In questo periodo, milioni e milioni di lavoratori italiani sono in Smart Working, a causa dell'emergenza Covid-19. Il pc aziendale si trova, quindi, fuori dalle reti sicure della azienda e perciò la soglia di rischio per la sicurezza del sistema è alta. Gli hacker stanno sfruttando l'emergenza sanitaria per prendere di mira i clienti più vulnerabili: per questo è importante che le organizzazioni e i dipendenti si preparino ad affrontare ogni potenziale attacco.
In questo articolo presenterò alcuni suggerimenti per difendersi dagli attacchi informatici, stili comportamentali che andrebbero seguiti sempre ed in ogni situazione.
La cybersecurity ai tempi dello smart working
Le aziende, in questo periodo difficilissimo, si sono fatte trovare impreparate dopo anni passati a procrastinare il cambiamento. Il risultato è stato che i lavoratori sono ora a lavorare da casa senza avere un'idea precisa di come comportarsi in termini di cyber security aziendale. Di fatto si è concesso l'accesso da remoto ai sistemi aziendali a dispositivi sconosciuti (i pc personali dei dipendenti) che si connettono da reti esterne. Questo rappresenta ovviamente una minaccia perché i pc esterni potrebbero essere infetti senza saperlo e portare virus, malware e simili all'interno del perimetro della rete wi-fi dell'azienda. Senza considerare che i cyber criminali possono approfittare di queste vulnerabilità per far passare file malevoli all'interno della rete.
Vediamo allora quali sono le best practice che ogni dipendente dovrebbe seguire sia all'interno che all'esterno dell'ufficio.
Leggi anche >> "Per aprirsi "chiudendosi": dall'RNA all'Antivirus"
Ripensare alla propria password
Le password devono essere cambiate regolarmente: infatti, il 37% degli utenti cambia la propria password di lavoro annualmente o sporadicamente. Nel processo di aggiornamento password bisogna aumentarne la complessità e quindi l’entropia (importante combinare insieme: numeri, caratteri speciali, lettere maiuscole e minuscole).
Un'idea potrebbe essere quella di combinare una password con le iniziali di una frase che si ricorda bene, come il testo della propria canzone preferita (fonte Chester Wisniewski). Un semplice esempio (dal brano dei Doors “Riders on the storm”), prendendo e trasformando le iniziali delle parole:
"Riders on the storm
Into this house we're born
Into this world we're thrown"
Potrebbe diventare R0t5IthW8iTww7!?_
Inoltre, è molto importante tenere a mente che per ogni sito (o addirittura accesso) si devono inserire password differenti. Ad esempio, non utilizzare le credenziali di Amazon identiche a quelle di Google.
Un altro consiglio che è bene seguire mentre si lavora da casa (ma anche in azienda), è quello di dotarsi di sistemi sicuri per mantenere le password. Keepass, LastPass sono alcuni tra i Password Manager più conosciuti che aiutano in primis ad organizzare in una sorta di “cassaforte virtuale” con tutti gli accessi che afferiscono alla nostra persona (utilizzano un sistema di crittografia che sfrutta il protocollo AES 256) ed in seconda battuta, grazie ad una password generator, creare password complesse senza la necessità di scriverle sul classico post-it lasciato in bella vista sulla nostra scrivania (o nel portadocumenti).
Non ignorare i vari aggiornamenti del PC
E' molto importante tenere aggiornato il proprio computer ed i propri device, in modo da risolvere eventuali bug di sicurezza, magari scoperti solo negli ultimissimi giorni. L’utente non deve essere in grado di procrastinare o addirittura ignorare le notifiche di aggiornamento sia esso dislocato in azienda o in giro per lavoro (o a casa come in questo periodo). Le aziende dovrebbero dotarsi di sistemi automatizzati per la distribuzione periodica delle patch, che per i dipendenti sarebbero praticamente trasparenti. Da evidenziare che tali aggiornamenti non vanno effettuati solo a livello di sistema operativo, ma anche per i singoli applicativi installati.
Fare molta attenzione al phishing e agli attacchi malware
Con l'emergenza sanitaria in corso, è aumentato il flusso di informazioni via mail e/o altri canali. Attenzione quindi ai tentativi di phishing ed attacchi malware: i malintenzionati cavalcano l’onda emotiva del periodo.
- Non cliccare mai sui link contenuti nelle e-mail, inviate da fonti sconosciute e sui link contenenti informazioni in controtendenza o disinformazione: inganni dei governi, vaccini già testati, etc. I criminali informatici stanno facendo leva sull'infodemia delle persone (non dormono mai!), ad esempio inviando email con contenuti scaricabili su come proteggersi.
- Le trappole si celano anche dietro SMS, messaggi WhatsApp, etc. Quindi alzare le barriere su più fronti, essere scettici e sospettosi a prescindere. Se non ci si aspetta una comunicazione, una e-mail, un allegato, o un pacco da Amazon, è necessario cancellare immediatamente tutti gli inviti e le richieste ricevute. Infine, è bene segnalare eventuali messaggi “non desiderati” al proprio dipartimento di sicurezza informatica aziendale senza improvvisarsi esperti o investigatori; questo permetterebbe ai team dei sistemi informativi di avviare una campagna di sensibilizzazione a livello corporate e/o di intercettare le prime fasi di un attacco e bloccarlo prima che l’impatto si estenda ulteriormente.
- Essere sicuri che la propria azienda predisponga di un sistema affidabile di protezione. Molti strumenti anti-virus tradizionali bloccano solamente il malware, riconoscimento basato sulle firme memorizzate nei DB dei software AV. I moderni software di protezione per endpoint abbracciano un campo più vasto ed eterogeneo di device, comportamenti e singolarità (ssmartphone, tablet, device USB, bluetooth,etc.).
- L’accesso ai sistemi aziendali dovrebbe avvenire sempre tenendo una “security posture” minimale:
- per l’accesso remoto, utilizzare la VPN SSL;
- essere sempre sicuri che l’Antivirus/Endpoint Protection sia aggiornato;
- il Sistema Operativo e gli applicativi del pc aziendale devono essere supportati ed aggiornati;
- preferibilmente, accedere agli applicativi più delicati (SSL VPN, Office, etc.) con doppio fattore di autenticazione;
- navigazione in internet più sicura, tramite i proxy aziendali;
- uno o più sistemi antispam per la posta elettronica.
Smart working: problema o soluzione?
Mai come oggi, è fondamentale, per un’azienda e per i suoi dipendenti, imparare a difendersi senza però rinunciare alle opportunità concesse dal lavoro agile. Di contro, come detto in questo articolo, si moltiplicano i rischi e quindi bisogna tenere gli occhi aperti. Bisogna monitorare costantemente tutte le vie di accesso alla rete aziendale, ma ancora più importante, servirebbe istruire i dipendenti sulle necessarie accortezze da tenere quando si usano questi canali di accesso privilegiati.
Se stai pensando di estendere lo smart working nella tua organizzazione anche oltre questa emergenza sanitaria, è importante formare i tuoi dipendenti, avere delle procedure relative al trattamento dei dati e dei prodotti di sicurezza informatica per mantenere la tua azienda al sicuro. Clicca qui e un nostro esperto ti contatterà per una consulenza gratuita sulla sicurezza nella tua azienda.