Corso sulla sicurezza e integrità dei dati dedicato alle piccole aziende

La maggior parte delle piccole aziende non dispone di un reparto IT o di personale tecnico responsabile della sicurezza informatica.

E con così tanti consigli sulla sicurezza informatica disponibili, può essere difficile per le piccole aziende sapere da dove cominciare.

Questo è un percorso attraverso tutte le azioni che occorre intraprendere per ridurre la probabilità che tu – o la tua impresa – possiate divenire vittima degli attacchi informatici più comuni.

Come puoi migliorare la resilienza della tua azienda in 5 aree chiave:

Backup corretto dei dati della tua organizzazione
Proteggere la tua organizzazione dai malware
Tenere al sicuro i dispositivi utilizzati dai tuoi dipendenti
L’importanza di creare password complesse
Difendere la tua organizzazione dal phishing

Questa specifica formazione online stata progettata deliberatamente per un pubblico non tecnico (che potrebbe avere poca o nessuna conoscenza della sicurezza informatica), con suggerimenti che integrano le politiche e le procedure esistenti.

ATTENZIONE: molte organizzazioni di piccole dimensioni potrebbero ritenere di non essere a rischio di attacchi informatici, ritenendo che i criminali prendano di mira solo le aziende più grandi che hanno accesso a più clienti, dati e finanze.

Tuttavia, il 38% delle micro e piccole aziende ha subíto una violazione della sicurezza informatica negli ultimi 12 mesi!

Prima area chiave: il backup dei dati della tua azienda

“Dov’è finito il programma?” Si chiede Barbara, titolare del suo Bistrot.

“È strano, sono appena andata a controllare il programma del personale per la settimana, ma non c’è più! Sembra che il programma del personale per la settimana sia stato eliminato definitivamente dal sistema del mio Bistrot”.

(1) Cosa pensi che dovrebbe fare, per prima cosa, Barbara?*

Scoprire chi ha cancellato il programmaRintracciare tutte le copie di backup della pianificazioneNon c’è niente che possa fare, dovrebbe iniziare con un nuovo programma

NOTA BENE: Non c’è bisogno di iniziare un nuovo programma e trovare qualcuno da incolpare: non aiuta. Gli incidenti accadono. La prima cosa che Barbara deve fare è controllare se ci sono copie di backup salvate da qualche parte. Dovrebbe anche considerare chi altro avrebbe bisogno di accedere ai backup e come potrebbe accedervi se non fosse disponibile per qualsiasi motivo.

Cosa è successo dopo?

Barbara ha controllato il sistema per vedere quando è stato eseguito l’ultimo backup dei dati: non è stato eseguito il backup negli ultimi due mesi!

Eseguire il backup significa creare una copia delle tue informazioni e salvarla su un altro dispositivo o su cloud storage (online). Tutte le organizzazioni, indipendentemente dalle dimensioni, dovrebbero effettuare backup regolari e assicurarsi che possano essere ripristinati.

(2) Barbara non vuole che i dati essenziali vadano persi di nuovo; pensi che dovrebbe eseguire il backup di tutto sul sistema?*

VeroFalso

NOTA BENE: Barbara non ha bisogno di eseguire il backup di tutto ma, solo dei dati essenziali per la sua organizzazione.

Quali dati sono “essenziali”?
Se non si è sicuri di quali dati devi eseguire il backup, chiediti: l’organizzazione potrebbe funzionare senza di essi? Se la risposta è sì, allora non è qualcosa di cui devi eseguire il backup. Se la risposta è no, devi assicurarti che sia tenuto saldamente.

Ad esempio, i dettagli di contatto del personale di Barbara e il programma del personale sono dati essenziali, pertanto è necessario eseguire il backup. Dati come i risultati del quiz della festa di Natale dello staff dell’anno scorso non sono dati essenziali e quindi non è necessario eseguire il backup. Quando si gestiscono le informazioni di altre persone è importante gestirle con cura e diligenza.

(3) Come pensi che Barbara dovrebbe conservare i suoi backup?*

Su una chiavetta USB condivisaSu un’unità disco separata e condivisaNessuno dei due è un buon modo per archiviare i backupEntrambi sono buoni modi per archiviare i backup

NOTA BENE: Che si tratti di una chiavetta USB, di un’unità separata o di un computer separato, l’accesso ai backup dei dati dovrebbe essere limitato in modo che non siano collegati permanentemente al dispositivo e non siano accessibili al personale che non ha bisogno dell’accesso.

Il ransomware (e altri malware) possono spesso spostarsi automaticamente nella memoria collegata. Ciò significherebbe che il backup verrebbe quindi infettato e rimarrai senza backup da recuperare.

Falla facile!

