Un tempo lavorare da casa era un vero e proprio lusso. Adesso, per i dipendenti aziendali è un'impellente necessità, visto il forzato isolamento sociale causato in tutto il mondo dal Coronavirus.
Tuttavia, in questo periodo senza precedenti, tu e la tua azienda potreste essere esposti a nuove forme di rischio in termini di Cybersecurity: di fatto, schiere di malintenzionati cercano di trarre vantaggio dall'inconsueta situazione, lanciando attacchi nei confronti di chi è costretto a lavorare in regime di smart working.
Ecco perché si rivela più importante che mai iniziare a pensare seriamente a un'efficace protezione IT del proprio ufficio domestico.
Lavorare da casa comporta una nutrita serie di sfide per la sicurezza: dipendenti e datori di lavoro debbono acquisire al più presto la necessaria consapevolezza in merito. In ogni caso, la buona notizia è che, seguendo le indispensabili best practice in relazione allo smart working, è possibile mitigare agevolmente la maggior parte di tali minacce.
Esamineremo in dettaglio, qui di seguito, i dieci elementi di maggiore importanza di cui dovrebbero essere consapevoli tutti coloro che operano da remoto, al fine di rispettare i necessari criteri di sicurezza.
1. Investi in un software antivirus completo ed efficace
Si tratta del consiglio più semplice e immediato, ma di indiscutibile efficacia: è indispensabile investire in una suite antivirus completa, per te e per i tuoi dipendenti.
Secondo alcune fonti, il danno globale arrecato alle imprese dal cybercrimine è stimato in 1,5 miliardi di dollari all'anno. È fortemente probabile che nel corso del 2020 questa iperbolica cifra aumenti ancora, visto che gli hacker cercano di sfruttare le reti Internet domestiche e le VPN aziendali per ottenere l'accesso a preziosi file sensibili.
Simili attacchi favoriscono a loro volta ulteriori assalti informatici a danno dell'azienda e dei dipendenti: attacchi ransomware, DDoS, malware, spyware e altri tipi di violazioni.
Le suite antivirus svolgono automaticamente tutto il complesso lavoro necessario per mantenere al sicuro dalle attuali minacce IT le attività aziendali svolte in smart working. Tali soluzioni offrono protezione completa nei confronti di:
- Attacchi zero-day (i virus sfruttano le vulnerabilità di sicurezza prima che le stesse siano corrette)
- Malware, spyware e virus
- Trojan e worm
- Truffe di phishing, comprese le frodi architettate tramite e-mail
Una suite antivirus completa neutralizza fino al 100% delle minacce alla sicurezza online; inoltre si aggiorna automaticamente, per rimanere sempre al passo con le minacce nuove ed emergenti.
Tra l'altro agisce in modo discreto, in background, senza interferire con le altre operazioni svolte e senza farsi notare, pur compiendo un complesso lavoro.
2. Tieni lontano i familiari dai dispositivi utilizzati per il lavoro in smart working
Per mantenersi al sicuro online puoi fidarti di te stesso e dei dipendenti, spesso notevolmente esperti di tecnologia: è tuttavia importante ricordare che, in questi tempi, i computer aziendali possono risultare maggiormente esposti alla curiosità dei più piccoli e di altri membri della famiglia.
Quindi, vale di sicuro la pena dedicare un po' di tempo a ricordare "delicatamente" al personale dell'azienda di mantenere al sicuro i dispositivi utilizzati per lavorare da casa, non consentendo ad altri membri della famiglia di accedere a laptop, smartphone o hardware di altro genere. Inoltre, è bene ricordare ai propri dipendenti l'importanza vitale della protezione tramite password dei vari dispositivi utilizzati, allo scopo di impedire l'accesso di terze parti a file sensibili.
3. Investi in otturatori per webcam scorrevoli
Con ogni probabilità, nel corso delle prossime settimane e dei prossimi mesi, prenderai parte a videoconferenze e videochiamate in cui si ricorre all'utilizzo della webcam.
