Mese della sicurezza informatica: come proteggersi dagli attacchi informatici

attacchi informatici

Il mese della sicurezza informatica è una campagna dell’Unione Europea che si tiene durante il mese di ottobre per promuovere la conoscenza degli attacchi informatici e dei metodi per contrastarli, fornendo informazioni aggiornate in materia di cybersecurity. L’ECSM (European Cyber Security Month) è organizzato dall’agenzia europea ENISA, e prevede una serie di eventi e attività in tutti i Paesi membri dell’UE.

Un’opportunità per aiutare sia gli utenti che le aziende a tutelarsi. E a conoscere i metodi più efficaci per proteggersi dalle minacce informatiche, in particolare i ransonware.

Attacchi informatici ransonware

Questa tipologia di attacchi avviene attraverso quattro metodi principali.

  • Phishing via mail: si tratta di comunicazioni fraudolente che sembrano provenire da una fonte attendibile o autorevole.
  • Malvertising: sono degli annunci pubblicitari che, una volta cliccati, installano dei software malevoli sul device dell’utente.
  • Social Engineering: questo induce l’utente a fidarsi del cybercriminale a compiere azioni compromettenti, come condividere password.
  • Exploit kit: una parte di codice o un programma progettato per trovare e sfruttare una falla di sicurezza o una vulnerabilità. Un esempio è la compromissione dei sistemi di backup, in modo che gli amministratori non possano utilizzarli per ripristinare i dati.

Come difendersi

Il settore del ransomware è in continua evoluzione: attacchi sempre più sofisticati, aumento dei criminali informatici, nuove tecnologie come il Ransomware as a Service (RaaS).

Esistono tuttavia delle pratiche per mettersi al riparo da cyber-agguati, ad esempio bloccare siti web, e-mail ed allegati sospetti.

Utilizzo di sistemi aggiornati e performanti

Occorre aggiornare regolarmente i sistemi operativi e i software utilizzati, controllando e applicando gli aggiornamenti più recenti. Un software sempre aggiornato è infatti uno dei modi più efficaci per evitare un attacco.

Un’altra componente essenziale è il backup. Bisogna difatti eseguire sempre il backup dei dati in modo da recuperarli in caso di emergenza. Nello stesso tempo, è importante archiviare i backup offline, cosicché non possano essere trovati o compromessi.

Cybersecurity: conoscerla per difendersi

Risulta quindi di fondamentale importanza che le aziende e i dipendenti abbiano familiarità con la sicurezza informatica, per poter prevenire e difendersi da eventuali minacce.

Queste sono molte e in continua evoluzione: virus, worm, trojan possono essere installati su PC non necessariamente collegati alla rete. Ma anche backdoor, spyware, adware, denial of service e spam, che si sviluppano attraverso internet.

Ma quando si può considerare un sistema veramente sicuro? Un sistema infatti risulta sicuro quando si comporta nel modo previsto.

Questo fa però parte di un processo complesso, che inizia dalla formazione e la sensibilizzazione dei dipendenti, fino all’individuazione delle vulnerabilità e alla pianificazione del sistema di sicurezza. Ad un’adeguata sicurezza dei dati si arriva attraverso la valutazione dei sistemi operativi, dei software, dei protocolli in uso, degli apparati di rete coinvolti.

Hai bisogno di un aiuto professionale per aumentare la sicurezza informatica nella tua azienda? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Password: come crearne una davvero sicura

password sicura

Segui alcune indicazioni del Garante della privacy per creare una password sicura e difficilmente identificabile dai cybercriminali.

La scelta di una password sicura può sembrare banale, ma in realtà può rivelarsi determinante. Non troppo corta, non troppo scontata, non troppo duratura o non direttamente ricollegabile a noi o all’attività.

Le password più violate dagli hacker

La protezione online è diventata fondamentale: per questo è necessario selezionare con attenzione anche tutte le password, in modo da impedire l’accesso ai nostri dati.

Ecco alcune delle password maggiormente violate dai malintenzionati del dark web, da evitare assolutamente:

  • 123456
  • 123456789
  • Qwerty
  • Password
  • 12345
  • 12345678
  • 111111
  • 1234567
  • 123123
  • Qwerty123
  • 1234567890
  • DEFAULT
  • 0
  • Abc123
  • 654321
  • 123321
  • 666666

Come creare dunque una password che sia davvero efficace?

Per rispondere a questa domanda, il Garante della privacy ha stilato una serie di consigli su come scegliere una password sicura. Questo in modo da non compromettere dati personali, informazioni riservate o denaro.

Le caratteristiche di una password sicura

Secondo il Garante per il trattamento dei dati personali, una password che metta i nostri dati al sicuro da eventuali intrusioni deve:

  • rispettare una lunghezza minima: almeno otto caratteri, anche se una password di 15 caratteri aumenti le probabilità di combinazioni e sia dunque più protetta
  • contenere maiuscole e minuscole, dei numeri ed almeno un carattere speciale (asterisco, chiocciola, cancelletto, trattino, punto interrogativo o esclamativo, ecc)
  • evitare dei riferimenti personali facilmente identificabili (nome, cognome, anno o data di nascita ecc.);
  • essere interamente diversa dal nome utente
  • prediligere delle parole camuffate anziché quelle di uso comune (coccinell@ al posto di coccinella, ad esempio). Esistono anche dei software programmati per provare ad indovinare e rubare le password controllando tutte le parole di uso comune nelle varie lingue;
  • essere cambiata periodicamente, soprattutto per gli account più importanti o quelli maggiormente utilizzati.

Come creare e conservare la password

Per creare un’ottima password, il suggerimento dell’Autorità è quello di utilizzare il più possibile i meccanismi di Autenticazione a 2 fattori (2FA).

Conviene anche utilizzare password diverse per account diversi o di non utilizzare password già usate in passato. Lo stesso vale per le password temporanee rilasciate da un sistema o da un servizio informatico: queste vanno sempre cambiate immediatamente con una personale.

Una volta scelta la password giusta, ci sono tre accorgimenti fondamentali da seguire per la conservazione:

  • non scriverla mai password su biglietti che poi magari vengono tenuti nel portafoglio, in un’agenda o che possono essere lasciati in giro, oppure in file non protetti sui dispositivi personali (computer, tablet o smartphone o tablet)
  • evitare sempre di condividere le password via e-mail, sms ed instant messaging: queste, infatti, potrebbero essere diffuse involontariamente a terzi o rubate
  • se si utilizza un pc, uno smartphone e altri dispositivi altrui, evitare sempre che le password utilizzate possano restare nelle rispettive memorie.

Hai bisogno di un aiuto professionale per aumentare la sicurezza dei tuoi device? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

GDPR e aziende: cosa fare per essere compliant

GDPR compliant

La tua azienda è compliant al GDPR? Ecco cosa fare per essere conformi ed evitare pesanti sanzioni.

Il Regolamento UE 679/2016, noto come GDPR (General Data Protection Regulation), è entrato in vigore in tutta l’Unione Europea il 25 maggio 2018. Questo nuovo Regolamento ha apportato sostanziali modifiche alla disciplina del trattamento e della libera circolazione dei dati personali.

Dopo la sua introduzione, enti, aziende e organizzazioni che trattano i dati personali delle persone residenti nell’Unione Europea sono stati chiamati a tutelare la privacy in modo più stringente e regolato.

Chiunque non sia compliant al GPDR rischia sanzioni pecuniarie fino a 20 milioni di euro o al 4% del fatturato globale annuale, se superiore.

Proprio per questo non bisogna sottovalutare o trascurare l’adeguamento al GDPR, soprattutto dopo il ricorso massivo allo smart working da parte delle aziende.

È quindi importante capire come il regolamento si applichi alla tutela della privacy nel lavoro da remoto, considerando anche i rischi per la sicurezza informatica. 

Le novità introdotte dal GDPR

Gli aspetti più importanti di questo regolamento definiscono in modo più puntuale e specifico l’area dei diritti e dei doveri sia delle organizzazioni interessate che degli utenti.

Responsabilizzazione delle aziende

Il titolare del trattamento deve assicurare il rispetto dei principi del GDPR, mediante comportamenti dimostrabili. Non deve quindi solamente strutturare la propria organizzazione in modo da garantire un livello di sicurezza adeguato sul piano normativo, ma anche giustificare le scelte compiute.

