Sicurezza informatica in azienda: alcuni consigli da seguire

sicurezza informatica aziendale

Gli attacchi alla sicurezza informatica in azienda stanno diventando sempre più comuni. Non importa quanto grande o piccola sia la tua attività, è necessario fare tutto il possibile per tenerla al sicuro.

Devi proteggere i tuoi dati, la tua rete, le informazioni relative ai tuoi clienti e la tua reputazione.

Ecco alcuni utili suggerimenti, semplici e pratici, che puoi intraprendere per proteggere la tua azienda dai cybercriminali.

Sicurezza informatica in azienda: come tutelarla

Installare gli aggiornamenti software

Mantenere aggiornati i dispositivi e i software è una delle cose più efficaci che puoi fare per proteggere il tuo sistema.

Assicurati quindi che:

  • i dispositivi siano ancora supportati dal produttore e ricevano aggiornamenti software (patch) per i loro sistemi operativi
  • vengano installate tutte le patch sui sistemi operativi non appena sono disponibili.

Le patch non riguardano solo l’aggiunta di nuove funzionalità: spesso risolvono anche le vulnerabilità della sicurezza. I cybercriminali potrebbero sfruttare queste vulnerabilità per accedere al tuo sistema e l’installazione di patch che le risolva è un modo semplice per evitare che ciò accada.

Cosa fare

Imposta le tue preferenze di sistema per installare automaticamente gli aggiornamenti, se possibile.

Assicurati che tutti i dispositivi mobile, i server o i computer che gestisci per la tua azienda abbiano dei sistemi operativi che siano ancora supportati.

Se il personale utilizza i propri dispositivi per il lavoro (dispositivi BYOD), assicurati che mantengano aggiornati anche i loro dispositivi.

Proteggere i tuoi dispositivi

Abilita il software anti-malware su qualsiasi dispositivo che acceda ai dati o ai sistemi aziendali. Questo impedisce il download di software dannosi, come virus o ransomware.

Cosa fare

Usa le funzioni di sicurezza che vengono fornite di default con il sistema operativo del tuo computer. Ciò include Windows Defender per dispositivi Windows o Gatekeeper per OSX. Altrimenti, usa un software in grado di rilevare il malware e che viene regolarmente aggiornato regolarmente.

I dispositivi del personale devono utilizzare solo app scaricate dall’app store del provider di telefonia, come Apple Store o Google Play Store.

Implementare l’autenticazione a due fattori (2FA)

Come parte della tua strategia aziendale, devi pensare a come proteggere sia i tuoi sistemi che gli account dei tuoi clienti. L’implementazione della 2FA è un modo per farlo. Questo significa che chiunque accede al tuo sistema dovrà fornire qualcos’altro oltre al proprio nome utente e password, in modo da verificare la sua corretta identità.

Puoi mitigare il riutilizzo delle credenziali, sofisticati attacchi di phishing e molti altri rischi per la sicurezza informatica utilizzando 2FA.

Cosa fare

Abilita la 2FA sui tuoi sistemi chiave, come:

  • servizi di posta elettronica
  • servizi di aggregazione cloud, ad esempio Office 365
  • archiviazione dei documenti
  • servizi bancari
  • account di social media
  • servizi di contabilità e qualsiasi sistema che utilizzi per memorizzare dei dati personali o finanziari.

Considera di non utilizzare sistemi che non supportano l’uso di 2FA. Dovrebbe essere un requisito per qualsiasi nuovo sistema utilizzato dalla tua azienda. Rendilo obbligatorio, non facoltativo.

Eseguire il backup dei dati

Se gestisci un’azienda, sai quanto è importante proteggere i tuoi dati. Se vengono in qualche modo compromessi, ad esempio se vengono persi, trapelati o rubati, devi assicurarti di avere un backup o una copia disponibile, in modo da poterli ripristinare.

Cosa fare

Imposta i tuoi backup in modo che avvengano automaticamente: la frequenza con cui li esegui dipende dall’importanza dei tuoi dati.

Archivia i tuoi backup in un luogo sicuro e facile da raggiungere, come il cloud. Idealmente, è necessario archiviare i backup anche offline, attraverso una memory stick o un disco rigido esterno.

Raccogliere solo i dati strettamente necessari

Il tuo livello di rischio si basa sulla quantità di dati che hai: più ne raccogli, più sono preziosi per un utente malintenzionato. Ciò significa che corri un rischio maggiore se vieni preso di mira da cybercriminali: raccogliendo solo ciò di cui hai bisogno, riduci il rischio.

Cosa fare

Assicurati di crittografare tutti i dati che raccogli. Questo include mentre sono:

  • in transito — ad esempio, tramite un modulo HTTPS
  • a riposo — quando è archiviato in un database.

Consigli aggiuntivi

Il CSIRT (Computer Security Incident Response Team), ovvero la massima agenzia governativa italiana in tema di cybersecurity, sta rilevando un sensibile aumento degli attacchi informatici e dei tentativi di intrusione a tutti i sistemi esposti su internet su tutto il territorio italiano.

