Una checklist per la sicurezza informatica.
L’Agenzia Europea per la sicurezza informatica e l’NCSA, l’Alleanza per la sicurezza nazionale americana (organizzazione U.S.A. che promuove sicurezza informatica, educazione e consapevolezza privacy), forniscono alle piccole e medie imprese una utile checklist per affrontare i rischi che l’odierno business mondiale, altamente tecnologicizzato e iperconnesso, comporta.
Quattro le “aree di sfida” maggiormente significative:
- insufficiente consapevolezza dello spazio digitale in cui avvengono le interazioni che si realizzano attraverso le reti,
- carenze di sicurezza degli apparati di connessione,
- costi elevati di adeguate soluzioni,
- crescita dei fenomeni di attacchi “malevoli”, come il phishing.
L’Agenzia, al fine dare maggiore sicurezza agli imprenditori, rendere le informazioni più sicure e formare i dipendenti, individua sette aree di possibile intervento “minimale”.
- Creare un approccio mentale basato su quattro principi fondamentali:
- Password robuste,
- Antivirus,
- Aggiornamenti automatici,
- Backup.
- Istruire e formare i dipendenti e i collaboratori su procedure di “igiene informatica” di base:
- Non lasciare incustoditi e non “bloccati” ad usi di terzi gli strumenti quando non utilizzati,
- Non collegare device esterni ai propri apparecchi, come chiavette USB o dischi esterni,
- Conservare accuratamente le password aziendali
- Non aprire email “urgenti” da sconosciuti,
- Verificare sempre i link prima di collegarvisi,
- eseguire backup periodici,
- installare programmi antispam, anti-spyware e anti-virus e tenerli aggiornati,
- utilizzare, per i collegamenti web, il proprio hot-spot e non collegarsi a reti wi-fi pubbliche.
- Predisporre e rinforzare se del caso una “policy IT”, una procedura che, esaminati gli asset aziendali in termini di strumenti e collegamenti, interni ed esterni per avere il pieno controllo degli strumenti e dei sistemi utilizzati, stabilisca una serie di regole da osservare, con la possibile e auspicabile supervisione di un soggetto in grado di verificarne l’effettiva osservanza. Questa possibile tipologia di policy, o procedura, dovrebbe includere delle domande cui ciascun dipendente o collaboratore dovrebbe essere in grado di rispondere, come ad esempio:
- posso accedere ai sistemi informatici e informativi aziendali da casa?
- posso accedere alle email di lavoro con il mio cellulare? Se sì, con quali requisiti o precauzioni?
- posso utilizzare software o programmi che non sono stati autorizzati dal dipartimento o dal tecnico IT sul mio computer?
- posso caricare sul cloud pubblico documenti aziendali? Se sì, devo invitare i colleghi a collaborare o devo condividere tali documenti mediante invio di un apposito link?
- posso utilizzare un wi-fi pubblico in un albergo, in stazione, in aeroporto? Posso accedere alle mie email di lavoro tramite un free wi-fi?
- posso usare un programma di gestione delle password?
- Prevedere regolari procedure di backup e relativi aggiornamenti. E’ importante predisporre un programma di periodico e automatico aggiornamento dei backup, sia per i server, sia per le postazioni locali, sia per gli smartphone.
- Organizzare e predisporre accessi da remoto sicuri. Nel caso in cui non si lavori direttamente accedendo a risorse in cloud ma mediante propri server locali, con un proprio sistema ICT, assicurarsi che l’accesso a tali risorse avvenga in modo sicuro. Questo può essere fatto mediante connessioni sicure come le reti VPN, comunicazioni crittografate, rinforzando password e credenziali di accesso, predisponendo sistemi di autenticazione a più fattori e, circostanza importante, fornendo a collaboratori e dipendenti formazione, consulenza e aiuto.
- Creare e utilizzare spazi di incontro (web meeting) sicuri. Consentire il contatto e il collegamento tra lavoratori mediante chat, audio e video sistemi, anche di condivisione degli schermi, in modo sicuro, ricordando e chiedendo loro di applicare regole come:
- utilizzare sempre password di protezione per tutti gli incontri e le riunioni,
- mantenere segreti e non divulgare pubblicamente né password né link alle riunioni,
- assicurarsi, durante le video call, che lo sfondo e il background delle riprese non rivelino informazioni personali o altri dati di lavoro.
- Predisporre un piano per individuare e reagire ad eventuali incidenti: prepararsi all’eventualità di un “cyber” incidente o, anche di un “data breach” è non solo una necessità normativa ma anche una pratica di buon senso. Eventuali esercitazioni non potranno che aumentare capacità, consapevolezza e prontezza di reazione da parte di tutti.
Il documento, in lingua inglese: Transatlantic Cybersecurity Checklist Nov_2020.