CORSO SITO PWC “BE SMART. BE SECURE.

DISTRHACKTION CURRICULUM - ITALIAN”

Definizione di disattenzione
Mancanza di concentrazione, distrazione, disattenzione, negligenza,
trascuratezza, incuria.

Nel mondo in cui viviamo e lavoriamo, basta un attimo di disattenzione

per creare una grave violazione della sicurezza.

Migliori prassi
Alcune linee guida generali per affrontare gli attacchi di social engineering:

 Prestare attenzione e sospettare dei contatti sconosciuti o che non si possono

verificare immediatamente.

 Essere consapevole delle conversazioni avute al di fuori del lavoro e di quello

che si posta sui social media poiché possono contenere informazioni utili agli
Hacker.

 Segnalare sempre immediatamente all’IT messaggi, chiamate o e-mail sospetti.

 Non usare mai dispositivi o account personali per scopi lavorativi, né

rispondere a e-mail collegate al lavoro dall’account personale di altri colleghi.

 Se sospetti che un’e-mail che hai ricevuto possa essere un potenziale

messaggio di phishing, devi selezionare il pulsante Reporter o usare l’indirizzo
e-mail di GBL per le segnalazioni di phishing (GBL_Phishing-
Reporting@pwc.com) per comunicare al dipartimento IT la potenziale
minaccia

Se vuoi saperne di più sull’hackeraggio di social engineering, seleziona il seguente

link Connessione Errata: Una Storia di Social Engineering.
 Insegnamenti appresi
Alcune linee guida generali per identificare le tecniche utilizzate negli attacchi di
social engineering sono:

 Ricordarsi che le azioni compiute in pubblico possono essere osservate e usate

per capire chi siamo sia a livello personale che professionale.

 Ricordarsi sempre che i post pubblicati sui social possono rivelare le nostre
abitudini, il luogo in cui viviamo e i dettagli della nostra vita e che le nostre
informazioni di contatto possono essere oggetto di uso improprio.

 Diffida dei contatti avuti dai colleghi se non corrispondono alle informazioni in
tuo possesso.
 Migliori prassi
Alcune linee guida generali per la connessione ai router Wi-Fi fuori dall’ufficio:

 Controlla sempre che la rete Wi-Fi a cui ti connetti sia legittima e verificata
come sicura e non installare certificati digitali senza avere la certezza delle
origini.

 Diffida delle connessioni Wi-Fi e Bluetooth che possono costituire un 'access

point non autorizzato' realizzato dagli hacker, la cui rete potrebbe essere simile
a quella che tu ritieni sicura.

 Non disattivare mail la VPN sul tuo telefono o le VPN come Global Protect
rendendo il tuo laptop vulnerabile durante l’accesso ai servizi on-line.

 Non usare connessioni Wi-Fi che:

 Non consentano il collegamento alla VPN.

 Richiedano l’uso di nome utente e password di PwC per accedere.

 Richiedano il download di un certificato.

Qui ci sono alcune linee guida aggiuntive su quello che la VPN di PwC fa e non fa:

 Ci protegge quando operiamo entro i confini del dominio PwC come le app
PwC Gmail, PwC G drive, Spark site e altre app di PwC.

 Rende sicura la navigazione su siti web legittimi e sicuri esterni alla VPN.

 La VPN non protegge i dati personali o bancari inseriti in siti web non sicuri
(senza https).

Se vuoi saperne di più su viaggi e sicurezza, seleziona il link Cybersecurity Travel

Guidance per maggiori informazioni.
 Migliori prassi
Usare solo software e app autorizzati da PwC e rispettare sempre la Politica sull’Uso
Accettabile della propria azienda. Alcune linee guida di best practice per evitare
violazioni della sicurezza durante la condivisione e la gestione dei file:

 Gli strumenti on-line non verificati (come i convertitori PDF e i programmi di

grafica) possono contenere dei malware, tuttavia si può affermare con certezza
che gli app store come PwC Apps, iTunes App store e Android Play store sono
fonti affidabili.

 Identificare e vietare i siti web e gli strumenti on-line sospetti va a vantaggio di

tutti i collaboratori di PwC.

 Se sospetti che il tuo laptop o dispositivo sia infettato da un malware o

danneggiato, segui le indicazioni di segnalazione della tua azienda (ad es.
Service Desk, IT Help Desk, ecc.) e denuncia il fatto il più presto possibile.

 Ai fini della sicurezza, è essenziale che tutti i dispositivi siano sempre collegati
alla VPN.
 Insegnamenti appresi
Alcune linee guida generali per identificare le tecniche utilizzate negli attacchi di
social engineering sono:

 Gli hacker utilizzano molti strumenti e metodi ma l’attuale sicurezza on-line

spesso blocca i loro tentativi grazie all’ampio uso di siti https sicuri.

 La sensibilizzazione sull’uso di strumenti on-line e la mancanza da parte degli

utenti di una coscienza relativa ai rischi di sicurezza è un aspetto che spesso gli
hacker sfruttano.

 Spesso tentano di creare le loro copie di siti e servizi, basandosi e imitando i

corrispondenti legittimi per mascherare le loro intenzioni.
 Migliori prassi
Alcune indicazioni generali per gestire le fonti di dati sospette:

 Mai inserire nei propri dispositivi fonti di dati di cui non si conosce al 100%
con certezza l’origine e l’attendibilità.

 Se si trovano chiavette USB incustodite, passarle sempre al dipartimento IT

locale: loro sono correttamente equipaggiati per verificarle.

 Mai cambiare le password in base alle istruzioni di cui non si può facilmente
individuare la fonte.

 Se un laptop o un telefono sono stati infettati da malware, rimuoverli dalla rete

e isolarli da Internet per limitare la diffusione del malware.

 Usare l’Autenticazione a più fattori (un metodo di autenticazione che consente

all’utente di accedere solo dopo avere inserito con successo due o più elementi
di riconoscimento nella procedura dedicata) per impedire la compromissione
dell’account.
 Insegnamenti appresi
Alcune linee guida generali per identificare le tecniche utilizzate negli attacchi di
social engineering sono:

 Tentare un’operazione di hackeraggio dall’interno della rete è più facile che

tentare di scavalcare la VPN dall’esterno.

 Gli hacker usano molte tecniche per introdursi nelle reti, compreso l’utilizzo di
dispositivi fisici che possono tentare la vittima ignara.