In tutto il mondo, inoltre, molte persone attualmente in quarantena o in isolamento forzato stanno sperimentando nuovi impieghi della webcam: festeggiamenti in chat con i colleghi, lezioni di lingua nel tempo libero, videochiamate con i familiari che non si possono incontrare personalmente.
Occorre tuttavia essere consapevoli del fatto che gli hacker, particolarmente esperti dal punto di vista tecnologico, possono accedere facilmente alla webcam senza alcuna autorizzazione, compromettendo la privacy della vittima. Peggio ancora: gli hacker potrebbero essere in grado di visualizzare, tramite apposito hijacking della webcam, gli eventuali documenti sensibili situati nello spazio fisico di lavoro.
Se la webcam risulta separata dal dispositivo, è necessario scollegarla ogni volta che non viene utilizzata. Ma se la webcam è integrata occorrono ulteriori misure di protezione: non è dato infatti sapere quando potrà avvenire l'attacco hacker tramite webcam.
Online si trovano agevolmente utili coperture scorrevoli per webcam, di ogni forma, dimensione e colore, in grado di soddisfare qualsiasi esigenza. Sono anche molto facili da installare, poiché la maggior parte di esse viene fornita con uno strato adesivo che si adatta perfettamente alla webcam.
Quando si utilizza un software per videoconferenza è inoltre possibile utilizzare funzioni quali "Sfocatura sfondo", se la piattaforma in uso ne è dotata. Questo impedisce alle persone che partecipano alla videoconferenza di spiare gli oggetti situati sullo sfondo, all'interno dell'abitazione: spesso si tratta di dati sensibili relativi al personale o ai clienti dell'azienda.
4. Assicurati che la VPN aziendale sia più sicura possibile
Probabilmente in questo periodo sono connessi al Virtual Private Network aziendale (connessione VPN) molti più computer del solito: tutto ciò genera, nell'ambito dell'ufficio domestico, una serie di nuove "backdoor" di sicurezza soggette a un potenziale sfruttamento da parte di hacker senza scrupoli.
Innanzitutto, è di fondamentale importanza ricordare ai dipendenti i criteri di sicurezza adottati dall'azienda per il lavoro in smart working, e assicurarsi che il personale segua alla lettera le regole stabilite.
Sulla base di tali premesse, sarà possibile focalizzarsi sulle ulteriori soluzioni esistenti per rendere la VPN ancor più sicura, come ad esempio:
- Utilizzo di un metodo di autenticazione il più sicuro possibile: molte VPN fanno semplicemente uso di nome utente e password, ma puoi effettuare un upgrade di sicurezza ricorrendo all'impiego di smart card.
- Un metodo di crittografia più solido ed efficace per l'accesso VPN: se stai utilizzando solo un protocollo di tunneling Point to Point, puoi pensare di effettuare l'upgrade al Layer Two Tunneling Protocol (L2TP).
- Assicurarsi che i dipendenti aggiornino regolarmente le loro password: indipendentemente dal livello di sicurezza della VPN, se viene compromessa la password di un dipendente gli hacker possono ottenere un facile accesso alla rete. Questo si può evitare chiedendo a tutti quanti di aggiornare le proprie password, rendendole più solide e sicure.
- Assicurarsi che i dipendenti utilizzino la VPN solo quando ne hanno effettivamente bisogno: se fanno uso del proprio laptop di lavoro per attività personali di sera e nel weekend, ricorda loro di disattivare la VPN.
- Assicurarsi che i dipendenti siano collegati tramite reti sicure: lavorando da casa, utilizzeranno le loro reti domestiche e le rispettive connessioni a Internet. Gli hacker potrebbero compromettere anche tali reti. È quindi necessario istruire i dipendenti sia sulle modalità di configurazione dei router wireless e dei firewall personali, sia su come proteggere al meglio le reti domestiche.
E naturalmente, come sottolineato in precedenza, occorre investire in un software di sicurezza e antivirus completo ed efficace, in grado di salvaguardare la VPN.
5. Utilizza una soluzione di archiviazione centralizzata
Se l'azienda si affida all'archiviazione su cloud o server, assicurati che tutti i dipendenti stiano utilizzando tali soluzioni.