Il backup dei dati non è una cosa molto interessante da fare e, proprio come Barbara, probabilmente sei molto impegnato con altre cose da fare che ritieni abbiano la priorità. Ma ci sono un paio di passaggi che puoi fare per renderlo più facile.

Fermati e pensa …

Pensa a quali dati sono essenziali per mantenere funzionante la tua organizzazione. Dati cliente, preventivi, ordini e dettagli di pagamento. Ora immagina per quanto tempo saresti in grado di operare senza di loro.

Seguendo i passaggi descritti in questa sezione del corso, puoi ora proteggere la tua organizzazione dall’impatto di qualsiasi incidente disponendo di backup che consentono all’organizzazione di funzionare e prevenire attacchi di ricatto o ransomware.

Seconda area chiave: proteggersi dai malware

Cosa succede stasera?
Il Bistrot si sta preparando per una grande festa stasera! È una festa di circa 40 persone di un’azienda locale – stanno affittando il Bistrot per l’intera serata. Stiamo fornendo il cibo, le bevande, la musica e un po’ di karaoke – è dovrebbe essere una bella serata per il Bistrot!

Il malware ha bloccato la festa

Quando Barbara e il suo team hanno cercato di impostare il karaoke per la notte utilizzando un’app che un membro dello staff ha trovato online, il laptop che stavano usando si è bloccato e non riescono a farlo funzionare di nuovo.

In qualche modo, il laptop è stato infettato da malware.

(1) Quale dei seguenti fattori pensi che faccia entrare il malware?*

L’app karaoke è stata scaricata da una fonte sconosciutaLa playlist musicale era pubblica, quindi chiunque poteva aggiungere braniTroppe persone erano collegate alla rete Wi-Fi del Bistrot

NOTA BENE: La fonte più probabile del malware qui è l’app karaoke che è stata scaricata da una fonte sconosciuta. Barbara avrebbe dovuto impedire al suo staff di scaricare app di terze parti da fornitori e fonti sconosciuti.

Idealmente, dovrebbe essere sempre utilizzata una fonte nota, come un app store ufficiale come Google Play o Apple App store. Le app su questi negozi devono soddisfare determinati requisiti, tra cui consentire solo determinate autorizzazioni e rispettare le leggi locali. Evita sempre di scaricare app di terze parti da fornitori o fonti sconosciute.

Una sbirciatina…

Claudio ha lavorato su alcune idee a casa: ha chiesto a Barbara se può usare la chiavetta USB del Bistrot per portarle dentro in modo che possa dare un’occhiata.

(2) Pensi che Barbara dovrebbe lasciare che Claudio usi la chiavetta USB del Bistrot?*

Si'No

NOTA BENE: Potrebbe essere allettante utilizzare unità USB condivise o schede di memoria per trasferire i file, ma basta una sola persona per collegare inavvertitamente una chiavetta infetta (come un’unità USB contenente malware) per devastare l’intera organizzazione.

Barbara dovrebbe suggerire di utilizzare una chiavetta USB pulita a cui solo loro hanno accesso, altrimenti Claudio potrebbe inviare file tramite e-mail o cloud storage.

Qualche consiglio

Quando le unità di memoria e le schede vengono condivise apertamente, diventa difficile tenere traccia di ciò che contengono, dove sono state e chi le ha utilizzate. Per ridurre la probabilità di infezione ed evitare che l’organizzazione venga esposta a rischi inutili, attenersi alla seguente procedura:

Consenti l’utilizzo di unità e schede di memoria approvate solo all’interno della tua organizzazione e da nessun’altra parte. Chiedi al personale di trasferire i file utilizzando mezzi alternativi, ad esempio tramite e-mail o archiviazione su cloud, anziché tramite USB e assicurati di utilizzare strumenti antivirus

Fermati e pensa …

Il software dannoso, o “malware”, può essere estremamente dannoso per la tua organizzazione. Le forme più comuni di malware sono i virus, che sono programmi auto-copianti che infettano il software legittimo.

Puoi aiutare a impedire che il malware danneggi la tua organizzazione seguendo i passaggi descritti in questo capitolo.

Terza area chiave: creare password sicure

“Claudio ha inviato le sue idee per il menu del Bistrot, e sono fantastiche! Gli ho chiesto di partecipare a tempo pieno e assumere l’iniziativa di re-branding del Bistrot. Per farlo crescere, ho deciso lui con il suo tablet su cui lavorare e avrà bisogno del suo account di posta elettronica.”

Una password del dispositivo

Claudio deve impostare una password di blocco schermo, un PIN o un altro metodo di autenticazione (come l’impronta digitale o il riconoscimento facciale). Se opta per il riconoscimento facciale o un’impronta digitale, utilizzerà la sua password meno spesso, quindi dovrebbe considerare qualcosa di lungo e difficile da indovinare.

