cybersecurity 5 errori

Cybersecurity in azienda: 5 errori + 1 da evitare

Leggimi

In Italia cresce il rischio di attacchi virtuali verso istituzioni e aziende. Ecco quali sono le azioni quotidiane che permettono ai cyber criminali di entrare nei nostri uffici

Qualche giorno fa, leggendo i giornali, abbiamo trovato una notizia agghiacciante: una cittadina della Florida è finita nel mirino della cyber criminalità, che ha chiesto un riscatto di 600.000 dollari per sbloccare i dati presi in ostaggio. Non solo la città ha dovuto arrendersi, ma ha dovuto spendere un ulteriore milione di dollari ricomprare i computer dell’amministrazione.

Vi abbiamo già fatto una panoramica sulla situazione della cybersecurity in Italia, ma secondo alcune ricerche il rischio di seri attacchi al’industria manifatturiera italiana sta salendo.

Se pensate che la vostra azienda sia al sicuro dagli hacker perché avete appena rinnovato l’antivirus, o se vi sentite tranquilli solo perché il firewall è attivo, dovete sapere che state comunque correndo il rischio di un attacco informatico.

Come? La causa di solito non è nei dispositivi, ma nelle cattive abitudini. Qui ne vediamo 5, che compongono le maggiori debolezze nella sicurezza aziendale.

1. La password “difficile” nascosta in un luogo “segreto”

Sapete già che la password del vostro pc aziendale non deve essere scontata. Niente nomi propri, date di nascita o parole scritte anche sul campanello del citofono. Se state usando una password composta da lettere maiuscole e minuscole, numeri e segni complicati, siete già a metà dell’opera.

Il problema è che non ve la ricordate. Dove l’avete segnata? Potrebbe essere su un post-it attaccato alla scrivania, o in una pagina “nascosta” della vostra agenda, segnata con un adesivo colorato.

Se pensate che il luogo fisico del vostro ufficio sia al riparo dai cybercriminali, vi sbagliate di grosso. Gli hacker non vanno realmente in giro con il cappuccio in testa, e la maschera di V per Vendetta: sono persone qualsiasi che potrebbero entrare nella sede della vostra azienda per qualunque motivo. L’impresa di pulizie, il fattorino, un potenziale cliente che chiede un appuntamento, un colloquio di lavoro: non sapete mai chi vede e memorizza la vostra password. Se poi utilizzate un protocollo intuibile per impostare password su più dispositivi o account, basta questa piccola distrazione per dare le chiavi dell’ufficio in mano ai malintenzionati.

2. La chiavetta USB

Passare dei file in ufficio con una chiavetta portata da casa è davvero una pessima idea. I dispositivi di archiviazione possono essere dei veri e propri cavalli di troia, contenitori innocenti che trasportano l’infezione al PC malcapitato. La maggior parte delle penne USB viene a contatto con un malware almeno una volta dal primo utilizzo, e spesso le conseguenze sono gravi. 

A questo punto, cosa fare? Vietare l’utilizzo di chiavette USB in azienda può sembrare drastico, ma riduce di molto le possibilità di infezioni. In ogni caso, neanche i dati scambiati in cloud sono così al sicuro. Il metodo migliore è preparare un protocollo che permetta di limitare le possibilità di attacco, e che, nel peggiore dei casi, ne interrompa il dilagare ad altri PC.

3. Email accattivanti

Sei in ufficio, quando ti arriva una mail che ti informa che il tuo pacco è in giacenza all’ufficio postale, poiché nessuno era presente sul luogo del ritiro. Puoi cliccare il link per vedere l’indirizzo dove ritirarlo. Se rifletti bene, ti ricorderai che non stai aspettando alcun pacco, oppure che deve esserti consegnato da un corriere preciso. Farai una breve ricerca online e scoprirai che è un tentativo di phishing ben profilato.

Il phishing è il tipo di attacco più semplice, ma anche quello che ha la maggior percentuale di successo: i cybercriminali creano messaggi altamente personalizzati, molto specifici, ben scritti. Al giorno d’oggi è sempre più difficile distinguere una frode da una vera mail.

I modi per evitare di cascarci sono: controllare bene l’ortografia e la punteggiatura dell’indirizzo mittente, la sintassi del messaggio, la natura del link o dell’allegato prima di cliccarlo. E soprattutto pensare bene a cosa vi stanno proponendo: perché il vostro capo scrive questa cosa a voi? Perché questa strana azienda vi sta proponendo un lavoro? Siete certi di aver partecipato a un concorso a premi? Ecc.

Se a questo check vi spunta anche un solo dubbio, non cliccate link, non scaricate gli allegati. Se è tardi, non c’è più molto che si possa fare per evitare brutte conseguenze.

4. Ritardare gli aggiornamenti

Annullare, ritardare o dimenticare gli aggiornamenti del sistema operativo, dei software e delle app è come evitare di fare il tagliando dell’auto e sperare che vada tutto bene. Sul momento sembra tutto a posto, ma prima o poi qualcosa si romperà. Allora saranno guai.

Tralasciare gli aggiornamenti erode pian piano la sicurezza dei dispositivi, creando falle in cui i malware entrano facilmente.

Risolvere questo punto è semplice: aggiornate ogni volta che è richiesto.

5. Social media

La privacy è importante: non per niente l’Unione Europea è così severa sulle leggi a riguardo. Se postate la foto di gruppo in ufficio su Facebook, o fate un video dei vostri colleghi al lavoro per riempire la storia di Instagram, controllate bene il contenuto che state pubblicando. Sono presenti dati sensibili? Potrebbe essere una foto neutra, ma se ingrandiamo sullo sfondo, possiamo scoprire che sulla parete c’è appesa la password del Wi-Fi aziendale. Non sentitevi troppo in colpa, se non ci avete mai pensato: anche i migliori sbagliano.

Guardate il caso di questa foto del principe William postata sui social: rivela con leggerezza orari, nomi e password della base militare.

 

william-password-cybersecurity

 

La soluzione non è evitare i social media come un bosco infestato, ma avere il controllo di cosa si pubblica, su quale piattaforma, e da chi sarà visibile: un post contiene tantissime informazioni. Non dimenticate di impostare i filtri della privacy, per evitare che finiscano nelle mani sbagliate.

Last but not least: il fattore umano 

Gli errori che abbiamo elencato possono essere riassunti in una sola parola: disorganizzazione. Forse pensate di aver messo al sicuro la vostra password complicata, ma chi altri la conosce? La segretaria? E dove la tiene?

Il modus operandi dei cybercriminali nel tempo si è affinato, e oggi punta alla persona singola. La maggior parte degli attacchi si svolge secondo una modalità precisa ed efficace: profilare alcuni dipendenti, attuare un attacco sui loro dispositivi personali o professionali, perpetrare la frode, che nel peggiore dei casi coinvolgerà l’intera azienda (o Paese, come abbiamo visto all’inizio).

La base della cybersecurity aziendale, dunque, non è prestare attenzione a pochi dettagli, ma una vera e propria questione di management. Non è necessario essere ingegneri informatici per organizzarsi a riguardo.

Il nostro consiglio è quello di creare protocolli chiari e comunicarli a tutto il personale, assicurarsi che vengano seguiti, e avvisare sempre in caso qualcuno rilevi attività sospette. Nel caso in cui non sappiate da dove iniziare ma temete la possibilità di un attacco informatico, fatevi aiutare da un servizio di consulenza, oppure partecipate a un’occasione di formazione sul digitale. Meglio investire sulle buone procedure quando si è in tempi tranquilli, che trovarsi a pagare un riscatto salato poi.