Guida alla sicurezza delle informazioni per i nuovi dipendenti

Per ridurre al minimo gli incidenti informatici, bisogna redigere una guida di base sulla sicurezza delle informazioni, che diventerà una lettura obbligatoria per la formazione dei dipendenti.

Una guida alla sicurezza delle informazioni può aiutare a minimizzare gli errori che riguardano quest’ambito; tuttavia, scriverne una da zero è un compito piuttosto impegnativo. Per questo motivo, abbiamo pensato di proporvi un piano generale, una guida di base a cui è possibile aggiungere punti specifici per l’azienda, con le sue norme e i suoi regolamenti. Secondo noi, questo è il modello standard che include i punti fondamentali e  che ha solo bisogno di essere personalizzata. Una volta modificata come dovuto, non limitatevi ad archiviarla: mostratela a tutti i nuovi dipendenti e sottoponetela anche all’attenzione del personale che già lavora da tempo in azienda.

Accesso a sistemi e servizi aziendali

  1. Usate password robuste per tutti gli account, di almeno 12 caratteri, che non contengano parole del dizionario e che includano caratteri speciali e numeri. I cybercriminali possono forzare facilmente le password semplici.
  2. Create una password unica per ogni account. Se si riutilizzano le password, una falla in un servizio potrebbe compromettere anche gli altri.
  3. Mantenete le password segrete, senza eccezioni. Non scrivetele, non salvatele in un file e non condividetele con i colleghi. Un frequentatore occasionale dell’ufficio o un ex dipendente potrebbe usare la vostra password per danneggiare l’azienda (un pericolo evidente) ma le possibilità di creare danni o problemi sono praticamente infinite.
  4. Abilitate l’autenticazione a due fattori per ogni servizio che la offre. Il suo uso aiuta a evitare che un criminale informatico possa ottenere l’accesso a un servizio, anche nel caso in cui trapeli la password.

Dati personali

  1. Distruggete i documenti in modo definitivo invece di buttarli via semplicemente. Gettare le informazioni di identificazione personale nel bidone della spazzatura attira l’attenzione degli organismi regolatori e garantisce multe salate.
  2. Usate canali sicuri per scambiare file contenenti dati personali (per esempio, condividete documenti Google Doc con colleghi specifici e non tramite l’opzione che offre l’accesso a chiunque abbia il link). Google, per esempio, indicizza i documenti che possono essere visualizzati da chiunque su Internet, il che significa che possono apparire nei risultati di ricerca.
  3. Condividete i dati personali dei clienti solamente con i colleghi che ne hanno strettamente bisogno. Oltre a causare problemi con le autorità di regolamentazione, la condivisione di queste informazioni aumenta il rischio di fughe di dati.

Minacce informatiche comuni

  1. Controllate attentamente i link presenti nelle e-mail prima di cliccarci, e ricordate che un mittente dal nome convincente non è garanzia di autenticità. Tra i molti trucchi dei criminali informatici per indurre le persone a cliccare sui link di phishing, c’è anche quello di adattare i messaggi all’azienda presa di mira o persino utilizzare l’account hackerato di un collega.
  2. Per chi gestisce i bilanci: non trasferite mai denaro su conti sconosciuti solo sulla base di un’e-mail o di un messaggio diretto. Piuttosto, contattate direttamente la persona che presumibilmente ha autorizzato il trasferimento per la conferma.
  3. Lasciate stare le chiavette sconosciute; non collegate al computer i supporti rimovibili trovati per caso. Gli attacchi attraverso chiavette infette non sono roba da fantascienza, i criminali informatici possono riuscirci e in passato hanno piazzato dispositivi dannosi in luoghi pubblici e negli uffici.
  4. Prima di aprire un file, controllate che non si tratti di un file eseguibile (i cybercriminali spesso nascondono i file dannosi spacciandoli per documenti aziendali). Non aprite né eseguite file da fonti non attendibili.

Contatti di emergenza

  1. Indicate chi contattare (nome e numero di telefono) in caso di e-mail sospette, comportamento strano del computer, una notifica circa un ransomware o qualsiasi altro problema di questo tipo. Potrebbe essere un responsabile della sicurezza, un amministratore di sistema o persino il proprietario dell’azienda.

Queste sono le nozioni di base che tutti in azienda devono sapere. Per una maggiore consapevolezza sulle moderne minacce informatiche, in ogni caso consigliamo di organizzare una formazione specifica.

Consigli