Come abbiamo più volte sottolineato, le minacce informatiche sono in costante crescita ed uno dei principali veicoli di trasmissione degli attacchi rivolti alle aziende sono proprio i dipendenti. Ovviamente però gli attacchi non si limitano alle aziende ma spesso colpiscono le persone principalmente per attuare frodi finanziarie.
Attraverso delle accortezze possiamo sensibilmente ridurre la possibilità di subire attacchi informatici.
Di seguito quindi alcune delle Best Practice che aiuteranno a fronteggiare i cybercriminali e prevenire incidenti informatici.
Iniziamo da uno dei primi strumenti di lavoro, il P.C.
Spesso il nostro utilizzo costante del pc ci fa abbassare la guardia, e iniziamo a trascurare determinati comportamenti sicuri che dovremmo mettere in atto per proteggere le informazioni contenute nel nostro dispositivo.
☑️ Lascia sempre abilitata la password del PC
Uno dei più grandi errori è quello di disabilitare la password di accesso al risveglio del pc. Stiamo lavorando, ci fermiamo qualche minuto per parlare con un collega o per rispondere al telefono ed ecco che scatta lo screensaver e dobbiamo inserire nuovamente la password. Ok, sicuramente è noioso, non lo mettiamo in dubbio, ma è di fondamentale importanza lasciarla attiva.
Se dovessimo allontanarci dalla nostra postazione o dal nostro laptop per qualche minuto non sappiamo chi potrebbe avere accesso alle nostre informazioni ed ai nostri account. I furti di dati non avvengono solo online, possono essere anche perpetrati da persone fisiche che si infiltrano nel nostro luogo di lavoro sotto mentite spoglie, come addetti alla pulizia e fattorini.
☑️ Non lasciare il laptop incustodito
Questo è più difficile che avvenga, ma spesso quando ad esempio si è in viaggio può succedere di lasciare qualche minuto il laptop incustodito, magari in macchina, o in un locale sotto lo sguardo attento del barista, in un’aula durante la pausa caffè, in hotel, in treno. Certo ora che il mondo è “fermo” e gli eventi si stanno svolgendo online è molto improbabile, ma contiamo di tornare presto alla “normalità”, quindi non dimentichiamoci di fare attenzione.
☑️ Fai Attenzione alle postazioni pubbliche per la ricarica dei dispositivi
Si chiama juice jacking ed è una minaccia crescente che sfrutta la necessità di caricare i nostri dispositivi quando siamo fuori casa. Gli hacker possono manipolare le porte USB delle stazioni di ricarica (aeroporti, hotel, stazioni…) per rubare i dati dai dispositivi collegati. Per utilizzare i punti di ricarica in tutta sicurezza basta acquistare un Data Blocker USB, ovvero un piccolo dispositivo dal costo irrisorio (su Amazon si trova a 2€) che impedisce il trasferimento di dati.
☑️ Aggiorna sempre App e Software
Perché è importante aggiornare app e software?
Molto spesso quando riceviamo la notifica che ci indica di aggiornare un’app o un software siamo portati a procrastinare, perché magari in quel momento stiamo facendo altro o perché può sembrare poco rilevante.
Questo comportamento però può esporci a possibili attacchi informatici. Spesso gli aggiornamenti contengono risoluzioni a bug e correzioni riguardanti la sicurezza del software. Nel momento in cui l’aggiornamento viene rilasciato, l’azienda proprietaria del software comunica pubblicamente che l’aggiornamento corregge una determinata vulnerabilità, rivelando quindi l’esistenza di tale vulnerabilità anche ai Cyber Criminali che possono approfittare del bug ancora presente nel codice di chi non ha ancora aggiornato l’applicazione.
☑️ Fai attenzione quando scarichi una nuova App
Un fenomeno molto diffuso è quello delle APP contraffatte, delle Fake app che emulano le applicazioni originali con fini malevoli.
