Nell'attuale era digitale, la posta elettronica è diventata fondamentale per le comunicazioni per le aziende di tutte le dimensioni, ma costituisce anche una sfida significativa per la sicurezza, specialmente per le piccole imprese. Dal momento che le minacce informatiche continuano a evolversi e a diventare sempre più sofisticate, proteggere le informazioni sensibili e garantire la riservatezza della corrispondenza e-mail è più che mai di fondamentale importanza.
Negli ultimi anni gli attacchi informatici attraverso i server di posta aziendali sono aumentati drasticamente a livello globale. Questo non dovrebbe sorprendere troppo, considerando il processo di adozione globale del lavoro da remoto messo in atto di recente. Ciò nonostante, partendo dal presupposto che il remote working è ormai un dato di fatto, quello che sorprende la maggior parte degli specialisti di cybersecurity è che molte organizzazioni (specialmente le aziende più piccole, che sono le più vulnerabili a questo tipo di attacco) non abbiano implementato procedure di sicurezza informatica di base per proteggere i propri sistemi da attacchi Business Email Compromise, o BEC, e altre forme più tradizionali di minacce veicolate tramite e-mail.
Un attacco Business Email Compromise è una grave forma di frode ed estorsione digitale che tenta di sfruttare l'ondata quotidiana di comunicazioni via e-mail tra le aziende. Attraverso un complicato processo di social engineering, i cybercriminali si spacciano per un dipendente o un collega affidabile e convincono le loro vittime presso la stessa azienda a trasferire fondi o informazioni sensibili a un account nascosto. Questi tipi di attacchi variano in termini di gravità, ma sono generalmente molto onerosi per le aziende prese di mira. Ecco perché abbiamo deciso di creare questa guida contenente best practice, indicazioni, protocolli e criteri per la sicurezza e-mail, pensata espressamente per le esigenze delle piccole imprese (anche se queste procedure sono comunque applicabili alle organizzazioni di qualsiasi dimensione). È il momento di assicurarsi che le e-mail aziendali siano protette e che eventuali informazioni sensibili siano al riparo da occhi indiscreti.
Best practice per la sicurezza e-mail nelle piccole imprese
Le best practice per la sicurezza e-mail per le piccole imprese sono simili a quelle utilizzate per le grandi organizzazioni; assicurano protezione da tre tipi principali di cyberattacchi via e-mail: truffe di phishing, attacchi di spear phishing e fatture fraudolente. Iniziamo dalle misure di sicurezza e-mail essenziali:
Gli account e-mail aziendali vanno utilizzati per motivi professionali
Anche se può sembrare piuttosto semplice e immediato, vale la pena sottolineare questo aspetto. Considerando che il lavoro gioca un ruolo di primo piano nelle vite di ognuno di noi, potremmo avere la tentazione di utilizzare l'account di posta aziendale per registrarci o accedere a determinati servizi inaccessibili tramite l'account personale. Tuttavia, l'uso dell'e-mail aziendale per attività personali online concede a un truffatore la possibilità di tracciare più facilmente il profilo dell'utente, riuscendo così a congegnare un attacco molto più mirato. Allo stesso modo, se utilizzi il tuo personal computer o la connessione Wi-Fi domestica, entrambi generalmente non sicuri come la connessione aziendale o i computer personalizzati disponibili sul posto di lavoro, concederai agli hacker maggiori possibilità di rubare le tue credenziali aziendali. Questo ci porta alla best practice seguente.
Non utilizzare l'e-mail aziendale sulle reti Wi-Fi pubbliche
Anche se utilizzi un computer aziendale sicuro per accedere al tuo account e-mail aziendale, il Wi-Fi pubblico è il punto di accesso perfetto per hacker e cybercriminali che vogliono infiltrarsi nel computer e sottrarre dati sensibili. Quando non è possibile evitare di usare una connessione pubblica, ti consigliamo di utilizzare una VPN per connetterti ai server aziendali importanti e migliorare la sicurezza complessiva degli endpoint. Una connessione VPN (Virtual Private Network) crea una sorta di tunnel privato criptato tra il computer remoto dell'utente e i server dedicati dell'organizzazione. Di conseguenza, proteggerà i dati inviati su una rete non protetta tramite criptaggio in tempo reale. Per saperne di più sulle VPN e sul loro funzionamento, consulta il nostro articolo "Cos'è una VPN?".
