Sei sulla pagina 1di 10

8 BUONE PRATICHE

DI CYBER SECURITY
PER PROTEGGERE
AZIENDA, DENARO
E REPUTAZIONE

DALLO SPEAR PHISHING ALLO SMART WORKING


Per garantire la sicurezza delle informazioni e
dei sistemi informatici dell’azienda, oltre agli
strumenti di protezione, è indispensabile attenersi
alle regole di comportamento che permettono
di bloccare gli attacchi sul nascere. Si tratta di
“buone pratiche” che, con l’adozione diffusa dello
smart working, diventano ancora più importanti
per proteggere i dati e i sistemi aziendali.

2
Uno degli incidenti più comuni che portano a

1.
una violazione dei dati è quello dell’invio di
documenti e informazioni a un destinatario
sbagliato, soprattutto a causa del sistema
di completamento automatico degli indirizzi
nella posta elettronica.
CONTROLLARE
! Chi lavora in smart working, specie se lo fa
DUE VOLTE utilizzando un dispositivo personale e non il
computer aziendale, è ancora più soggetto a
I DESTINATARI questo rischio. Oltre agli indirizzi “lavorativi”,
infatti, il computer avrà in memoria anche i
DEI MESSAGGI contatti privati. Un disguido è quindi ancora
più probabile.

Utilizzare la rubrica per selezionare


l’indirizzo del destinatario

Verificare sempre il destinatario prima di


inviare il messaggio

Evitare di configurare l’account aziendale


sul client di posta del computer personale

3
2.
VERIFICARE L’AUTENTICITÀ DEI MESSAGGI
CHE PREVEDONO PAGAMENTI

Il furto di credenziali viene spesso utilizzato Come funziona la truffa:


dai pirati informatici come strumento per
mettere a segno truffe ai danni dell’azienda
attraverso la tecnica BEC (Business Email I pirati violano l’account di un dirigente
Compromise). o di un fornitore dell’azienda

! Chi lavora in smart working non ha la


possibilità di consultare facilmente colleghi Utilizzano l’account per inviare un’email con un
e responsabili dei pagamenti. Il rischio di ordine di pagamento apparentemente legittimo
subire una truffa aumenta.

Il denaro viene traferito sul conto


dei cyber criminali

Prevedere policy che richiedono una


conferma da almeno due responsabili per
NEGLI ULTIMI TRE ogni pagamento
ANNI LE TRUFFE
BUSINESS EMAIL
COMPROMISE (BEC)
SONO COSTATE Verificare l’autenticità del messaggio
ALLE AZIENDE PIÙ contattando il mittente con un altro
DI 26 MILIARDI DI strumento certificato (cellulare, SMS o simili)
DOLLARI (DATI FBI)

26.000.000 $ 4
La tecnica più comune usata dai cyber

3.
criminali per truffare le aziende con la formula
BEC è quella di inviare fatture alterando le
coordinate bancarie (IBAN) del beneficiario.

VERIFICARE Controllare le coordinate di pagamento


confrontandole con quelle usate in passato
L’AUTENTICITÀ
DEI MESSAGGI
Se le coordinate non corrispondono,
CHE PREVEDONO contattare telefonicamente tramite contatto
inserito nel proprio database (e non quello
PAGAMENTI eventualmente inserito nell’email)
il beneficiario per chiedere conferma.

! Chi lavora in smart working non ha accesso


ai documenti cartacei, archivi e informazioni
conservate in ufficio. La verifica con le
strutture amministrative interne, in questo
caso, è ancora più importante.

5
La maggior parte dei malware sfrutta

4.
vulnerabilità conosciute, per cui sono
disponibili aggiornamenti. Applicare
tempestivamente gli update del sistema
operativo e di tutti i software riduce
esponenzialmente il rischio di finire vittima di
MANTENERE un attacco.

AGGIORNATO
! Chi lavora in smart working si trova
IL SISTEMA all’esterno del perimetro normalmente
controllato dagli amministratori IT, a cui
OPERATIVO E è normalmente demandato il compito di
gestire gli aggiornamenti. A maggior ragione
I PROGRAMMI dovrà prestare attenzione a eseguire tutti gli
aggiornamenti richiesti dal sistema operativo
e dai programmi.

60%
IL 60% DEGLI ATTACCHI INFORMATICI
COLPISCE SOFTWARE CHE NON SONO
STATI AGGIORNATI

6
La maggior parte degli attacchi di phishing

5.
utilizza il codice HTML per “nascondere”
il vero indirizzo Internet a cui punta, per
indurre le vittime a visitare pagine web con
contenuto malevolo.

VERIFICARE IL
REALE INDIRIZZO
DEI LINK
ALL’INTERNO
DELLE EMAIL
Prima di fare clic su un collegamento,
posizionare la freccia del mouse su di esso.
La finestra a comparsa mostrerà il vero
indirizzo del link.

7
Una delle tecniche più usate dai pirati

6.
informatici per ottenere l’accesso ai servizi
aziendali è quella di contattare un impiegato
fingendo di essere un tecnico dell’assistenza
e chiedendo le credenziali di accesso. Si
tratta di uno stratagemma semplice, ma
NON FORNIRE estremamente efficace.

MAI LE
! Nel corso del lavoro in mobilità si può essere
CREDENZIALI ancor più a rischio perché è frequente il
contatto telefonico, senza avere la possibilità
DI ACCESSO di verificare l’identità dell’interlocutore.

AL TELEFONO

84,7% SECONDO LE STATISTICHE,


L’ESPOSIZIONE DI INFORMAZIONI
SENSIBILI DELL’AZIENDA AVVIENE A
CAUSA DI ERRORI UMANI INVOLONTARI
NELL’84,7% DEI CASI

8
La pessima abitudine di appuntare le

7.
password su post-it o di memorizzarle in un
file sul computer offre ai pirati informatici
la possibilità di ottenere le credenziali di
accesso con estrema facilità.

MAI
CONSERVARE Utilizzare un password manager che
conservi le password con una protezione
LE PASSWORD crittografica AES-256 e un controllo
attraverso una master password.
SU CARTA O
SU FILE

33%
IL 33% DELLE VIOLAZIONI DI SISTEMI
INFORMATICI HA AVUTO COME VETTORE
UN’EMAIL DI PHISHING

9
La condivisione di cartelle e documenti

8.
residenti su cloud prevede specifiche
procedure che limitano l’accesso ai soli
dati selezionati, secondo il principio least
privilege. L’invio di forme di condivisione
diverse (per esempio attraverso il copia
CONTROLLARE incolla di un link interno) che non prevedano
limitazioni all’accesso può consentire al
I CONTENUTI destinatario di sfogliare le cartelle e accedere
ad altre informazioni aziendali.
CONDIVISI
SU CLOUD ! L’utilizzo di piattaforme di condivisione su
cloud è uno dei pilastri dello smart working.
L’adozione di procedure rigorose per la
condivisione dei dati è quindi indispensabile.

P E R SA P E RN E D I P I Ù CO N TAT TAC I

10