Se ritieni che i dipendenti non siano a conoscenza del servizio di archiviazione adottato dall'azienda, o se pensi che non lo conoscano sufficientemente, oppure che stiano continuando ad archiviare i file localmente, mettiti in contatto con loro al più presto per assicurarti che siano effettivamente in grado di utilizzare a dovere il servizio centralizzato.
In tal modo, se il sistema informatico dell'azienda viene compromesso e i file locali vengono di conseguenza persi, danneggiati o distrutti, sarà molto più probabile poter disporre dei necessari backup relativi a documentazione di particolare importanza.
Inoltre, questo metodo fa sì che i documenti importanti siano maggiormente al sicuro, in quanto protetti dal firewall collegato alla soluzione di archiviazione centralizzata.
6. Rendi sicura la rete wireless domestica
Uno dei metodi più semplici per garantire un'adeguata protezione IT in regime di smart working consiste nel rafforzare il livello di sicurezza della rete Wi-Fi domestica.
È di vitale importanza trasmettere queste informazioni ai dipendenti, visto che, lavorando da casa, si rivela necessario anche per loro salvaguardare il network Wi-Fi domestico.
Ecco alcuni semplici step da seguire fin da subito per migliorare il grado di sicurezza della rete Wi-Fi di casa e proteggersi da pericolosi accessi forzati:
- Crea una password univoca e complessa: puoi farlo accedendo alla pagina delle impostazioni del router (digita "192.168.1.1" nel browser); inserisci il nome utente e la password attuale, quindi modifica la password presente nelle impostazioni. Scegli una password difficile da individuare per chiunque: dovrebbe idealmente includere un mix di lettere minuscole e maiuscole, numeri e segni di punteggiatura.
- Cambia il tuo SSID, ovvero il nome con cui si identifica la rete wireless. Anche in questo caso la modifica si può effettuare attraverso la pagina delle impostazioni del router. Cerca di rendere l'SSID particolarmente criptico e difficile da indovinare. Non usare il tuo nome, l'indirizzo di casa o qualsiasi cosa che possa essere utilizzata per identificarti.
- Abilita la crittografia di rete: di solito si può fare tramite le impostazioni di sicurezza presenti sulla pagina relativa alla configurazione wireless. Qui potrai scegliere tra numerosi metodi di sicurezza, quali WEP, WPA e WPA2. Il più efficace, se si utilizza hardware recente (successivo al 2006), è il protocollo WPA2.
- Limita l'accesso a indirizzi MAC specifici: ogni dispositivo che si collega alla rete presenta un indirizzo MAC univoco (è possibile trovare l'indirizzo relativo a ciascun dispositivo aprendo il prompt dei comandi, se presente, e digitando "ipconfig/all"). Se già conosci gli indirizzi dei dispositivi verificati, puoi aggiungerli alle impostazioni del router wireless, in modo che possano connettersi alla rete Wi-Fi solo questi dispositivi.
- Esegui l'upgrade del firmware: il provider della rete wireless rilascerà di tanto in tanto patch e aggiornamenti del software. Tali aggiornamenti comprendono, a volte, importanti patch di sicurezza. Assicurati di disporre dell'ultima versione del firmware visitando regolarmente la pagina delle impostazioni del router.
7. Presta la massima attenzione ai rischi di sicurezza connessi alle videoconferenze
Se nell'immediato futuro la forza lavoro della tua azienda è destinata a operare in smart working, con ogni probabilità il personale si avvarrà di un apposito software per videoconferenza.
Tuttavia, come è noto, alcuni servizi di teleconferenza hanno di recente subito significative violazioni della sicurezza.
Zoom, la popolare piattaforma di videoconferenza, ha ammesso che le vulnerabilità rilevate nel proprio software saranno urgentemente corrette: di fatto, il CEO dell'azienda californiana ha concentrato tutte le risorse per migliorare il livello di privacy e sicurezza del servizio. Il problema è derivato da una vera e propria ondata di "zoombombing", caratterizzata da ripetute violazioni di ogni genere della piattaforma in questione. Tra i numerosi episodi verificatasi citiamo, a titolo esemplificativo, l'accesso di persone non autorizzate alle videoconferenze tenute da altri, allo scopo di intimidire o infastidire gli utenti collegati (è già successo a molti utenti). Se la tua azienda sta utilizzando Zoom come principale strumento di videoconferenza, occorre tenere ben presenti simili potenziali violazioni.