Password complesse e passphrase
Quando è in atto una violazione di un account e-mail di un'azienda, il primo passo è un attacco di forza bruta contro l'account nel tentativo di indovinare la password o la passphrase. Ecco perché consigliamo che tutti i dipendenti utilizzino password "complesse" o passphrase. Una password è considerata "complessa" quando è sufficientemente lunga (12-14 caratteri) e contiene una combinazione di caratteri speciali, numeri e lettere maiuscole e minuscole. Allo stesso modo, le passphrase "complesse" seguono all'incirca le stesse regole, con la differenza che devono essere costituite da 15-20 caratteri e utilizzare lettere di altre lingue (se possibile).
Per ognuna di queste, la cosa più importante da ricordare è che devono essere univoche e utilizzate solo per un'applicazione. Questo significa che avrai bisogno di un certo numero di password o passphrase, a seconda di quanti sistemi vengono usati nel luogo di lavoro. Per questo motivo, ti consigliamo di ricorrere a un gestore password, o un archivio di password, che fornisce anche un generatore di password per creare password complesse, in modo da memorizzare tutte le password e le passphrase univoche. Per quanto anche i gestori o gli archivi di password possano essere violati, le password saranno comunque al sicuro perché sono criptate e decifrare il criptaggio standard di settore, come AES (Advanced Encryption Standard) a 256 bit, è praticamente impossibile. Pertanto, il fatto che un hacker riesca a penetrare nell'archivio stesso non significa che possa fare qualcosa con i dati criptati.
Formazione sull'awareness per truffe di phishing e allegati
Uno dei modi più semplici per proteggere l'azienda consiste nell'investire in una semplice formazione sulla cybersecurity per tutti i dipendenti. Se questo non è possibile, ti consigliamo di spiegare alla forza lavoro i pericoli delle truffe di phishing e degli attacchi veicolati tramite allegati e-mail, altrimenti noti come allegati dannosi o smuggling HTML. I punti principali da illustrare sono i seguenti:
- Consapevolezza delle truffe di phishing più comuni, come siti Web fraudolenti e finestre di accesso che raccolgono le credenziali di accesso di un utente e imitano le finestre pop-up più comuni, come la finestra di accesso di Microsoft Outlook.
- Conoscenza dei vettori degli allegati e-mail più comuni in cui può nascondersi il malware, come .DOCX, .HTML e .EXE. È inclusa anche una forma recente e diffusa di cyberattacco via e-mail nota come smuggling HTML.
- Sensibilizzazione dei dipendenti sulla necessità di non fare mai clic su collegamenti apparentemente sospetti o inviati da un mittente sconosciuto. I collegamenti dannosi sono il modo più semplice per i truffatori di portare a termine con successo un attacco informatico contro i dipendenti e l'azienda, di solito attraverso qualche forma di sito Web correlato a una truffa di phishing.
Abilita l'autenticazione a più fattori
Una procedura di sicurezza che sta diventando sempre più popolare, per via della sua efficacia, è quella dell'autenticazione a più fattori. Chiamata anche MFA, autenticazione a due fattori o 2FA, l'autenticazione a più fattori garantisce agli account e-mail aziendali più livelli di controlli di sicurezza prima che un dipendente possa accedere ai messaggi. Gli esempi di questo tipo di autenticazione includono una password aggiuntiva, un codice da un SMS sicuro o la risposta a una domanda di sicurezza predeterminata.
Non dimenticarti di disconnetterti
Ancora una volta, può sembrare la cosa più ovvia da fare quando si utilizza la posta aziendale, ma è importante ricordare che un ingente numero di attacchi alla cybersecurity ha inizio con un dipendente insoddisfatto che tenta di danneggiare un ex datore di lavoro. Cooptare l'account di qualcuno e spacciarsi per un altro dipendente è uno dei modi più semplici per commettere un crimine informatico ed eludere il rilevamento. Quindi, per evitare che i dipendenti diventino sospettati inconsapevoli, accertati che chiunque all'interno dell'azienda si ricordi di disconnettersi dopo ogni sessione e non condivida mai le informazioni di accesso con altri.
Sistemi di scansione e protezione e-mail
Con la crescente complessità delle minacce di social engineering e dei cyberattacchi correlati alla posta, un sistema dedicato di scansione e protezione e-mail è la miglior difesa contro gli allegati di posta dannosi avanzati e gli attacchi basati su script incorporati. Consigliamo una soluzione anti-virus automatizzata che includa tecnologie di machine learning e analisi del codice statica, per valutare il contenuto effettivo di un'e-mail e non solo il tipo di file allegato. Per una soluzione di cybersecurity online avanzata, consigliamo Kaspersky Security for Microsoft Office 365. Un pluripremiato sistema per uso aziendale e uso personale, il nostro pacchetto premium include assistenza remota e supporto 24 ore su 24, 7 giorni su 7.
