Il primo firewall di un’azienda sono i propri dipendenti
La sicurezza dei posti di lavoro (PDL) è a carico, certamente dell’IT Manager ma, anche, da chi la occupa quotidianamente. Educare il personale (d’ufficio, di produzione, commerciale, ecc…) ad un utilizzo più consapevole degli strumenti connessi (PC, telefoni, eccetera) è di enorme aiuto ed importanza per avere una struttura il più protetta possibile.
Certo è difficoltoso trasferire ad un utente che non si occupa di IT che, per quanto la sicurezza perimetrale sia ben corrazzata, alcuni “buchi” possano dipendere da lui. La sua importanza nell’intervenire nella postura di securiy dell’azienda è fondamentale per implementare quello che si chiama “human firewall”.
Ecco alcuni suggerimenti, banali ma che in pochi seguono o perché non ne viene percepita l’importanza o perché si ritiene di risparmiare tempo ignorandoli: l’’IT Manager o l’HR dovrebbero essere il veicolo di queste informazioni.
1) Aggiornare regolarmente tutti software installati. Mantenere aggiornati il sistema operativo e le applicazioni è essenziale per difendersi da vulnerabilità di sicurezza. Se l’utente è anche amministratore, può configurare gli aggiornamenti automatici in modo da non perderli di vista.
2) Utilizzare password robuste. Creare password complesse (con numeri e caratteri speciali) non è sufficiente: dovranno anche essere uniche per ciascun account, per ciascun SW e per ciascun sito web. L’utente dovrebbe considerare l’uso di gestori di password per una maggiore sicurezza.
3) Implementare l’autenticazione a due fattori. Laddove possibile, l’aggiunta di un secondo livello di autenticazione, come (ad esempio) un codice inviato al telefono, aumenta significativamente la sicurezza degli account.
4) Scegliere una connessione sicura. Per prevenire un eventuale accesso non autorizzato ai device, durante la navigazione fuori azienda (sia con telefono che con PC) è importante evitare di accedere a reti non sicure e, soprattutto, è importante non fornire informazioni sensibili.
5) Attenzione alle e-mail di phishing. Le e-mail di phishing sono uno dei metodi più comuni di attacco informatico. Verificare attentamente gli indirizzi e-mail sospetti, evitare di cliccare su link o scaricare allegati da mittenti non attendibili e, soprattutto, controllare molto molto bene il link del sito che si sta raggiungendo.
Una parola in più riguardo il phishing. Si tratta della truffa più comune e può colpire chiunque. Le e-mail ed i siti che convincono l’utente a rilasciare informazioni personali e/o aziendali ora sono pressoché perfette: identiche per struttura e contenuti alla banca in uso, ad un fornitore di materiali, ad Enti Pubblici, eccetera. Non a caso, il termine “phishing” significa pescare: pescare dati sensibili, bancari o informazioni personali del malcapitato.
6) Utilizzo di PC e cellulari per uso personale. Se l’azienda lo consente, che ben venga ma attenzione: i punti di cui sopra dovranno essere ancora di più rispettati pena implicazioni giuridiche a carico dell’utilizzatore. Inoltre, il rischio di clonazione di carte di credito e dati personali è sempre in agguato.
L’educazione continua è fondamentale per adattarsi agli sviluppi in questo sempre mutevole panorama digitale ma spesso l’IT manager, L’HR o l’imprenditore non hanno tempo di occuparsene.
Mead vanta una grande esperienza in questo ed è abilitata alla formazione del personale per quanto riguarda un utilizzo più consapevole dei sistemi informativi. I nostri Teachers sono sistemisti che ogni giorno operano “sul campo” toccando con mano l’evoluzione ed il propagarsi di malware. Inoltre, sono certificati Lead Auditor per le ISO 27001 e 22301 ed hanno conseguito gli attestati per la ISO 31000, come privacy manager e come privacy specialist.