Ferme restando le misure messe in atto per bloccare a monte le eventuali minacce, è opportuno seguire alcune indicazioni:

  1. Presta sempre la massima attenzione a mail sospette ricevute sulla tua casella, soprattutto se contengono allegati (Es formati: .zip .docx – word, .pdf – con dei link all’interno)
  2. Evitare possibilmente l’apertura di Link contenuti all’interno di Mail sospette (riconoscibili principalmente dal Corpo e dal Mittente)
  3. Utilizzare password complesse (Da 12 a 14 caratteri con una maiuscola, una minuscola, un numero, un carattere speciale, non ripetuti e diversi da nome, cognome ed altri dati personali)
  4. In caso di apertura accidentale di un’e-mail sospetta, procedi tempestivamente al cambio delle credenziali di accesso alla Posta Elettronica Aziendale
  5. Da Pc aziendale sarebbe opportuno evitare l’accesso alle caselle di Posta Elettronica Personali, o a qualsiasi casella di posta elettronica che non sia quella aziendale
  6. Evita di introdurre dispositivi rimovibili (Es: Chiavette USB, Smartphone etc..) all’interno dei client aziendali
  7. Evita il salvataggio delle credenziali sul Browser
  8. Evita l’utilizzo di Browser ormai obsoleti e non aggiornati per la navigazione. (Fanno eccezione portali Regionali/Statali/Agenzia Entrate che a volte richiedono questo tipo di browser).

Hai bisogno di un aiuto professionale per aumentare la sicurezza informatica in azienda? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Giornata mondiale del backup: importanza e la situazione in Italia

Giornata mondiale del backup

Ogni 31 Marzo viene celebrata la Giornata mondiale del backup, che evidenzia l’importanza della protezione dei dati, in Italia e nel mondo.

La perdita di dati è solitamente improvvisa e inaspettata. In particolare, essendo vittime di crimini informatici, come phishing, truffa o frodi, le aziende subiscono la perdita di informazioni piuttosto importanti.

Secondo i risultati di un’indagine Aruba-Bva Doxa su 300 PMI italiane, il 27% delle piccole e medie imprese italiane non possiede un backup, dato che sale fino al 43% tra le sole piccole imprese.

Il dato più significativo è che il 71% non è nemmeno interessato ad introdurne soluzioni neanche nel lungo periodo. Questo è il risultato di una bassa consapevolezza sui rischi: la maggior parte del campione ritiene infatti di avere pochi dati da salvaguardare sminuendo il valore degli stessi e non è in grado di stimare i possibili danni derivanti da un attacco, ad oggi purtroppo sempre più frequenti.

L’importanza del backup, non solo in occasione della giornata mondiale

Nonostante l’opinione di tantissime aziende italiane, i backup sono una misura di sicurezza imprescindibile. Proteggerli e assicurarne la correttezza è una condizione per assicurarne l’efficacia.

Con i backup, proteggi la tua azienda da ransomware e altri malware che possono bloccare i tuoi file o addirittura cancellarli. In caso di violazione dei dati, puoi ripristinarli riducendo al minimo i danni che il cybercriminale può fare. I backup sono fondamentali anche per il ripristino di emergenza: se il tuo supporto di archiviazione principale si guasta, puoi ripristinare i tuoi dati dal backup.

Inoltre, nonostante alcune aziende adottino una politica di ritorno in ufficio, un numero crescente di dipendenti continua a lavorare fuori dall’ufficio o all’interno di un ambiente di lavoro ibrido.

Processi e best practice

Adottando solide best practice di backup, le aziende possono stare un passo avanti rispetto ai cybercriminali.

In troppi attacchi ransomware, uno dei tipi di minaccia più comuni, le vittime avrebbero potuto infatti evitare costi significativi, grazie ad una solida strategia di backup.

Di seguito alcune best practice per il backup dei dati in azienda:

  • Assicurati che i backup siano aggiornati e includano tutti i dati necessari per ripristinare il tuo sistema
  • Segui la regola del 3/2/1: tre copie dei tuoi dati archiviate su due diversi tipi di supporto e una copia remota
  • Archivia i tuoi backup in un luogo sicuro, preferibilmente fuori sede
  • Verifica di eseguire il backup dei dati nelle applicazioni cloud
  • Assicurati che i dati di backup siano crittografati e non possano essere modificati
  • Esegui frequentemente il backup. La frequenza dipende dai reparti e le applicazioni
  • Automatizza quando possibile. I backup devono essere monitorati e testati regolarmente per garantirne l’integrità
  • Archivia tutte le tue password in un gestore apposito.
  • Crea un piano di comunicazione di backup per garantire che le parti interessate siano a conoscenza di procedure, responsabilità e tempi e testa spesso il tuo piano di recupero.

