Nella maggior parte dei casi, la corretta valutazione dell’importanza della sicurezza IT in azienda è basata sulla consapevolezza. Paessler, azienda specializzata nel monitoraggio e nella gestione delle infrastrutture di rete, propone una serie di raccomandazioni sul modo migliore per sensibilizzare i dipendenti sulla sicurezza IT.
1. Creare consapevolezza
Le aziende devono spiegare ai dipendenti le ragioni di determinate misure e le conseguenze che possono derivare dalla mancata osservanza. Quando la persona comprende che anche il suo stesso lavoro può essere messo a rischio da un cyberattacco – ad esempio a causa del danno economico – il rischio assume contorni più concreti. Lo sviluppo della consapevolezza nei dipendenti richiede formazione continua. Solo in questo modo, il tema della sicurezza IT può essere efficacemente agganciato a ogni loro pensiero e azione.
2. Linee guida chiare e informazioni trasparenti
Per spiegare la sicurezza IT al personale pur in presenza di risorse economiche limitate, le aziende devono creare linee guida di facile comprensione che diano ai dipendenti un orientamento generale, fare firmare a ogni nuovo assunto un impegno alla riservatezza e introdurre nuove misure di sicurezza attraverso misure di controllo integrate nei processi. Il principio importante qui è: “Più è semplice, meglio è”.
3. Attenzione all’uso dei social media
Il management e i responsabili IT dovrebbero invitare il personale a non condividere – o a farlo con la massima cautela – informazioni professionali e contenuti legati al proprio lavoro sui social media. Tra queste, anche i contatti dei colleghi. I cybercriminali infatti usano queste conoscenze per tentare di accedere alla rete aziendale. Pertanto, occorre sempre controllare l’identità di uno sconosciuto prima di aderire a una richiesta di collegamento. Ciò vale in particolare per le persone tra i 45 e 54 anni che in genere occupano una posizione elevata proprio in virtù della loro età e sono pertanto gli obiettivi preferiti dei criminali. Oggi solo il 29% di costoro controlla chi c’è dietro una richiesta di contatto via social.
4. Attenzione a rilasciare informazioni confidenziali in pubblico
I dipendenti devono essere consapevoli del fatto che le regole della comunicazione pubblica sono diverse da quelle che valgono dietro la porta dei loro uffici. Pertanto, è necessario istruire il personale a non diffondere in pubblico informazioni interne. Le telefonate di lavoro in luoghi pubblici, sul treno o in aereo dovrebbero essere limitate all’essenziale. In questi casi, è consigliabile richiamare in un secondo tempo o chiarire questioni urgenti per email. I filtri privacy da apporre sugli schermi dei notebook sono una buona misura preventiva contro gli sguardi di vicini troppo curiosi.
5. Formazione periodica
Se i dipendenti non sono attenti e consapevoli dei rischi per le aziende è impossibile realizzare una vera protezione delle informazioni. Anche un clic sbadato su un allegato inviato da uno sconosciuto, o un appunto lasciato sulla scrivania con i dati di accesso al pc sono punti di ingresso molto comuni. Anche uno sconosciuto all’interno di un edificio può rappresentare un rischio se può accedere ad aree sensibili senza essere sottoposto a controlli di sicurezza. Per questo motivo, corsi di formazione periodici e obbligatori sono estremamente importanti. Bisogna valutare il livello di conoscenza dei singoli dipendenti ed, eventualmente, fare ricorso a consulenti esterni.
6. Complessità della password e autenticazione a due fattori
Un requisito fondamentale per la protezione dei dati sensibili è la restrizione degli accessi. La variante più semplice è la protezione con password. Più sono sensibili le risorse da proteggere, più stringenti devono essere i requisiti delle password. Per soddisfare i requisiti massimi una password dovrebbe consistere di almeno 8 caratteri. Più lunga è la password più difficile è violarla. Oltre a lettere e numeri, è raccomandabile l’uso di caratteri speciali e l’alternanza di maiuscole e minuscole. Bisogna evitare di usare nomi propri o parole reali che sono facili da indovinare e sono sempre il primo tentativo in un attacco serio. Anche le sequenze di caratteri vicini sulla tastiera come “qwerty” o “asdfgh” non offrono alcuna sicurezza.
Oltre all’uso di password complesse, i sistemi IT più sensibili dovrebbero essere protetti mediante l’autenticazione a due fattori.
7. Il principio dei privilegi minimi
Quando si tratta di accesso ai dati il sistema più sicuro e affidabile è negare di default tutti gli accessi, consentendoli quando necessario caso per caso. In questo modo, tutti gli utenti avranno solamente i privilegi necessari che consentiranno loro di accedere ai dati indispensabili per svolgere il loro lavoro. Sarà così possibile prevenire fughe accidentali e la cancellazione di dati da parte di utenti che non hanno necessità di lavorare su quelle informazioni.
8. Il principio dell’approvazione multipla
In particolare, quando si accede a dati molto sensibili è importante porre un’attenzione ancora maggiore sulle misure di controllo interne, integrandole direttamente nei processi di business. In altre parole, l’accesso ai sistemi e dati importanti dovrebbe sempre essere approvato almeno da un’altra persona e possibilmente anche dalla divisione coinvolta. Ad esempio, il principio del doppio controllo nelle procedure di rilascio di un programma o nella gestione dei pagamenti può permettere di individuare gli errori già nelle fasi iniziali.
9. Social engineering
Per fornire misure tecniche contro il social engineering, in aggiunta alla consapevolezza degli utenti sono necessari anche metodi più complessi. Una possibilità è la firma digitale delle mail. La validità del mittente è verificata crittograficamente e questa validazione viene eseguita, ad esempio, da una speciale soluzione per le mail sicure.
10. Monitoraggio universale
Una protezione IT integrata deve comprendere soluzioni innovative di monitoraggio e riconoscimento delle intrusioni. In tempi di accesso controllato all’IT, la quantità di dati di login cresce rapidamente. A livello tecnico, i sistemi AIM (Identity and Access Management) e SIEM (Security Information and Event Management) supportano il monitoraggio e possono essere usati per controllare le autorizzazioni dei dipendenti e monitorare ininterrottamente i sistemi. Con questi sistemi, inoltre, è possibile identificare molto più rapidamente le irregolarità e lanciare gli allarmi.
Conclusioni
Gli amministratori IT e i responsabili della sicurezza camminano sempre su una corda. Da un lato, gli utenti devono godere della massima flessibilità nelle loro attività quotidiane, dall’altro, bisogna focalizzarsi su una sicurezza ideale e completa. Trovare un equilibrio tra questi due fattori è forse una delle sfide più importanti per gli amministratori IT.
