1. Informazione / educazione sulla sicurezza. Tenersi aggiornati sulle minacce informatiche e sui rischi che si corrono in modo da non cadere nelle trappole più comuni. 2. Seguire le policy aziendali. Sicuramente le policy di sicurezza non sono …
1. Informazione
/ educazione sulla sicurezza. Tenersi aggiornati sulle minacce informatiche
e sui rischi che si corrono in modo da non cadere nelle trappole più comuni.
2. Seguire le policy aziendali. Sicuramente
le policy di sicurezza non sono relegate all’aspetto IT, ma toccano tutti
gli aspetti della vita aziendale: le procedure devono essere il più possibile
standardizzate e poi calate nelle realtà delle singole aziende. Poi,
a prescindere che le aziende abbiano all’interno la struttura IT idonea, o che
si avvalgano di terze parti, la sicurezza deve far parte della cultura aziendale:
deve essere un atteggiamento che parte dai più alti livelli aziendali,
ma è altrettanto vero che ognuno in azienda svolge un ruolo fondamentale
per la sicurezza.
3. Non utilizzare PC aziendale per scopi personali.
Crescono le minacce alla sicurezza aziendale dovute ad un utilizzo volontariamente
o non volontariamente improprio dei PC e dei laptop affidati dalle aziende ai
singoli utenti. A tale proposito, McAfee ha commissionato lo studio “La
minaccia dall’interno”, realizzato da ICM Research e presentato
a inizio 2006, nel quale viene analizzato il comportamento dei dipendenti in
tutta Europa rivelando che le aziende non stanno adottando le precauzioni necessarie
per proteggersi contro i rischi posti dai loro dipendenti e che sono proprio
ignoranza e negligenza nell’utilizzare in modo corretto e sicuro le risorse
IT aziendali ad esporre le aziende a rischi elevati. Basti pensare che in tutta
Europa, un lavoratore su cinque permette a familiari e amici di utilizzare laptop/computer
per accedere a Internet esponendo PC e reti aziendali a un rischio elevato di
diffusione di malware, virus, worm e Trojan. Pochi sanno che i laptop della
loro azienda potrebbero non disporre degli ultimi aggiornamenti di sicurezza
e sono sufficienti solo pochi secondi perché un dipendente colleghi un
laptop o un PDA non protetto alla rete dell’ufficio ed esponga pericolosamente
l’intero ambiente a un’infezione. I lavoratori inoltre scavalcano
le procedure di sicurezza della loro azienda collegando i loro dispositivi personali,
quali iPod, chiavette USB e macchine fotografiche digitali, esponendo l’azienda
anche a problematiche legali oltre che di sicurezza. Se pensiamo che in media
ogni incidente di sicurezza costa circa 45.000 Euro ed è sufficiente
un unico incidente per causare una devastazione diffusa, risulta allarmante
che, nonostante ciò, il 66% delle aziende non disponga attualmente di
piani per implementare contromisure adeguate!
Il seguente espediente mnemonico è stato studiato per aiutare le aziende
di più piccole dimensioni a proteggersi dalla ‘minaccia interna:
- S – Systems safe (sistemi sicuri)– Risparmiate tempo e dotatevi di
aggiornamenti anti-virus automatici per i dispositivi presenti sulla vostra
rete. - E – Everyone knows (informare tutti)– Assicuratevi che tutti i nuovi
membri dello staff o fornitori comprendano le vostre policy di sicurezza informatica. - C – Compliance (conformità) – Non aspettate che vi venga
detto che un prodotto non è conforme, assicuratevi di comprare un prodotto
con scansione automatica di tutti i dispositivi prima che entrino sul vostro
sistema informatico come, per esempio, McAfee Policy Enforcer - U – Update regularly (aggiornare regolarmente)– Aggiornate e controllate
tutti i sistemi informatici ogni anno man mano che l’azienda cresce,
indipendentemente dalle policy che applicate o le tecnologie che utilizzate - R – Risks monitoring (monitorare i rischi) – Per i più recenti
aggiornamenti sulle varie minacce informatiche visitate il sito www.mcafee.com - E – Encourage communication (favorite le comunicazioni). Qualsiasi fornitore
che utilizza i vostri sistemi deve essere a conoscenza delle vostre policy.
Anche i clienti desiderano conoscere il vostro approccio poiché ciò
garantisce loro che sarete operativi anche in futuro nonostante i virus o
eventuali danneggiamenti dei vostri sistemi.
4. Verificare lo stato di sicurezza del PC. E’ buona
norma controllare che il PC che si sta utilizzando sia in linea con gli ultimi
aggiornamenti di sicurezza e del sistema operativo.
5. Hard Disk / File Shredder. Al momento della sostituzione
di un PC cancellare in modo sicuro qualunque file o cartella presenti sul disco
fisso in modo tale da non essere ripristinabili con i classici strumenti software,
accertandosi che file contenenti dati personali o informazioni sensibili non
possano cadere in mano di malintenzionati.
6. Navigare solo su siti sicuri. In particolare prestare attenzione
ai download gratuiti, ai salvaschermi più di moda, ai siti di canzoni,
e alla registrazione a club online — molti download gratuiti, come giochi
e sfondi per il desktop, nascondono al loro interno programmi di spyware e adware.
Questi programmi possono tenere traccia dei tasti battuti sulla tastiera, memorizzare
gli accessi a Internet e trasmettere informazioni riservate.
7. Proteggere la propria connessione wireless. L’esigenza
di sicurezza in ambito wireless anche nelle proprie case continua a crescere.
Si considera che il 60% di chi possiede un sistema wireless, non utilizzi la
crittografia per rendere sicuri la propria rete wireless o la trasmissione dei
propri dati. Bisogna tenere presente che il livello di rischio va di pari passo
con l’accesso a Internet da una rete Wi-Fi – è come se ci si allontanassi
dal bancomat lasciando la propria tessera inserita. Dalla rete wireless le onde
radio viaggiano attraverso i muri, e un hacker, con un’antenna semplicissima,
può rubare le informazioni personali anche da chilometri di distanza.
8. Non fornire dati personali o aziendali in forum o chat,
sono i metodi maggiormente utilizzati dai malintenzionati per il furto delle
identità e delle informazioni personali.
9. Utilizzare password intelligenti. Le password, infatti,
non solo devono essere rinnovate periodicamente, ma dovrebbero essere scelte
con oculatezza, evitando di utilizzare il proprio nome, quello di un familiare
o di un animale domestico, o altre informazioni facilmente reperibili dai propri
conoscenti (piatto o colore preferito, luoghi di villeggiatura, data di nascita),
utilizzare password differenti per differenti account, creare password di almeno
otto caratteri che devono contenere numeri e caratteri speciali, difficili da
indovinare e non presenti nei dizionari. In aree ad elevata sicurezza, poi,
sarebbe meglio non affidarsi solo all’utilizzo di nomi utente e password per
la sicurezza, ma utilizzare dispositivi hardware come generatori di password
dinamiche, che generano codici numerici di autenticazione casuali che vengono
costantemente modificati, per avere un livello aggiuntivo di sicurezza difficile
da infrangere.