Protocolli e standard di sicurezza e-mail
Uno dei modi più importanti in cui puoi proteggere il sistema di posta elettronica aziendale è con l'implementazione dei protocolli appropriati di sicurezza e-mail. Generalmente considerati la prima linea di difesa contro i cyberattacchi correlati alla posta elettronica, i protocolli e-mail sono progettati per tenere al sicuro le comunicazioni mentre passano da un servizio di webmail a un altro. Per essere più chiari, i server di posta recapitano i messaggi e-mail tra i client di posta dei destinatari utilizzando protocolli e-mail. I protocolli indicano al server come elaborare e recapitare i messaggi. I protocolli di sicurezza verificano e autenticano questo processo.
Esistono diversi protocolli che possono essere utilizzati per proteggere la posta elettronica aziendale:
- SPF: consente ai proprietari di domini di posta elettronica di identificare e verificare gli utenti autorizzati a utilizzare i loro nomi di dominio per l'invio di messaggi e-mail.
- DMARC: consente ai proprietari di domini di ricevere una notifica e rispondere in caso di errore di autenticazione di un messaggio.
- SMTPS e STARTTLS: criptano gli scambi di e-mail tra client e server.
- DKIM: consente all'utente di essere collegato a una firma digitale per l'autenticazione.
- S/MIME: definisce come criptare e autenticare i dati formattati in MIME.
- OpenPGP: è basato sul framework Pretty Good Privacy ed è uno standard di criptaggio e autenticazione per le e-mail.
- Certificati digitali: costituiscono un modo per verificare i dettagli del mittente tramite la proprietà della chiave pubblica.
- SSL/TLS: non viene usato direttamente per la sicurezza e-mail, ma cripta il traffico di rete tra server (inclusi i messaggi webmail) essendo utilizzato per HTTPS.
Molti provider di client e-mail ampiamente diffusi utilizzano SPF, DKIM e DMARC (configurati tramite i record DNS) per proteggere la privacy degli utenti. Consigliamo di implementare almeno questi tre per il sistema di posta aziendale.
Criteri, indicazioni e conformità per la sicurezza e-mail
I criteri, le indicazioni e la conformità per la sicurezza e-mail definiscono le regole e le normative correlate all'uso degli account e-mail aziendali sul luogo di lavoro. Ognuno dei punti elencati in precedenza dovrebbe costituire un elemento fondamentale dei criteri di sicurezza e-mail dell'organizzazione. Inoltre, queste linee guida dovrebbero includere anche regole riguardo a:
- Accesso degli utenti e utilizzo dei dispositivi.
- Gestione e archiviazione dei dati.
- Regole per l'inoltro, l'eliminazione e la conservazione dei messaggi e-mail.
- Portata dell'ambito dei criteri, incluso l'utilizzo di rete e sistemi.
- Condotta etica e comportamento appropriato.
- Criptaggio delle password e altri strumenti di sicurezza utilizzati nei client di posta.
- Materiale di formazione sulla cybersecurity relativo al malware via e-mail e a come identificare allegati, collegamenti o messaggi fraudolenti.
- Pratiche di monitoraggio della posta e gestione dei record del personale messe in atto dall'azienda.
- Dove e come segnalare malware, minacce o contenuto illegale ricevuto via e-mail.
In breve, ogni organizzazione, dalla piccola impresa all'azienda di grandi dimensioni, dovrebbe avere un Security Compliance Model (SCN) che delinei e definisca chiaramente gli aspetti sopra elencati. Queste indicazioni fungeranno da framework legale (applicabile dal governo nazionale) in grado di assicurare la privacy e la sicurezza di tutti i contenuti inclusi nei messaggi e-mail dell'azienda. Questo è particolarmente importante se si considera che clienti e partner sono diventati più diffidenti nei confronti delle aziende con violazioni delle comunicazioni digitali.
Nell'attuale panorama digitale la posta elettronica è diventata indispensabile per le aziende, sia di piccole che di grandi dimensioni, tuttavia è anche l'obiettivo primario dei cybercriminali. Con la crescente diffusione del lavoro da remoto, aumenta anche il rischio di attacchi informatici veicolati tramite e-mail. Proteggi la tua azienda senza difficoltà con Kaspersky Small Business Security, progettato espressamente per soddisfare le esigenze delle piccole imprese come la tua.
Articoli correlati:
- Come proteggere i dati online utilizzando un gestore delle password
- Come criptare le e-mail in Outlook, Gmail, iOS e Yahoo
- Come bloccare le e-mail di spam - Suggerimenti e consigli
- E-mail di phishing: come riconoscere ed evitare le truffe basate su e-mail di phishing
Prodotti consigliati: