti attualmente fa tutto o parte del proprio lavoro da casa. In Italia, il 36 percento ha già avviato iniziative di lavoro agile, mentre il 9% prevede d’introdurne. Per ridurre al minimo i rischi legati al lavoro da casa, specialmente quando la connettività e le risorse digitali diventano più interconnesse, le organizzazioni devono promuovere le migliori pratiche di igiene della sicurezza che minimizzino i rischi, la perdita di dati e la non conformità pur consentendo flessibilità operativa ed efficienza. Di seguito i consigli di Fortinet per un lavoro “smart” anche dal punto di vista della sicurezza informatica.
Buone pratiche di cyber-igiene: una responsabilità condivisa da tutti
Poiché l’uso di dispositivi personali e le esigenze di mobilità e di digital transformation hanno reso le reti aziendali più accessibili che mai, anche gli attacchi informatici diventano sempre più frequenti e sofisticati, sfruttando la superficie di attacco estesa. I dipendenti possono causare involontariamente gravi danni a un’azienda a causa di una mancata consapevolezza della sicurezza informatica: un dispositivo compromesso o una connessione remota inaffidabile possono infatti rendere vulnerabile la rete. Ecco alcune strategie da mettere in pratica per promuovere una cyber-igiene di alto livello:
- Utilizzare i punti di accesso sicuri e creare una rete di lavoro
Quando ci si collega da remoto alla rete aziendale, le best practice per la cyber-igiene raccomandano l’uso di un punto di accesso sicuro. Un modo per ridurre al minimo i rischi di connessione alla rete di lavoro tramite Wi-Fi pubblico consiste nell’utilizzare una rete privata virtuale (VPN). Le VPN consentono di estendere la rete privata attraverso il Wi-Fi pubblico utilizzando una connessione point-to-point virtuale crittografata che consente e mantiene l’accesso sicuro alle risorse aziendali. Tuttavia, è ancora fondamentale ricordare che se una delle due estremità della VPN viene compromessa, come l’access point WiFi non pubblicizzato presso il proprio bar locale, la VPN non può impedire incidenti come attacchi man-in-the-middle. Questo è il motivo per cui è anche necessario garantire l’integrità di qualsiasi punto di accesso a cui ci si connette. Sebbene le connessioni Wi-Fi pubbliche siano spesso innocue, per un criminale informatico è sufficiente una connessione malevola per intercettare tutti i dati di navigazione mentre ci si sposta su siti e account.
Un’altra buona pratica è quella di creare una rete sicura per le transazioni commerciali nel proprio home office. La maggior parte delle aziende ha due reti separate, una a cui solo i dipendenti possono accedere e una per gli ospiti. Questo stesso protocollo è facile da replicare a casa. La maggior parte dei router domestici consente la creazione di più reti, come una casa e una connessione ospite. L’aggiunta di una rete protetta da password per le connessioni di lavoro significa che le risorse aziendali non condivideranno mai la stessa connessione dei computer domestici, dei sistemi di videogaming e dei dispositivi smart dei bambini. Mantenendo i dispositivi domestici separati dalla rete sulla quale si accede a dati di lavoro sensibili, i dispositivi o le applicazioni compromessi non possono essere utilizzati come punto di vulnerabilità per attaccare la rete aziendale.
- Aggiornamenti regolari
Installare aggiornamenti su dispositivi, applicazioni e sistemi operativi su base regolare è un passo fondamentale per ottenere una buona igiene informatica. Sebbene sia facile ignorare gli aggiornamenti quando è necessario rispettare una scadenza o aiutare un cliente, il fatto di non mantenere aggiornati i dispositivi può semplificare drasticamente il processo per i criminali informatici che cercano di danneggiare un determinate dispositivo. Uno dei modi più efficaci e più facili per evitare questa tendenza è semplicemente aggiungere patch e aggiornamenti alla pianificazione del lavoro. È difficile adattarsi a qualcosa se non è nel proprio calendario della giornata. Se non lo si pianifica come si fa per altre attività e riunioni, è facile rimandarlo a un altro giorno.
L’applicazione regolare di aggiornamenti e patch assicura che il sistema operativo e le applicazioni in uso siano protetti da vulnerabilità note. Un recente attacco che dimostra l’importanza di questi aggiornamenti è WannaCry, che ha sfruttato le vulnerabilità note di Microsoft, per le quali le patch erano prontamente disponibili, per distribuire il ransomware. Allo stesso modo, è anche importante garantire che tutti i programmi e le applicazioni che vengono eseguiti all’interno della rete aziendale siano ancora supportati dal fornitore e che vengano ritirati o sostituiti quelli che non lo sono.