I rischi per l'azienda sono concreti: in effetti, se le videoconferenze in corso vengono invase e monitorate, si potrebbero verificare pericolose fughe di informazioni sensibili riguardanti le attività e/o i clienti dell'impresa. Inoltre, il personale potrebbe anche subire attacchi personali, potenzialmente traumatizzanti, da parte di hacker.
In risposta agli attacchi condotti nei confronti della piattaforma Zoom, l'FBI ha emanato una serie di raccomandazioni per aiutare gli utenti a proteggersi durante l'utilizzo del software per videoconferenza.
Le riportiamo qui di seguito
- Assicurarsi che i meeting siano privati, richiedendo una password per l'accesso o controllando l'afflusso degli ospiti attraverso l’attivazione della funzione Waiting Room.
- Considerare attentamente i necessari requisiti di sicurezza nel momento in cui si sceglie il vendor. Viene ad esempio offerta la crittografia end-to-end?
- Aggiornare regolarmente il software per videoconferenza: installare le ultime patch rilasciate e i relativi aggiornamenti.
Numerose fonti hanno evidenziato il fatto che Zoom non utilizzi la crittografia end-to-end; quindi, se stai cercando un'opzione più sicura, prova Webex, Microsoft Teams o Google Duo.
8. Assicurati di far uso di password solide e sicure
Uno dei modi più semplici (e spesso più trascurati) per proteggersi nel momento in cui si lavora dalla propria abitazione consiste nel rafforzare le password utilizzate, assicurandosi di avere ottimizzato su tutti i dispositivi tale genere di protezione.
A tal proposito, la Federal Trade Commission consiglia quanto segue:
"Utilizzare le password su tutti i dispositivi e con tutte le app. Assicurarsi che siano sufficientemente complesse, solide e univoche: devono essere composte da almeno 12 caratteri, costituiti da un mix di numeri, simboli e lettere maiuscole e minuscole."
La FTC raccomanda inoltre di ricorrere all'apposita schermata della password ogni volta che si accede al proprio laptop o ad altri dispositivi; in tal modo, se il dispositivo viene violato o cade nelle mani sbagliate, sarà molto più difficile, per un estraneo, accedere a file di natura sensibile.
9. Massimizza la protezione delle tue attività di banking online
Se occupi una posizione di responsabilità in relazione ai conti bancari aziendali, vorrai di sicuro fare tutto il possibile per assicurarti che le risorse finanziarie dell'impresa siano custodite e movimentate nel modo più sicuro possibile. L'ultima cosa che si può desiderare, in questo difficile periodo, è di subire violazioni della sicurezza in una qualsiasi delle piattaforme di banking online utilizzate.
In primo luogo, per gestire in sicurezza i propri fondi è essenziale avvalersi esclusivamente di software e servizi accreditati. Utilizza quindi solo servizi che conosci, di comprovata affidabilità. Se hai dubbi riguardo al livello di credibilità di una particolare piattaforma, prima di farne uso ricerca online le relative recensioni e maggiori informazioni in merito. Le istituzioni finanziarie attendibili inseriscono precise informazioni di contatto sui propri siti web, specificando i nominativi delle persone a cui è possibile rivolgersi direttamente in caso di eventuali problemi.
Quando accedi a un sito che offre servizi bancari online assicurati di aver effettuato l'accesso tramite un protocollo di trasferimento ipertestuale sicuro. Tieni presente che l'indirizzo di un sito web protetto inizia con l'acronimo https:// anziché semplicemente http://. Dovresti anche notare la presenza di un'icona raffigurante un lucchetto, situata sul lato sinistro della barra degli URL nella maggior parte dei browser Internet: ciò significa che il sito web dispone di un certificato di sicurezza autenticato.