Nuovi diritti

Agli interessati del trattamento vengono riconosciuti diversi diritti, quali:

  • portabilità dei dati. L’utente può ottenere dal titolare del trattamento i dati personali che lo riguardano e trasmetterli ad un altro titolare del trattamento, come ad esempio un’altra azienda
  • diritto alla cancellazione (o all’oblio)
  • possibilità di proporre reclami all’autorità di controllo.

Maggiore importanza alla privacy

Il GDPR prevede l’implementazione di misure atte a proteggere i dati personali fin dalla fase di progettazione (by design) di un servizio, di un prodotto o di un processo. In questo modo, le regole e i principi di protezione dei dati vengono inseriti già nel momento della sua creazione.

La protezione per impostazione predefinita (privacy by default), invece, implica l’attuazione di interventi finalizzati a garantire soltanto il trattamento di quei dati personali necessari per la specifica finalità perseguita.

Responsabile della Protezione dei Dati (DPO)

Un’innovazione fondamentale del nuovo GDPR riguarda la designazione di un DPO (Data Protection Officer). Le sue funzioni vanno dalla promozione della cultura della tutela dei dati personali alla sorveglianza dell’applicazione del GDPR, fino alla gestione dei rapporti con l’Autorità Garante.

Il DPO rappresenta una sorta di controllore, il cui compito è verificare la corretta applicazione del GDPR. 

Questa figura è obbligatoria nella PA e negli enti pubblici, ad eccezione delle autorità giudiziarie, nelle aziende con più di 250 dipendenti o che trattano dati sensibili e su larga scala.

Registro di trattamento

Le organizzazioni con più di 250 dipendenti o che effettuano trattamenti a rischio, sono inoltre obbligate a tenere un registro delle operazioni di trattamento.

Notifica tempestiva di violazione

È introdotto l’obbligo di comunicazione all’autorità di controllo delle violazioni dei dati personali entro 72 h dal momento in cui il titolare ne ha avuto conoscenza.

In caso di data breach (ovvero di un incidente che abbia esposto informazioni personali o confidenziali) il titolare del trattamento deve poter dimostrare al giudice di aver assunto preventivamente tutte le precauzioni del caso.

Codici di condotta

Il GDPR fornisce alcuni utili strumenti per aiutare le aziende ad essere compliant e attestare l’adeguatezza delle misure di sicurezza adottate.

Le sanzioni previste

Per chi non dovesse rispettare il GDPR, sono previste pesanti sanzioni. L’importo, da valutare in funzione di numerosi elementi, può infatti toccare anche la cifra di:

  • 10 milioni di euro, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, per violazioni minori
  • 20 milioni di euro, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, per violazioni legate al rispetto dei diritti fondamentali.

Oltre a questo, i singoli Stati possono definire ulteriori sanzioni. Le autorità di controllo mantengono invece poteri di ammonimento, revoca di certificazioni, ingiunzioni e limitazione o divieto di trattamento, con inevitabili ripercussioni sul servizio erogato.

Come essere compliant al GDPR

A fronte di questa normativa, le aziende sono obbligate a introdurre una serie di misure, soprattutto per non incorrere nelle sanzioni previste dal nuovo regolamento.

Protezione dei dati

Le aziende devono saper dimostrare in modo documentato di aver fatto tutto ciò che è nelle loro possibilità per proteggere i dati personali acquisiti. Sono inoltre chiamate a preservare i dati personali dalla perdita o dalla modifica fortuita o illecita, dalla distruzione e dalle divulgazioni o dagli accessi non autorizzati.

Per questo è importante monitorare regolarmente il sistema delle protezioni, in modo da individuare eventuali violazioni (interne o esterne) ed effettuare tempestive comunicazioni alle autorità e ai soggetti interessati.

Utilizzo dei dati

Tutte le organizzazioni devono utilizzare i dati personali in modo lecito, corretto e trasparente, dimostrando altresì di aver ricevuto un consenso esplicito per tutti i trattamenti effettuati.

È anche necessario disporre di misure di data governance che includano la continua valutazione del rischio e la predisposizione di documentazione dettagliata.

Conoscenza dei dati

L’azienda deve avere infine una chiara conoscenza di: quali siano i trattamenti effettuati e le categorie di dati gestiti, come vengono trattati e protetti i dati personali, dove siano localizzati e chi è autorizzato a trattarli.

GDPR e aziende
Sai se la tua azienda è GDPR compliant? Contattaci a info@assitech.net per saperne di più.