Errori comuni nelle postazioni computer
È importante impegnarsi per rendere sicuro il proprio PC (da tavolo o portatile) al fine di proteggersi da varie minacce che arrivano da Internet. Ecco 8 regole importanti che dovete conoscere!
1. Personalizzare i permessi secondo la posizione e la necessità – Utilizzando definizioni dei permessi organizzate, l’organizzazione può supervisionare l’attività dei dipendenti al computer. Le persone installano varie applicazioni che provengono da molte fonti e spesso non è possibile sapere se sono sicure. Ogni installazione del genere può diventare una breccia per gli hacker e una minaccia sostanziale per la sicurezza delle informazioni dell’organizzazione. È altamente raccomandato limitare i permessi di installazione per i dipendenti secondo la loro posizione e permettere l’installazione di applicazioni specifiche necessarie allo svolgimento delle loro funzioni. Tali permessi saranno concessi solo agli addetti informatici o agli impiegati che hanno competenze, esperienza, conoscenze e consapevolezza della sicurezza delle informazioni.
2. Navigare in Internet – consigliamo di evitare di visitare siti web che non siano indispensabili al lavoro, come i siti di giochi gratuiti (in molti casi tali siti contengono spyware o programmi di tracking o questi sono "attaccati" ai giochi o ai plug-in che perrmettono di giocare), siti sportivi o l’utilizzo di chat online, che aumentano il rischio di fuoriuscita di file o contenuti dall’organizzazione. Navigare in siti di questo genere espone le organizzazioni a minacce esterne. Consigliamo di installare sistemi progettati per monitorare i siti in cui i dipendenti possono entrare e bloccare l’accesso a siti che sono considerati problematici. Questi sistemi sono utilizzati come filtri e sono in grado di segnalare i dipendenti “ribelli” che non seguono le linee guida, rilevando le abitudini di navigazione degli utenti.
3. Utilizzare un laptop – È molto comune il fatto che i dipendenti usino un computer portatile, lo portino a casa e poi di nuovo al lavoro e viceversa. Agendo in tal modo, introducono il laptop nell’ambiente casalingo, che non è sicuro come quello aziendale. A casa, possono esserci altre persone o bambini che utilizzano il computer, aumentando così il livello di rischio ed esposizione alle minacce per l’organizzazione, perché queste non possono essere supervisionate e controllate. Di conseguenza, è importante separare il lavoro dalla casa e non permettere ai bambini e ad altri utenti di utilizzare il laptop. Si raccomanda, inoltre, di installare sistemi di accesso remoto criptati (come VPN) da utilizzare da casa e di verificare che il computer stesso contenga tutti i mezzi di sicurezza informatica che corrispondono al livello di sicurezza dell’organizzazione. Esistono sistemi progettati a tale scopo che negano l’accesso (locale o remoto) se il dispositivo non è adeguato agli standard di sicurezza dell’organizzazione.
4. Perdita o furto di computer portatili – I computer portatili in particolare e i dispositivi mobili in generale, come tablet, smartphone ecc., sono maggiormente soggetti a perdita o furto, perché le persone li portano con sé durante i viaggi all’estero, in treno, in macchina, e sono per natura mobili, piccoli e facili da trasportare. È consigliabile criptare l'intero laptop / dispositivo mobile e installare un sistema che possa individuare il computer e cancellare le informazioni a distanza, se necessario. In questo modo, se c’è un rischio di furto di informazioni o contenuto, il laptop diventa come qualsiasi altro laptop e il danno causato all'organizzazione si limita al valore del dispositivo perso o rubato, che è trascurabile se paragonato al valore dei dati contenuti. Talvolta il sistema permette di individuare il ladro e recuperare quanto era stato perso o rubato.
