11 regole per la protezione dei dati di una smart enterprise

Uno dei maggiori problemi da affrontare in ambiente smart working è sicuramente quello della protezione dei dati. Accedendo dall’esterno dell’azienda viene meno il perimetro in cui i dati vengono utilizzati. Dunque, diventa fondamentale agire sulla loro sicurezza per proteggerli da eventuali attacchi informatici. Ecco le principali regole per mettere al sicuro il proprio sistema.

1. Sicurezza dei dispositivi

Dimenticare lo smartphone sul bancone del bar durante una pausa caffè o il tablet sul sedile dell’auto tra una commissione e l’altra permetterebbe ad un malintenzionato di accedere ai dati aziendali, modificarli e persino cancellarli.

Questo rischio diventa ancor più grande se si lavora in un ambiente cloud, in cui un’azione eseguita da un dispositivo si ripercuote su tutti gli altri.

Ma è proprio in caso di furto o smarrimento che l’amministratore IT può disattivare e cancellare l’intero contenuto del device da remoto e proteggere il sistema informativo.

Quindi, è necessario custodire con cura tutti i dispositivi e proteggerli con un codice di sicurezza che sia un PIN, un segno, una password, un’impronta digitale o il volto di chi lo possiede.


2. Aggiornamenti

Occorre aggiornare costantemente i sistemi operativi e le applicazioni software. La maggior parte degli attacchi avviene proprio sui dispositivi meno aggiornati.

Infatti, quando vengono scovate delle falle di sicurezza le case produttrici di software corrono ai ripari rilasciando delle patch, cioè delle correzioni. Sono proprio queste ad evidenziarne le debolezze e a rendere più semplice gli attacchi informatici ai sistemi meno aggiornati.


3. Password

Bisogna far un uso attento delle password magari configurando un secondo o, se necessario, un terzo fattore di autenticazione.

Il primo fattore è legato a “qualcosa che sai” come una password o PIN, ovvero un “segreto” che solo l’utente conosce (consulta la guida di Aruba su come creare una password sicura).

Il secondo fattore, invece, è legato a “qualcosa che hai” come uno smartphone per ricevere un codice via SMS (o altre app come Google Authenticator) utile per l’autenticazione sul sistema.

Il terzo fattore è il più raffinato e sicuro ed è legato al concetto di “qualcosa che sei” come un dispositivo in grado di acquisire dati biometrici come un’impronta digitale riconosciuta dal nostro laptop o la scansione del volto dallo smartphone.


4. Utilizzo esclusivo di dispositivi aziendali

Occorre fornire ai collaboratori smartphone e laptop aziendali per separare i dispositivi personali da quelli professionali.

E’ improbabile che un collaboratore acquisti licenze per software antivirus o configuri adeguatamente un firewall su un device personale ma è molto più probabile che ne faccia utilizzo superficiale senza badare ai rischi nascosti dietro l’installazione di una nuova app o all’apertura di un link contenuto in un SMS.

Se da una parte questa separazione dei dispositivi personali da quelli aziendali comporta un incremento dei costi aziendali, dall’altra si ottiene un notevole vantaggio in termini di protezione dei dati.


5. Uso consapevole delle e-mail

Attenzione all’uso delle e-mail perché potrebbero essere veicolo di phishing. Una truffa informatica che inganna la vittima chiedendo di inserire dei dati di accesso su un sito web clone. Tipicamente vengono utilizzati nomi di banche, corrieri, fornitori di energia per motivare una richiesta di natura tecnica come l’invio di una fattura, la correzione di un dato errato, la consegna di un pacco urgente.

Un’altra minaccia che incalza via e-mail è il cryptolocker, un virus ha l’obiettivo di criptare l’intero contenuto del computer per poi richiedere un pagamento in bitcoin come riscatto.


6. Limitare l’uso di reti pubbliche

I punti di accesso internet gratuiti sono disponibili in alberghi, ristoranti, aeroporti e persino in alcuni negozi. Un’occasione ghiotta per continuare a lavorare anche quando la connessione mobile scarseggia. Ma questa libertà ha un prezzo.

Collegandosi ad una rete non protetta si entra in un ambiente aperto e ci si espone al rischio che i dati di accesso siano visibili da altre persone. Bisogna, quindi, introdurre politiche che mettano in evidenza in modo chiaro quali siano le attività critiche di business alle quali non si deve (e non dev’essere possibile) accedere da parte di chi lavora da remoto ed è connesso a reti pubbliche.


7. Utilizzo di computer conosciuti

Non utilizziamo computer che non conosciamo. Non prendere le dovute precauzioni per scambiare informazioni sensibili. Inconsapevolmente potremmo lasciare traccia delle attività svolte.

Esempi sono la cronologia del browser, i file scaricati o le email e password che spesso vengono salvate nei browser o in altri programmi per non doverle inserire ad ogni nuovo accesso.

Sono proprio queste ultime ad essere molto pericolose perché lasciano aperte delle backdoor, ovvero delle porte di ingresso secondarie per accedere ai sistemi aziendali e leggere le conversazioni e i documenti scambiati via email o tramite i software di videochiamata.


8. Non lavorare in luoghi pubblici

Evitare comportamenti che favoriscono l’attenzione degli spioni soprattutto quando si lavora in luoghi pubblici dove manca la riservatezza.

Chi lavora da remoto e magari si trova in spazi pubblici, deve prestare attenzione a chi può osservare ciò che sta facendo. Così nelle password di accesso vanno usate le stesse precauzioni che si usa quando al bancomat si digita il PIN. Attenti dunque al rischio “spioni” che magari possono anche scattare foto quando vengono visualizzate informazioni sensibili.


9. Non usare memorie USB

Disincentiviamo l’uso dei dispositivi USB perché sono un eccellente veicolo di virus informatici di ogni genere e natura.

La loro pericolosità è data proprio dalla loro portabilità. Potrebbero essere state collegate a computer infetti e attaccare il virus anche all’intera rete aziendale.

Le infezioni, molto spesso, si propagano in maniera “silenziosa“, in modo da non creare rallentamenti o malfunzionamenti che farebbero scattare l’allarme all’utente o all’amministratore di sistema.


10. Monitoraggio continuo

E’ molto utile predisporre un monitoraggio 24/7 che permetta di raccogliere informazioni utili circa i comportamenti della rete e, più in generale, dei sistemi IT.

Non è raro avere impianti molto potenti, ridondati in ogni loro componente e dotati delle migliori tecnologie sul mercato che poi vengono vanificati da un disco pieno su un server o da un servizio che va in errore.

Basti pensare ad un server di posta pieno che impedisce di ricevere nuovi messaggi. Una “banale” e-mail non recapitata metterebbe a rischio la reputazione aziendale e far perdere una trattativa con un cliente importante per un mancato monitoraggio dei sistemi informatici.


11. Promozione del rispetto delle regole

Il fattore comune di tutti i rischi trattati in questo articolo è la persona e i comportamenti che adotta. E’ necessario formalizzare le procedure di sicurezza informatica e divulgarle nell’impresa affinché vengano rispettate da tutti, indistintamente dal ruolo che ricoprono.

Nessun sistema informatico può essere reso sicuro al 100% ma al 99% sì. Ma se gli utenti non adottano tutte le misure di sicurezza dettate da una figura IT allora questa percentuale è destinata ad abbassarsi drasticamente e mettere in pericolo il business dell’impresa.



Condividi su
Default image
Giuseppe Lamatrice
Consulente di Informatica Aziendale.