- Gestione efficace degli accessi
La gestione degli accessi è una pratica di cyber-igiene semplice ma molto efficace. Si dovrebbero utilizzare password complesse e autenticazione a due fattori su tutti i dispositivi e gli account. Le password dovrebbero essere complesse, includendo numeri e caratteri speciali. E cercare di evitare il riutilizzo delle password attraverso vari gli account, in particolare su dispositivi e applicazioni utilizzati per accedere a informazioni aziendali sensibili. La più grande sfida per questo tipo di strategia per le password è semplicemente ricordarle o tenerne traccia. Ad esempio, è utile utilizzare acronimi o frasi per aiutare a ricordare le password. E poiché il numero di password da ricordare aumenta, è bene prendere in considerazione l’utilizzo di software di gestione che aiutano a tenerne traccia. Le password complesse potenziate con l’autenticazione a due fattori sono ancora migliori, garantendo che solo le persone autorizzate possano accedere a sistemi aziendali sensibili e dati sensibili. I recenti progressi nella biometria, come scanner di impronte digitali e software di riconoscimento facciale, forniscono un’autenticazione a più fattori simile.
- Usare l’email in maniera sicura
Il vettore di attacco più popolare ancora sfruttato dai cybercriminali oggi è la posta elettronica, che rimane il modo più semplice per distribuire il malware a utenti ignari. Sebbene ci siano molti modi in cui i criminali informatici sfruttano l’e-mail per attività dannose, in ultima analisi, si affidano in gran parte al trucco di far cliccare ai destinatari su link e allegati malevoli, spesso impersonando un altro dipendente o qualcuno di loro conoscenza. Alcune delle più comuni truffe via email sono il phishing e lo spear phishing. Gli attacchi di phishing includono collegamenti a siti Web che sembrano legittimi, ad esempio una banca, un’azienda o un ufficio governativo, che richiedono agli utenti di accedere, rubando così le credenziali o infettando il dispositivo con malware. Lo spear phishing aumenta l’efficacia di tali attacchi impersonando un dipendente o un utente fidato prima di richiedere informazioni di accesso, dati sensibili dei dipendenti, trasferimenti di denaro o semplicemente chiedendo loro di aprire un allegato infetto o fare clic su un collegamento dannoso.
Per combattere tali minacce, è importante essere vigili quando si risponde alle e-mail, in particolare quelle contenenti link e allegati. Non fare mai clic su un collegamento o allegato da un mittente sconosciuto. E anche se un’e-mail sembra provenire da una fonte attendibile, è bene assicurarsi di guardare attentamente l’indirizzo email o l’URL del sito web a cui si riferiscono.
- Installare un Anti-Malware
Mentre il software anti-malware non può fermare gli attacchi sconosciuti, la maggior parte degli attacchi e degli exploit riutilizzano gli attacchi che hanno avuto successo in precedenza. L’installazione di software anti-malware/anti-virus su tutti i propri dispositivi e reti fornisce protezione in caso di phishing o tentativo di sfruttare una vulnerabilità nota. Inoltre, è bene cercare strumenti che forniscano funzionalità di sandboxing, sia come parte di un pacchetto di sicurezza installato o come servizio basato su cloud, per rilevare anche Zero-Day e altre minacce sconosciute.
- Avere un piano di risposta e conoscerne i dettagli
Tutte le aziende, indipendentemente dalle dimensioni, dovrebbero avere un piano di risposta agli incidenti e uno di ripristino per ridurre al minimo il downtime in caso di un attacco. È importante assicurarsi di essere a conoscenza, assieme a tutti gli altri dipendenti, di questo piano. Ciò include anche disporre di una hotline in modo che i dipendenti sappiano chi contattare se sospettano una violazione. È inoltre necessario assicurarsi che questa hotline sia presidiata 24 ore su 24, 7 giorni su 7, o che un contatto al di fuori dall’orario lavorativo sia prontamente disponibile. Aspettare di venire a conoscenza di una violazione solo dopo l’arrivo al lavoro del team di supporto potrebbe essere troppo tardi. Avere un piano semplificato assieme a dipendenti informati e allineati consentirà all’azienda di interrompere rapidamente la diffusione di un attacco in tutta la rete, ridurre i tempi di disservizio, contenere al minimo la fuoriuscita dei dati e ripristinare la connessione online più velocemente.
Conclusioni
La sicurezza informatica non è più sola responsabilità dei team IT e di sicurezza. Poiché i dipendenti interagiscono e si affidano alla tecnologia ogni giorno, spesso da postazioni remote, svolgono tutti un ruolo fondamentale per la sicurezza dell’organizzazione.
Al fine di garantire sicurezza e conformità, in particolare quando trend come la trasformazione digitale e la mobilità continuano a espandersi, ogni singolo dipendente deve comprendere e mettere in pratica una corretta cyber-igiene. Conoscendo i comuni vettori di attacco e utilizzando i suggerimenti forniti, gli utenti possono contribuire a fermare la diffusione del malware e mantenere l’azienda operativa.
CS – photo 30110 Helmond callcenter Rabobank int 06 (Kerkstr) 2009