Infine, i backup dovrebbero sfruttare sia il disco che il cloud. Questo tipo di combinazione è probabilmente la strategia di backup più efficace. Quando i dati sono prontamente disponibili su un disco locale, le aziende possono sfruttare tempi di ripristino piuttosto rapidi. Con il cloud, i backup remoti riducono al minimo il rischio di malware, disastri o altre minacce.

Hai bisogno di un aiuto professionale per impostare i backup e aumentare la sicurezza dei tuoi device? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Consent phishing: cos’è e come difendersi

Consent-Phishing
Consent-Phishing

Consent phishing: ecco come i cybercriminali utilizzano le autorizzazioni OAuth 2.0 per ingannare gli utenti.

Ad oggi il phishing è la tecnica di maggior successo, e quindi più diffusa, per aggirare la sicurezza. Una delle ragioni di questo successo è la capacità dei criminali informatici di elaborare nuovi modi nell’utilizzare questa tecnica, come il consent phishing.

Che cos’è il consent phishing?

Il consent phishing è un tipo di attacco informatico in cui l’utente, oltre ad essere vittima, è in qualche modo anche protagonista.

Si basa su apposite app cloud, che girano su server remoti. Le applicazioni di produttività online, come Google Workspace o Microsoft 365, ad esempio, non sono altro che dei pacchetti contenenti numerose app complesse che girano in cloud.

Per comprendere il phishing del consenso, è necessario conoscere i meccanismi su cui si basa, ovvero:

  • La voglia dell’utente di fare clic
  • Il protocollo OAuth 2.0

Il consenso all’accesso e alla condivisione delle caselle di dati fa parte della metodologia fondamentale utilizzata da un’ampia gamma di app consumer e aziendali, da Google a Facebook, Office 365 e tanti altri. Dietro la casella del consenso si trova il protocollo standard OAuth 2.0.

OAuth 2.0

Si tratta di un protocollo di autorizzazione ed un importante standard industriale. Semplifica il processo di accesso all’interno e tra siti Web, app online e app mobili; OAuth 2.0 supporta il Single Sign On (SSO) per consentire un utilizzo senza interruzioni delle app.

Milioni di siti Web e app si affidano a questo protocollo. Quando una persona effettua l’accesso per accedere a un sito Web o a un’app, questo viene in genere gestito utilizzando uno scambio di autorizzazioni OAuth 2.0: dopo l’accesso e il consenso dell’utente, il provider emette un token di accesso utilizzato dall’RP per accedere ai dati che l’utente ha acconsentito a condividere, che può essere anche un indirizzo e-mail o l’accesso a documenti, ecc.

Ecco un esempio di casella di consenso OAuth 2.0:

In che modo il consenso dell’utente facilita il phishing

Il problema con questo scambio OAuth 2.0 è che chiunque può potenzialmente registrare un’app dannosa (RP) con il provider. Ciò apre le porte ai criminali informatici per sfruttare un legittimo scambio di autorizzazioni OAuth 2.0.

Tutto parte, quasi sempre, da una e-mail. Nel messaggio, di solito, un collega ci invita ad accedere al nostro spazio cloud per scaricare o visionare un file.

L’e-mail contiene il link ad una piattaforma online nota, come Microsoft Online o Google, ma poi porta ad una schermata tramite la quale l’utente autorizza l’app cloud malevola ad accedere ai propri dati.

A differenza del phishing classico, quindi, il consent phishing non passa da una pagina Web contraffatta: l’app pericolosa usa, infatti, le piattaforme online legittime e ritenute sicure dagli utenti che, di conseguenza, si fidano. Questo perché, anche se si controlla l’URL al quale punta il link, troverà indirizzi che iniziano con “https://login.microsoftonline.com” o “https://accounts.google.com”.

Riconoscere il consent phishing, quindi, è molto più difficile rispetto al phishing classico.

Come difendersi da questo tipo di attacco

La prevenzione di attacchi intelligenti come il consent phishing non è facile. Oltre alla soluzione completa che Microsoft offre per combatterne l’aumento, è necessario adottare una serie di misure preventive.

Rilevamento di app dannose

I broker di sicurezza delle app cloud possono essere utilizzati anche per controllare le app connesse a OAuth 2.0 rilevando l’attività delle app dannose. Questi servizi basati su cloud forniscono visibilità sulle app connesse all’interno di un’azienda, monitorando l’attività e cercando comportamenti anomali.

Autorizza le app e utilizza criteri di consenso graduali

All’interno di un contesto aziendale, è possibile impostare una whitelist di app attendibili in modo che il consenso possa essere concesso solo alle app di sviluppatori interni o editori noti e attendibili. Microsoft Azure Active Directory può essere usato per applicare i criteri di consenso.

Consapevolezza della sicurezza di app e consenso

La formazione sia dei dipendenti che degli amministratori sulle tattiche di phishing del consenso dovrebbe essere incorporata nella formazione generale sulla sicurezza, per aiutare a prevenire gli attacchi.

Hai bisogno di un aiuto professionale per aumentare la sicurezza dei tuoi device? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.