Uno degli errori più comuni è non modificare la password predefinita del produttore per un dispositivo. Barbara avrebbe dovuto convincere Claudio a impostare una nuova password la prima volta che utilizzava il suo dispositivo.

Scelta di una password

Claudio deve creare il proprio account e-mail di lavoro e impostare una password. Fatica a ricordare molte password diverse, quindi sta pianificando di utilizzare una leggera variazione di quella che ha per il suo account di posta elettronica personale.

(1) Pensi che Claudio dovrebbe usare una leggera variazione della password che ha per il suo account di posta elettronica personale?*

Si'No

NOTA BENE: Non riutilizzare le password o utilizzare lievi variazioni, in particolare per dispositivi o account importanti come e-mail o servizi bancari. Se un hacker dovesse indovinarne uno, non sarebbe troppo difficile indovinare le altre varianti.

Barbara è responsabile delle politiche IT all’interno della sua organizzazione, quindi dovrebbe assicurarsi che al personale vengano fornite informazioni sulla password utilizzabili e di facile comprensione.

(2) Quale consiglio pensi che Barbara dovrebbe dare al suo team per aiutarlo con il sovraccarico di password?*

Attacca dei post-it vicino ai computerSalva le loro password sul loro browserDillo a un amico fidatoNessuno dei tre

NOTA BENE: L’opzione migliore è quella di evitare di lasciar traccia delle password in qualsivoglia documento/dispositivo. Lasciare che il loro browser web ricordi le loro password è pericoloso perchè non ci sono, al momento, accorgimenti di sicurezza tali da scongiurare una lettura delle password memorizzate nei browser. Barbara potrebbe considerare, al limite, di consentire al suo team di utilizzare un gestore di password per archiviare più password a cui si accede da una password principale complessa.

Dal momento che Barbara è responsabile dell’IT, è sua responsabilità fornire al suo personale un modo sicuro per archiviare le password e semplificare la modifica delle password se vengono perse o dimenticate.

Fermati e pensa …

I laptop, desktop, tablet e smartphone della tua organizzazione contengono molti dati importanti di cui hai bisogno per funzionare. È essenziale che questi dati siano accessibili solo alle persone che dovrebbero vederli, non agli utenti non autorizzati.

Seguendo i passaggi in questo argomento e implementando correttamente le password, hai modi gratuiti ed efficaci per impedire agli utenti non autorizzati di accedere ai tuoi dispositivi e proteggere la tua organizzazione.

Quarta area chiave: mantieni il tuo dispositivo al sicuro

“Il Bistrot si sta espandendo per offrire un servizio di catering e oggi incontrerò un potenziale cliente in una caffetteria locale. Ho portato Claudio in modo che possa spiegare alcuni dei suoi nuovi concetti di menu. Questo potrebbe essere davvero un grande opportunità per il Bistrot.”

Manca il tablet di Claudio!

Claudio ha portato il suo nuovo tablet alla riunione per mostrare al potenziale cliente i suoi menu design, ma non riesce a trovarlo. Sicuramente l’ha portato con sé, ma non riesce a ricordare l’ultima volta che l’ha visto.

(1) Quale, pensi che sia, la prima priorità di Barbara per mantenere i propri dati al sicuro?*

Elimina gli account di lavoro di ClaudioBlocca gli account di lavoro di ClaudioAspetta e vedi sesi presenta

NOTA BENE: Non è necessario cancellare immediatamente i suoi account, ma in queste situazioni è importante agire rapidamente. Se è stato perso o rubato, la priorità di Barbara dovrebbe essere quella di proteggere i dati sul tablet.

Fortunatamente, Barbara può proteggere i dati da remoto. Se necessario, la maggior parte dei dispositivi include uno strumento gratuito basato sul Web che puoi utilizzare per bloccare in remoto l’accesso al dispositivo, cancellare da remoto il dispositivo e recuperare un backup di tutti i dati.

La configurazione di questi strumenti sui dispositivi della tua organizzazione può sembrare scoraggiante all’inizio, ma utilizzando il software di gestione dei dispositivi mobili puoi configurare i tuoi dispositivi su una configurazione standard con un solo clic.

Il potere di una password

Fortunatamente, Claudio sapeva di attivare la sua protezione con password durante la configurazione del tablet, quindi nessuno sarebbe stato in grado di entrare nel suo tablet.

Un PIN o una password adeguatamente complessi impediranno l’accesso indesiderato al tuo dispositivo. Molti dispositivi ora sono dotati di blocchi biometrici come impronte digitali o riconoscimento facciale, ma dovresti sempre controllare che questi siano stati accesi.

Fermati e pensa …

La tecnologia mobile è ora una parte essenziale del business moderno, con sempre più dati archiviati su tablet e smartphone.

Questi dispositivi ora sono potenti quanto i computer tradizionali e, poiché vengono utilizzati così spesso in movimento, necessitano di una protezione ancora maggiore. Seguendo i passaggi in questo capitolo, puoi contribuire a proteggere i dispositivi della tua organizzazione.

Quinta area chiave: difendersi dal phishing

“Lei è Alice. È stata la cuoca del Bistrot di Barbara sin dal primo giorno. Non saremmo davvero dove siamo oggi senza di lei! Lavorerà a stretto contatto con Claudio per plasmare il futuro del Bistrot“.

Alice ha ricevuto una stra e-mail

Ha ricevuto un’e-mail da un fornitore che diceva che la fattura precedente non era corretta, con un collegamento alla versione corretta che le chiedeva di dare un’occhiata. Alice pensava che questa email fosse insolita per due motivi: non riconosceva il nome del fornitore e la fatturazione non è sua responsabilità.

(1) Alice pensa che l’e-mail ricevuta sia un’e-mail di phishing, cosa pensi che dovrebbe fare?*

Dai un’occhiata alla nuova fattura per vedere se è correttaContatta Barbara per vedere se pensa che sia tutto ok o menoElimina subito l’e-mail

NOTA BENE: In caso di dubbio, si avverte sempre qualcuno! Se Alice pensa che l’e-mail sia insolita, dovrebbe contattare Barbara, anche se aveva già aperto l’allegato. Avere la sicurezza di chiedere “è OK?” può fare la differenza tra rimanere al sicuro e un costoso incidente.

Se Barbara pensava che l’attacco avesse ottenuto un successo, è importante prendere provvedimenti prima piuttosto che dopo, per ridurre al minimo il potenziale danno. Avrebbe bisogno di eseguire la scansione del malware e modificare le password il prima possibile.

Apportare alcune modifiche

Tutto quello che è successo finora questa settimana ha spinto Barbara a dare un’occhiata ai diritti di accesso degli account del suo team.

(2) Barbara dovrebbe concedere a tutto il suo personale l’accesso a livello di amministratore ai propri dispositivi di lavoro per rendere più agevole il funzionamento del lato IT dell’azienda?*

VeroFalso

NOTA BENE: Gli account del personale devono essere configurati utilizzando il principio del “privilegio minimo”. Ciò significa dare al personale il livello più basso di diritti utente richiesti per svolgere il proprio lavoro. Ciò garantisce che se sono vittime di un attacco di phishing, il potenziale danno si riduce.

Resta al passo con gli hacker

Gli hacker provano sempre diversi metodi di attacco, quindi vale la pena tenere il passo con le tecniche che usano per rimanere un passo avanti. Prendi in considerazione la possibilità di iscriverti al servizio gratuito Action Fraud Alert per informazioni dirette, verificate e accurate su truffe e frodi nella tua zona.

Cosa puoi fare ora?

Considera i modi in cui qualcuno potrebbe prendere di mira la tua organizzazione. Pensa alle tue pratiche abituali e a come puoi ridurre le probabilità che le truffe abbiano successo. Ecco quattro cose chiave che puoi fare:

Verifica che il tuo personale sappia cosa fare con richieste insolite e dove ottenere aiuto
Considera come puoi incoraggiare e supportare il tuo personale a mettere in discussione richieste sospette o insolite
Assicurati di comprendere le tue normali relazioni d’affari, in modo da poter individuare qualsiasi cosa irregolare
Verifica la resilienza della tua organizzazione agli attacchi di phishing eseguendo esercizi di sicurezza informatica

Crea una cultura di sostegno reciproco

Il personale dovrebbe essere incoraggiato a chiedere aiuto se pensa di essere stato vittima di phishing o a segnalare e-mail sospette al proprio responsabile della sicurezza. Non dovrebbero sentirsi puniti, poiché scoraggia le persone dal segnalare in futuro o potrebbe significare che si preoccupano eccessivamente di ogni e-mail che ricevono. Entrambe queste cose causano più danni alla tua organizzazione a lungo termine.

Fermati e pensa …

Le e-mail di phishing stanno diventando sempre più difficili da individuare e alcune supereranno anche gli utenti più attenti. Indipendentemente dalle dimensioni della tua organizzazione, a un certo punto riceverai attacchi di phishing. Seguendo i passaggi in questo argomento, puoi contribuire a proteggere la tua organizzazione.

Ora puoi scaricare il tuo
Certificato di Partecipazione!

(1) Inviaci un’email con: nome AZIENDA, NOME e COGNOME

(2) Inseriremo i tuoi dati nel certificato e te lo invieremo in formato PDF via email

Nominativo*

NomeCognome

Azienda

Ragione socialeTipologia (es. Srl, ditta individuale, SpA, SA, Snc, ecc.)

E-mail*

esempio@esempio.com