L’anello debole della catena di sicurezza in azienda è spesso strettamente correlato a comportamenti errati dei dipendenti, che non seguono i principi fondamentali sulla cyber security. Vediamo come evitare problemi mettendo in pratica le strategie vincenti

Con l’aumento esponenziale dei dispositivi digitali utilizzati in ambito produttivo, compresi quelli ad uso privato dei dipendenti, aumentano a dismisura anche i rischi a cui l’azienda stessa si espone, mettendo a repentaglio la propria stabilità economica e la propria reputazione.

Per capire la gravità di quanto affermato, basta leggere anche solo uno dei report che analizzano a fondo le criticità relative alla cyber security nelle aziende: il Rapporto Clusit 2019, il Cyber Security Risk Report 2019: “What’s Now and What’s Next” realizzato dagli specialisti per le Cyber Solutions di Aon, il Report annuale sulla cyber security 2018 di Cisco o il rapporto di Trend Micro Mappare il futuro: affrontare minacce pervasive e persistenti che illustra le previsioni sulla sicurezza per il 2019. E ancora, il The AICPA cybersecurity risk management examination one year later di Deloitte, tra le più grandi realtà nei servizi professionali alle imprese, tra cui Cybersecurity risk management examination, e il CGMA Cybersecurity tool: Cybersecurity risk, response and remediation strategies a cura del Chartered Global Management Accountant.

Tutti questi rapporti evidenziano in modo approfondito quelle che sono le minacce per le aziende in ambito digitale. A parte i diversi tipi di attacco rappresentati, analizzando nel dettaglio i dati sembra emergere chiaramente un’unica, grande criticità che li accomuna tutti: il comportamento errato messo in atto dai dipendenti che tendono a non seguire i principi fondamentali sulla sicurezza informatica in azienda.

Policy di sicurezza per proteggere la reputazione aziendale

Mentre sul lato tecnico è abbastanza “facile” e razionale mettere in pratica delle strategie, sul lato “umano” è molto più difficile garantire una coerenza continua nel tempo, proprio perché, volenti o nolenti, prima o poi facciamo tutti qualcosa “di sbagliato” e questo, in una azienda, si traduce in danni più o meno gravi.

Le aziende devono stare però molto attente perché spesso, oltre il danno subito a causa della violazione informatica, c’è anche un altro aspetto da considerare: la reputazione. Infatti, gli occhi dei clienti, degli investitori, dei partner ecc. sono puntati non solo sulla capacità di evitare le minacce, ma anche e soprattutto su quanto si è attenti, vigili ed efficaci nell’identificare e rispondere agli attacchi.

I dipendenti rimangono una delle cause più comuni di violazione. Spesso non si rendono neanche conto dell’entità della minaccia che rappresentano per la sicurezza informatica dell’intera organizzazione: ecco quindi l’importanza strategica che riveste una corretta policy sulla sicurezza informatica (o regolamento informatico aziendale).

Essendo contenute in questo documento, tutte le disposizioni, comportamenti e misure organizzative richieste agli impiegati e/o collaboratori aziendali per contrastare i rischi informatici, è molto importante che venga consegnato al momento dell’assunzione di ogni nuovo lavoratore, ma anche inviato a tutto il personale ogni anno tramite e-mail, con i necessari aggiornamenti, senza tralasciare il fatto di farlo firmare ai consulenti e ai collaboratori che accedono alla rete aziendale.

Adottando questo principio di divulgazione delle politiche di sicurezza informatica aziendali, si limitano eventuali comportamenti inconsapevoli che possano innescare problemi di sicurezza o minacce al trattamento dei dati.

Non solo, se in azienda sono state messe in atto procedure preventive, inserite nel documento, è più facile proteggersi da eventuali sottrazioni di dati che potrebbero essere messe in atto da parte dei dipendenti, in particolare da quegli impiegati che stanno per dimettersi o essere licenziati.

La policy sulla sicurezza informatica, comunque, non serve solo all’azienda: è anche uno strumento utile per il lavoratore in quanto, se ha sempre seguito le “buone pratiche“, lo tutela da eventuali colleghi e malintenzionati che potrebbero attribuirgli una responsabilità che non è sua.

Spiegare bene la sicurezza informatica ai dipendenti

Un aspetto che però troppo spesso viene sottovalutato è che per poter ottenere dei vantaggi reali, il documento deve essere scritto in modo chiaro, per poter essere compreso da una moltitudine di parti interessate, a partire dai dipendenti fino al consiglio di amministrazione.

La sicurezza informatica deve avere un linguaggio comune ed essere conosciuto e parlato in tutta l’organizzazione.

Purtroppo, non è raro che addirittura il responsabile della sicurezza non riesca a dialogare con il CDA, che potrebbe avere scarsa attitudine o competenza tecnologica, instaurando quindi una catena di incomprensioni fino ad arrivare all’anello finale, il dipendente, che si trova in difficoltà senza sapere bene come comportarsi.
Questo non è un bene perché si traduce in mancanza di regole chiare e di buone pratiche di sicurezza.

Misure di base per la sicurezza informatica in azienda

Ma veniamo quindi al nocciolo della questione: senza entrare troppo nei tecnicismi, vediamo quali potrebbero essere alcune delle misure di base adeguate ad ogni organizzazione (regole cioè necessarie, minime, anche se non sufficienti).

• Innanzitutto, ovviamente se non è stato ricevuto, è sempre buona norma chiedere ad un responsabile di farvi avere il documento relativo alle policy di sicurezza aziendale, in cui ci sono scritti tutti i comportamenti previsti, gli obblighi e i doveri in ambito digitale da parte del datore di lavoro e del personale.
• Ogni apparecchiatura collegata ad Internet deve essere considerata come una possibile minaccia, per cui è indispensabile tenere aggiornati tutti i firmware e i sistemi operativi dei dispositivi aziendali: a partire dai PC, tablet e smartphone aziendali, senza trascurare eventuali dispositivi IoT collegati alla rete come telecamere IP o apparecchi di sicurezza evoluti, quali sensori antincendio o antintrusione. È utile tenere aggiornati anche i firmware di eventuali TV smart e/o stampanti di rete.
• Attenzione ai nuovi apparecchi utilizzati come assistenti digitali: gli esperti di sicurezza li segnalano come possibili futuri vettori di intrusioni informatiche. Se non sono indispensabili se ne può fare tranquillamente a meno.
• Usare la cifratura disco su computer e smartphone permette di prevenire il furto di eventuali dati riservati o, peggio ancora, di segreti industriali. Non solo, tenere cifrate tali informazioni rende molto più difficile la vita agli hacker anche se riescono ad intrufolarsi furtivamente nella rete aziendale. Sarebbe auspicabile effettuare la cifratura anche nei dispositivi personali, in quanto se attaccati potrebbero rivelare dati preziosi, utili alla compromissione delle postazioni di lavoro.
• Quando si naviga in Internet, controllare sempre di essere collegati in modo “sicuro” attraverso il protocollo HTTPS. Per questo scopo conviene usare uno dei tanti plugin/addon (come l’estensione HTTPS Everywhere) che costringono il browser a connettersi in sicurezza senza l’intervento dell’utente. Controllare comunque che sia sempre presente nella barra degli indirizzi, il lucchetto, o che sia segnalato un simbolo verde, sinonimo di sicurezza attiva.
• Se si usano gli stessi servizi online, tenere sempre separati gli account aziendali da quelli personali: in questo modo, anche se si viene attaccati, ad esempio sul PC di casa, non si mette comunque a rischio l’account che si usa per lavoro.
• Controllare che siano attivi gli screensaver e impostare le loro password per proteggere le postazioni durante l’assenza dell’utente.
• Impostare sempre PIN o Password di sicurezza sui propri dispositivi per tenerli protetti da sguardi indiscreti. In caso contrario, bastano pochi secondi per inoculare software malevolo (usando magari una chiavetta USB), o per entrare nelle impostazioni e fotografare informazioni sensibili, come il codice MAC o quello IP, utili per preparare un eventuale attacco.
• Usare password uniche, casuali e lunghe: tenere presente che la robustezza di una password non è data tanto dal tipo di caratteri usati (numeri, lettere, simboli), ma soprattutto dalla lunghezza che rende un eventuale attacco brute-force dispendioso in termini di tempo e risorse, quindi difficile da portare a compimento. Se possibile, meglio quindi usare come password delle frasi lunghe e che abbiano senso solo per chi le ha create. È utile, a questo scopo, testare la robustezza della password scelta (ovviamente non inserire quella ufficiale, ma solo una simile).
• Sovrastati da mille password da ricordare? Comunque sia, non cadere mai nella tentazione di mantenere le password scritte in un file di testo: sarebbe come stamparle e appenderle nel corridoio!
• Se proprio non se ne può fare a meno, usare un programma “password manager“, ma utilizzare una master password per l’accesso davvero robusta, ricordandosi di tenere aggiornato l’applicativo in quanto in passato ci sono stati casi di software di questo genere, che si è scoperto essere affetti da exploit pericolosi risolvibili, appunto, con un aggiornamento. Per questo motivo, vale la pena, ogni tanto, inserire su Google il nome dell’applicativo scelto accompagnato con la parola “malware” o “exploit“, per verificare eventuali notizie in merito.
• Indispensabile usare sempre l’autenticazione a due fattori (indicata spesso con “2FA”, “two-step”, “multifactor” o “MFA”): evitare comunque l’invio dei codici per SMS, purtroppo ritrovarsi con lo smartphone clonato non è per niente una situazione remota, molto meglio se i codici vengono generati da un’App installata sullo smartphone, in questo modo solo chi ha il telefono fisicamente in mano, può riceverli ed utilizzarli.
• Probabilmente è previsto, ma nel caso non lo fosse, ricordarsi di cambiare le password spesso senza utilizzare modifiche che prevedano l’uso di numeri incrementali (ad esempio, pippo01 diventa pippo02), tecnica troppo facile da scoprire!
• Se si usa Gmail o altri servizi Google, e si svolge un tipo di lavoro particolare o si riveste un ruolo centrale per l’organizzazione, è altamente consigliato aderire al “programma di protezione avanzata che tutela gli account Google personali di figure come giornalisti, attivisti, dirigenti aziendali e team di campagne elettorali che sono ritenuti a rischio di attacchi mirati“. Tale sistema avanzato di protezione prevede l’uso di token fisici rendendo la vita di eventuali malintenzionati davvero difficile.
• Sempre riguardo i servizi Google, è bene eseguire periodicamente dei controlli di sicurezza recandosi nella sezione apposita per il controllo del proprio account utente.
• Non condividere mai le password e i propri dispositivi, smartphone, PC, tablet e via dicendo con altre persone, anche se ci sono colleghi che si ritengono “affidabili“: è molto probabile che non abbiano la vostra stessa percezione del pericolo e non mettano quindi in atto i giusti comportamenti. Inoltre, in caso di problemi, potrebbe essere davvero dura poter reclamare la propria innocenza, ritrovandosi considerati corresponsabili di eventuali danni, per negligenza.
• Non inserire mai chiavette USB se non si è davvero certi del contenuto: se è attivo l’automatismo di default, potrebbe essere avviato un programma malevolo, presente nella chiavetta, che potrebbe infettare il PC. Fate attenzione anche quando collegate lo smartphone con il cavo USB, anche in questo caso, potrebbe essere avviato un malware o al contrario potrebbe essere iniettato codice malevolo dal PC allo smartphone. Se possibile mantenere sempre disattivata l’opzione di avvio automatico che si attiva al momento dell’inserimento.
• Evitare di fotografare o farsi fotografare sul luogo di lavoro per poi postare lo scatto sui social: oltre ad essere probabilmente un’eventualità non autorizzata dal datore di lavoro, si potrebbe rischiare di rivelare senza volerlo informazioni utili agli hacker per procedere ad un attacco o a qualche ladro in ascolto che può decidere di venire a fare visita. Basti sapere ad esempio, che a volte, una semplice foto di una chiave permette di sapere se la porta che questa apre è facilmente scardinabile o no.
• Se si usano programmi di messaggistica, privilegiare quelli rinomati per essere “sicuri“, che utilizzano cioè sistemi di crittografia difficilmente superabili, come Signal o Telegram.
• Durante la fase di creazione di una password, sempre più spesso, oltre a questa, viene richiesto anche di rispondere ad alcune domande personali che potrebbero poi servire nel caso fosse necessario autorizzare l’accesso, dopo che la password è stata dimenticata. Il consiglio è di non inserire risposte logiche, ma al contrario, utilizzare frasi strane e senza senso, che solo voi potete ricordare, in modo da mantenere comunque un certo grado di complessità tale da scoraggiare i malintenzionati.
• Non prendere mai l’iniziativa di gettare gli HDD o gli SSD guasti, senza prima averli cancellati del loro contenuto: nell’eventualità si dovessero rompere, richiedere sempre l’intervento di personale qualificato, l’unico in grado di azzerarne completamente i dati. Esistono aziende che sono in grado di recuperare informazioni da dispositivi di storage provenienti da incendi o danni che sembrano irreparabili: considerare quindi che fino alla completa cancellazione, i dati aziendali potrebbero essere ripristinati e cadere in mani sbagliate.
• Evitare di aprire allegati anche se provengono da fonti affidabili: uno degli attacchi più in voga (e in crescita) è proprio quello di far recapitare ai dipendenti di un’azienda e-mail con allegati malevoli, facendo credere che il mittente sia il proprio capo: stiamo parlando degli attacchi di tipo BEC (Business Email Compromise). Meglio chiedere conferma con una e-mail di risposta.
• Se è presente nel PC aziendale qualche programma di collegamento remoto, usato per far intervenire in modo virtuale un tecnico in caso di problemi, verificare che sia impostata l’opzione di notifica: in questo modo potete rendervi conto se e quando qualcuno è “in ascolto“.
• Impostare le opzioni in modo da evitare l’uso da parte degli applicativi del microfono e della webcam: attivare questi dispositivi solo quando servono davvero per poi disattivarli subito dopo. Se possibile, tenerli staccati fisicamente e riattaccarli solo se ce n’é bisogno. La prudenza non è mai troppa!
• Non installare applicativi se non dopo aver chiesto il permesso di farlo, e fatelo solo se sono davvero utili al lavoro che si deve svolgere. Potendo scegliere, adoperare comunque solo applicativi “portatili“, quelli cioè che funzionano anche senza doverli installare, e per questo usati spesso con le chiavette USB.
• Controllare di utilizzare browser aggiornati all’ultima versione: vecchie edizioni possono contenere bug ed essere la porta di virus. Nel caso servisse un aggiornamento e non è possibile farlo in autonomia, richiedere un intervento ad hoc.
• In caso di furto dei computer portatili aziendali, dei dispositivi mobili o dei device USB, allertare subito chi di competenza senza perdere tempo prezioso.
• Se si effettua un backup di sicurezza al di fuori di quello previsto dalle politiche aziendali, fare molta attenzione e mantenerlo lontano della portata di eventuali malintenzionati: meglio se chiuso in cassaforte o comunque in un luogo poco frequentato. Anche per i backup, utilizzate sempre password robuste.
• Attivare il Wi-Fi o il Bluetooth nei dispositivi solo quando richiesto: è emerso infatti, più volte nel tempo, quanto sia facile, anche con mezzi economici, riuscire a catturare e analizzare i dati trasmessi con queste due tecnologie.
• Mantenere una restrizione fisica per l’accesso ai locali ove sono contenuti i dati della direzione aziendale o del server aziendale (porta chiusa a chiave, badge magnetico ecc.).