5. Email – È la minaccia più comune, dove gli hacker si nascondono per compiere furti di identità e ottenere informazioni sensibili. L’esca è normalmente inviata all’utente come un messaggio innocente, mascherato da una mail o notifica importante che annuncia una vincita o dei saldi speciali e attraenti o addirittura da una mail che sembra essere del servizio di sicurezza di un sito noto come PayPal, banche, Gmail, Facebook, Linkedin, ecc. Molti hacker si mascherano e inviano link che con un solo clic possono installare un virus nel computer o indurre l’utente ad aggiornare i propri dati in un finto sito impostore. In tal modo, inconsciamente, si consegnano agli hacker dati estremamente sensibili, tra cui le password. Attualmente, è molto facile inviare alle organizzazioni email aggressive e, nonostante esistano sistemi appositi che possono filtrare la maggior parte dei virus e delle mail di fishing, è meglio astenersi dall’aprire mai inviate da una fonte sconosciuta e certamente evitare di cliccare su link sospetti e non identificati. I link che sembrano essere inviati da una fonte identificata sono molto sospetti, perché sono per lo più mandati da un’organizzazione nota, ma che non è mai stata contattata dall’utente e questo, chiaramente, è un significativo campanello d'allarme.
6. Impostare le password – È consigliabile impostare una password complessa, una combinazione di lettere maiuscole e minuscole con numeri e caratteri speciali, al fine di evitare che un software automatico possa facilmente decodificare la password. Una combinazione semplice aumenta le possibilità di decodifica. Tali malware provano ogni combinazione possibile (conosciuto anche come metodo forza bruta) e, ovviamente, più semplice è indovinare la password, più il tempo per decifrarla è breve. Se la password è sufficientemente complessa, è meno probabile che venga decodificata da un software. Si dovrebbe evitare di utilizzare date di nascita, nomi dei figli, numeri di carte d'identità, ecc. come password, così come qualsiasi informazione che possa essere collegata all’utente o che possa essere indovinata utilizzando combinazioni ragionevoli (noto come metodo di attacco a dizionario). Le password devono essere cambiate relativamente spesso e bisogna evitare di utilizzare password simili a quelle utilizzate in passato. Le organizzazioni devono mettere in pratica tale politica relativa alla password nei loro sistemi, rigidamente codificata, al fine di prevenire pericolose intrusioni. La maggior parte dei sistemi sono adatti a questo scopo.
7. Sicurezza fisica – al fine di impedire intromissioni manuali, è consigliabile stabilire una politica riguardante le persone che visitano gli uffici e non fanno parte dell'organizzazione, come fornitori esterni, tecnici e personale informatico, che stabilisca che debbano essere scortati durante la visita all’interno dell’organizzazione e che l’accesso sia consentito solo in seguito ad un riconoscimento e sia documentato con orari di arrivo, partenza e modi di identificazione. Persone esterne possono installare manualmente qualcosa nei computer o copiare dati e contenuti utilizzando una chiavetta USB. Talvolta, anche un visitatore apparentemente innocente e casuale, come chi raccoglie fondi o persone che dicono di essersi perse, si rivelano essere hacker o sono inviati da concorrenti in mala fede. Si sono verificati persino alcuni casi di candidati fittizi per una posizione che erano in realtà spie industriali o altri che erano inseriti in compagnie di risorse umane che forniscono servizi esterni come la pulizia (e quindi l’ufficio è ben ripulito dalle informazioni sensibili che possiede).
8. Reparto informatico –È importante definire a livello dell’organizzazione che una delle responsabilità di questo reparto è essere regolarmente responsabile della sicurezza, del controllo e del monitoraggio delle informazioni. Utilizzare i continui aggiornamenti offerti dai sistemi operativi, usare programmi antivirus, vari strumenti di pulizia e firewall per bloccare comunicazioni indesiderate e intrusioni ed evitare la fuoriuscita di dati dall’organizzazione. La norma attuale è quella di assumere un tecnico informatico ogni 1,8 impiegati dell’organizzazione. Un reparto informatico che funziona bene può evitare violazioni della sicurezza delle informazioni e ridurre al minimo le minacce, utilizzando procedure di lavoro, adottando una politica chiara e fornendo autorizzazioni limitate, secondo le esigenze e la posizione. Il reparto informatico è anche responsabile dell’implementazione delle procedure del sistema al fine di evitare errori umani. L’organizzazione deve assicurarsi che il personale informatico abbia le conoscenze e le competenze adatte e che abbiano fatto formazione nel settore della sicurezza delle informazioni. Inoltre, l’organizzazione deve assumere consulenti esterni (specialisti) per rispondere alle necessità che non sono di competenza del reparto informatico, come la gestione di emergenze e incidenti o eventi insoliti che riguardano la sicurezza delle informazioni.