È di fondamentale importanza cogliere questa opportunità per aumentare il livello di sicurezza degli account bancari aziendali e personali. Rendi pertanto più sicure le password, aggiungi informazioni facilmente memorizzabili e, se possibile, richiedi alla tua banca un lettore di card, per assicurarti che in tutti i pagamenti online si utilizzi una carta di pagamento fisica. Inoltre, se hai la possibilità di far uso del mobile banking, sappi che, per effettuare l'accesso, molte piattaforme ora richiedono la verifica dell'impronta digitale: questo accresce ulteriormente il grado di sicurezza.
Questo periodo di crisi ed emergenza globale ha purtroppo favorito il proliferare di molte nuove forme di attacco hacker, truffa e phishing. In tutto il mondo, schiere di malintenzionati stanno attualmente prendendo di mira gli utenti tramite e-mail, annunci pubblicitari sui social media o direttamente per telefono. Ad esempio, richiedono i dati bancari della potenziale vittima con il falso pretesto di fornire aiuto per l'effettuazione di acquisti e donazioni su larga scala. Quindi non fornire a nessuno, in alcun modo, i tuoi dati bancari; alla stessa maniera, non trasferire somme di denaro a venditori non richiesti o indesiderati, a meno che tu non sia assolutamente sicuro della loro effettiva identità.
Ricorda che i truffatori, per indurti a fornire informazioni sensibili o trasferire fondi, possono tentare di camuffarsi in veste di colleghi, clienti o organizzazioni professionali, compresa la banca attraverso la quale operi. Presta la massima attenzione e chiedi ulteriori informazioni o prove per verificare l'identità degli interlocutori.
10. Presta particolare attenzione alla sicurezza e-mail
Probabilmente in questo periodo le e-mail rappresentano il principale mezzo di comunicazione per te e i tuoi colleghi. Tuttavia, i messaggi di posta elettronica sono anche uno degli strumenti di comunicazione più facili da compromettere e sfruttare per scopi illeciti.
Il National Cybersecurity Centre (NCSC) del Regno Unito ha formulato
Il National Cybersecurity Centre (NCSC) del Regno Unito ha formulato numerose raccomandazioni allo scopo di proteggere il personale che opera dalla propria abitazione: tali preziosi consigli riguardano, nello specifico, anche l'utilizzo delle e-mail.
Oltre a richiamare l'attenzione sugli attacchi di phishing, fenomeno sempre più diffuso, si consiglia l'adozione delle seguenti misure di sicurezza per proteggere efficacemente gli account e-mail:
- Assicurarsi che le e-mail siano accessibili solo in modo sicuro, tramite la VPN aziendale: questa soluzione consente di creare una connessione di rete crittografata che richiede l'autenticazione dell'utente e/o del dispositivo e codifica i dati in transito tra utente e servizi. Se si utilizza già una VPN, assicurarsi che la stessa sia provvista di tutte le patch necessarie.
- Quando il personale non si trova in ufficio, o quando lavora da casa, è più probabile che possa subire il furto dei propri dispositivi (oppure li smarrisca). Assicurarsi quindi che in tali dispositivi, quando non sono utilizzati, sia abilitata la crittografia dei dati: in tal modo, in caso di smarrimento o furto, i dati relativi alle e-mail risulteranno protetti. La maggior parte dei dispositivi attualmente in uso dispone di un sistema di crittografia integrato; potrebbe tuttavia essere necessario attivare e configurare tale funzionalità. L'NCSC ha ugualmente pubblicato linee guida individuali per consentire di salvaguardare anche i dispositivi personali utilizzati dai dipendenti per accedere alle e-mail e ad altri file sensibili.
- Fare molta attenzione agli attacchi di phishing, in quanto si manifestano in forme continuamente diverse, altamente pericolose. L'NCSC ha pubblicato apposite linee guida su come individuare e affrontare questa specifica tipologia di attacco: è di sicuro opportuno inoltrare queste importanti raccomandazioni anche ai propri dipendenti.
Articoli correlati: