Smart-working: regole base per la sicurezza IT

08/05/2020 Autore: redazione ANRA

smart-working-regole-base-per-la-sicurezza-it

In queste settimane di chiusura a causa del coronavirus è stato registrato un incremento degli attacchi cyber. L’utilizzo da casa dei dispositivi aziendali potrebbe rappresentare una vulnerabilità a cui si può ovviare seguendo alcune regole.

Il primo giorno del lockdown ha visto una rincorsa ad organizzare il lavoro a distanza in azienda. In alcuni casi, scelte precedenti di aprire allo smart-working hanno reso lo switch più semplice, essendo in molti casi le persone già dotate di kit per il lavoro da casa settati sugli standard di sicurezza dell’azienda. In altri casi, si è supplito con massicci ordini di laptop e turni di lavoro continuati per il reparto informatico al fine di mettere tutti gli operativi in condizione di lavorare da casa in sicurezza. In altri ancora, forse la maggioranza, è stato un fai-da-te, in cui le persone hanno reso disponibile il proprio smartphone e computer personali – magari in condivisione con i figli impegnati nella scuola online – e la rete domestica. Il rischio è che l’impegno a far continuare il lavoro a distanza non si traduca in una altrettanto impellente necessità di garantire le intrusioni da parte di esterni nei sistemi privati, e da questi a quelli dell’azienda. Al fine di fornire al maggior numero possibile di dipendenti un facile e rapido accesso da remoto al software e ai sistemi operativi, qualche impresa potrebbe aver pensato di abbassare o sospendere gli standard di sicurezza IT, aumentando così la vulnerabilità della propria sicurezza informatica. 

Una delle possibili conseguenze è una maggiore facilità per i criminali informatici e gli hacker di penetrare in sistemi aziendali prima maggiormente protetti, causando violazioni dei dati, intrusioni, ricatti informatici e malfunzionamenti dei sistemi IT. Purtroppo, il dipendente in lavoro da remoto che accede alla rete aziendale con una connessione VPN (Virtual Private Network) è un obiettivo ideale per i cybercriminali, e gli eventi recenti lo dimostrano.

I tentativi di “phishing” emergenti nell’attuale momento, perpetrati attraverso link o allegati dannosi inviati via e-mail o messaggi WhatsApp, hanno iniziato ad evidenziarsi a gennaio 2020, e da allora hanno proliferato notevolmente. In alcuni Paesi, i dati mostrano che tra la metà di febbraio e la metà di marzo il numero di tentativi di attacco informatico è quintuplicato. Se il lavoro a distanza può aver determinato l’allentamento di qualche formalità o criteri di protezione, va ricordato che alcuni standard di sicurezza IT sono un prerequisito per la stipula di un'assicurazione cyber da parte di un'azienda. Per questo motivo AGCS ha preparato un elenco di consigli e misure da prendere in considerazione per la protezione contro gli attacchi in Internet. Questi si basano sulle direttive principali emanate dall'Ufficio Federale Tedesco per la Sicurezza Informatica e sulle linee guida del Charter of Trust, un'associazione di imprese, tra cui Allianz, che promuove la sicurezza informatica globale, che si applicano a tutti i dispositivi, compresi quelli forniti dalle aziende per l'utilizzo da parte dei dipendenti.


Misure fondamentali per la sicurezza nell'ufficio di casa

•    Mantenere aggiornato il software: utilizzare le versioni aggiornate dei sistemi operativi e dei programmi installati. Se possibile, utilizzare la funzione di aggiornamento automatico, che spesso è l'impostazione predefinita. Altrimenti installate subito gli aggiornamenti di sicurezza per il vostro software, in particolare per il browser e il sistema operativo. 

•    Utilizzate la protezione antivirus e i firewall: attivate la protezione antivirus e i firewall, ma tenete presente che questa misura può essere efficace solo come misura di accompagnamento alle altre procedure di sicurezza. La sua applicazione non riduce l'importanza degli altri suggerimenti qui citati. 

•    Creare diversi account utente: i programmi dannosi hanno sul PC gli stessi diritti dell'account utente attraverso il quale sono entrati nel computer, pertanto si dovrebbe lavorare con i diritti di amministratore solo se assolutamente necessario. 

•    Essere prudenti nel condividere i dati personali: i truffatori online aumentano la loro percentuale di successo rivolgendosi individualmente alle loro vittime: i dati precedentemente spiati, come le abitudini di navigazione o i nomi personali, vengono utilizzati per conquistare fiducia. Oggi i dati personali sono considerati denaro nella rete e vengono così scambiati come una valuta.


Misure supplementari per la sicurezza IT nell'ufficio di casa

•    Portate a casa solo i dispositivi e le informazioni assolutamente necessari: se volete proteggere le informazioni e i dispositivi, prima di tutto non spostateli dal vostro solito ambiente aziendale. In questo modo non si perderanno durante il trasporto o a casa.

•    Utilizzate browser aggiornati: disabilitate i componenti e i plug-in nelle impostazioni del vostro browser. Inserite prima manualmente nella riga dell'indirizzo del browser gli indirizzi di siti web particolarmente critici per la sicurezza, come ad esempio l'online banking, e salvate l'indirizzo inserito in questo modo come bookmark, che potrete poi utilizzare per un accesso sicuro.

•    Utilizzate password diverse, che all'occorrenza possono essere modificate: mantenete al sicuro tutte le password e i nomi utente e cambiate subito le password che possano essere cadute nelle mani sbagliate. È importante che una password si possa ricordare con sicurezza. La password deve contenere almeno otto caratteri, non deve apparire nei dizionari e dev’essere composta da lettere maiuscole e minuscole e da caratteri speciali e numeri. 

•    Autenticazione a due fattori: laddove venga offerta l'autenticazione a due fattori, è possibile utilizzarla per l'accesso sicuro al proprio account. Un gestore di password può facilitare l’utilizzo delle diverse password. Non condividete le vostre password con terzi.

•    Proteggete i vostri dati attraverso la crittografia: proteggete le vostre e-mail riservate con la crittografia. Se si utilizza una WLAN, fate attenzione alla crittografia della rete wireless. Nel vostro router, selezionate lo standard di crittografia WPA3 o, se questo non è ancora supportato, WPA2, fino a nuovo avviso. Scegliete una password complessa di almeno 20 caratteri.

•    Scaricate dati solo da fonti affidabili: fate attenzione quando scaricate qualcosa da internet. Prima di scaricare programmi, accertarsi che la fonte sia affidabile e, se possibile, utilizzate il sito web del produttore per scaricarli.

•    Effettuare regolarmente i backup: se, nonostante tutte le misure di protezione, il PC è infetto, possono andare persi dati importanti. Per ridurre al minimo i danni, eseguire regolarmente backup di file su dischi rigidi esterni, chiavette USB o DVD. 

•    Spegnete i dispositivi intelligenti ad attivazione vocale nell'ufficio di casa e coprite la webcam quando non è in uso: gli assistenti vocali ascoltano ciò che viene detto nei loro dintorni e lo trasmettono al provider. Non c'è garanzia che queste registrazioni non finiscano nelle mani sbagliate. Assicuratevi inoltre di coprire la webcam del PC quando non è in uso e fate attenzione a ciò che viene scambiato tramite la funzione video.

•    Identificare tutti i partecipanti alle sessioni online: è particolarmente facile, per le persone non autorizzate che hanno ottenuto i dati di accesso, intrufolarsi in grandi riunioni online con molti partecipanti. Ecco perché tutti coloro che si presentano all'incontro devono identificarsi brevemente, soprattutto quando si discutono argomenti delicati e si condividono le presentazioni sullo schermo.

•    Disconnettersi quando i dispositivi non sono più in uso e tenerli al sicuro: anche se si tratta solo di una breve pausa, bloccate gli schermi del PC e dei dispositivi mobili, come se foste al lavoro, in modo che non siano accessibili agli altri. Proteggete inoltre i dispositivi stessi dall'uso non autorizzato o addirittura dal furto quando sono a casa vostra.

•    Fate molta attenzione alle e-mail o agli allegati sospetti, soprattutto se il mittente è sconosciuto: soprattutto nell'ambiente familiare del vostro ufficio di casa, dovete diffidare delle e-mail sospette. Inoltre, non lasciatevi mettere sotto pressione dalle e-mail che vi chiedono di agire immediatamente o che, ad esempio, fanno riferimento all'attuale crisi Covid-19.