Noi italiani siamo abituati ad avere a che fare con la contraffazione, il Made in Italy infatti è uno dei settori più colpiti da questo fenomeno. In questo caso però non si tratta di un paio di false Gucci, o di un occhiale di Valentino, bensì di applicazioni. Se nel primo caso l’obiettivo è quello di vendere ad un valore maggiore del reale l’oggetto contraffatto spacciandolo per originale, per quanto riguarda le app l’obiettivo è più subdolo e pericoloso, ovvero rubare informazioni sensibili dal tuo device che possono riguardare il lavoro, oppure per esempio i dati di accesso alle app di home banking.
La prima regola è quella di non scaricare app da fonti non ufficiali.
La seconda regola è quella di controllare sempre gli sviluppatori dell’app e leggere le recensioni, diffidate dalle app che non ne hanno.
Nonostante sugli store ufficiali i controlli siamo abbastanza rigidi, alcune app possono sfuggire al controllo, è successo persino sullo store di Apple, forse lo store più sicuro, dove dei truffatori hanno inserito un app contraffatta di un wallet di criptovalute “Trezor” e hanno sottratto al malcapitato quasi un milione di dollari.
☑️ Usa i Social Media con attenzione e moderazione
Alcuni attacchi sfruttano le vulnerabilità dei software, altri, come l’ingegneria sociale, quelle delle persone. L’ingegneria sociale consiste nel cercare di ottenere informazioni utili su un’organizzazione da sfruttare per compiere azioni dannose ed uno dei metodi è farlo attraverso i social media. Cosa non fare?
Non accettare la richiesta di amicizia da sconosciuti. Quando per strada qualcuno ci saluta, anche se non riusciamo a riconoscere la persona, il primo riflesso è quello di salutare a nostra volta. Questo non significa però che la inviteremo in casa nostra o nel nostro ufficio. Quando invece accettiamo la richiesta di amicizia online da uno sconosciuto è un po’ come se lo stessimo invitando ad entrare in casa nostra, dandogli accesso ad informazioni riservate che possono essere usate contro di noi.
Non pubblicare foto del tuo ufficio che potrebbero in qualche modo diffondere informazioni sensibili come una lavagna scritta, o il monitor di un tuo collega.
☑️ Non postare informazioni sulla tua posizione
Evita di postare le foto della vacanza mentre sei in vacanza
Imposta livelli di privacy alti sui tuoi account, evitando di mostrare per esempio l’elenco di amici e familiari o informazioni personali come la tua data di nascita.
☑️ Controlla sempre il mittente di mail relative ad utenze o account
Il phishing è un tecnica di scam che abbiamo ampiamente trattato nell’articolo “tutto quello che avresti voluto sapere sulla cybersecurity ma non avete mai osato chiedere”. Gli attacchi di phishing tipicamente prendono la forma di un’email che finge di provenire da una fonte affidabile, che sia un’azienda, la tua banca, o fornitori di qualche tipo come è successo con Enel e Corrado Augias.
Gli hacker usano un’esca, molto spesso finti rimborsi, premi, oppure problemi con l’account, per farsi consegnare password e dati sensibili.
Diffidate da chi vi chiede password o vuole regalarvi qualcosa, se siete sospettosi andate a controllare il sito e le mail dell’azienda da cui arriva la mail e chiedete informazioni al servizio clienti.
☑️ Usa l’autenticazione multifattore per i tuoi account
Lo sappiamo, può essere molto fastidioso quando si ha fretta dover inserire password e codice ricevuto per email o sms, ma è molto importante farlo. Questo è un esempio di autenticazione multi fattore. Per quanto la password scelta possa essere “forte” non è sufficiente.
L’autenticazione a più fattori aumenta il livello di difficoltà per un hacker, che anche se ha rubato la vostra password avrà bisogno di un altro modo per ottenere la prova aggiuntiva necessaria per accedere al vostro account.
Anche se sembra una metodologia pressoché “recente”, se ci pensate avete sempre utilizzato l’autenticazione a più fattori, per esempio quando strisciate il vostro bancomat e poi inserite il pin, usate infatti due prove della vostra identità.
Anche se è fastidioso, vi consigliamo di usarla quando è possibile, almeno per gli account più importanti. Attenzione però che, come sappiamo, le vie dell’hacker sono infinite e anche l’accesso ad un account di poca importanza potrebbe, un giorno, costare molto caro.
☑️ Imposta una Password per il tuo smartphone
Moltissimi di noi invece potrebbero dire, “dove finiscono le mie dita incomincia uno smartphone”. Con lo smartphone adesso facciamo di tutto, leggiamo le mail, accediamo ai documenti condivisi di lavoro, effettuiamo operazioni bancarie, facciamo partire la lavatrice, noleggiamo una macchina, stipuliamo un’assicurazione, possiamo davvero effettuare una varietà enorme di operazioni.
Naturalmente da grandi poteri derivano grandi responsabilità, perciò ci duole dirvelo ma NO, impostare come password del vostro smartphone la vostra data di nascita, o cifre come 123456, non è una grande idea.
Vi consigliamo di impostare password numeriche non facilmente correlabili a voi (come la data di nascita) e di impostare ulteriori password per accedere alle app più sensibili.
Impronte digitali & Face ID: I maggiori player (Apple, Samsung, Huawei) conservano i dati biometrici all’interno del dispositivo, in nessun momento questi sono salvati online, questo dovrebbe garantire un buon livello di sicurezza, ovviamente poi spetta a te decidere di condividere o meno i tuoi dati biometrici.
☑️ Effettua Backup periodici e controlla gli accessi a file e documenti
Cosa succederebbe se i vostri competitor avessero accesso ai vostri segreti commerciali o un attacco hacker criptasse tutti i vostri dati in un attacco ransomware? Quali sarebbero i tempi e i costi per ripristinare tutti i file digitali, le e-mail e i registri? E se quei dati diventassero pubblici? È responsabilità dell’azienda proteggere le infrastrutture informatiche attraverso una strategia di cyber security completa ed efficiente. Effettuare backup periodici e impostare una politica di accessi differenziati è di fondamentale importanza per evitare che questo accada.
Banalmente molte aziende utilizzano cartelle condivise in Cloud su Microsoft Teams o Google Drive e molto spesso i file, anche quelli più importanti, risultano accessibili a persone che potrebbero non essere autorizzate a visionarli.
Qual è il tuo livello di Cybersecurity awareness?
Hai fatto en plein di comportamenti corretti? Non possiamo certo dirti che sei in una botte di ferro, ma sicuramente hai capito di essere parte integrante della sicurezza aziendale e i tuoi comportamenti sicuri incidono notevolmente nella protezione dell’azienda.
Se superi la “sufficienza” c’è sicuramente spazio di miglioramento, ma probabilmente sei consapevoli dei rischi e delle principali tipologie di attacco hacker, anche se tendi alle volte a sottovalutarle.
Se non arrivi alla sufficienza significa che stai decisamente sottovalutando i pericoli informatici, gli hacker cercano di sfruttare i nostri errori e la nostra “natura umana”, fatta di errori, di desideri, di fretta, di voglia di condividere, quindi è di fondamentale importanza per te conoscere le minacce che sono rilevanti per te stesso/a e la tua realtà aziendale.
A questi consigli vogliamo aggiungerne un ultimo, che è quello di ascoltare il proprio istinto. Se alle volte sembra che qualcosa “non quadri”, fidiamoci del nostro istinto, controlliamo, chiediamo aiuto al team IT, o ai nostri consulenti di cybersecurity. Come sempre prevenire è meglio che curare!
ServizioSe vuoi approfondire le principali minacce informatiche ti consigliamo alcune letture:
Tutto quello che avreste voluto sapere sugli attacchi informatici, ma non avete mai osato chiedere
I Cyber attacchi che probabilmente ancora non conosci, ma dovresti.
Come e perché scegliere una Password sicura. Tutti i nostri consigli.
Formazione
Effettuiamo percorsi di formazione onsite e online costruiti sulle esigenze delle aziende relativi alla cybersecurity awareness
Approfondisci