Cyber Hygiene, tutti gli errori da non commettere

Categorie: Cyber Security
15 Luglio 2021

Regole, metodo e costanza sono le parole che stanno alla base della Cyber Hygiene, la pratica che sta assumendo sempre più importanza nelle strategie aziendali volte a limitare i rischi per la sicurezza IT. Come si può intuire dal nome, la Cyber Hygiene non è però una tecnologia da adottare per contrastare le minacce quanto, invece, una sorta di codice di comportamento da tenere affinché gli attacchi dei criminali informatici non trovino terreno fertile e quindi i loro attacchi non vadano a buon fine. Ecco, quindi, alcuni consigli per evitare di commettere quegli errori o quelle imprudenze che più di frequente spalancano le porte dell’aziendali a chi intende compiere azioni fraudolente. 

Cyber Hygiene e awareness limitata  

La mancanza di consapevolezza e di un’adeguata formazione è spesso il motivo che permette agli attacchi di avere successo (nell’85% dei casi è il fattore umano a consentire all’attacco di raggiungere l’obiettivo). La formazione e la responsabilizzazione di tutti i dipendenti, indipendentemente dal ruolo, è un passaggio obbligato, non sottovalutatelo. È fondamentale non evitare di formare i dipendenti, argomentando che questi percorsi rappresentano un costo: quanto costerebbe riprendersi da un attacco che ha causato un danno economico e anche di immagine? 

È necessario aiutare i dipendenti ad approfondire la conoscenza della sicurezza IT e a capire che non è solo un problema dell’azienda ma anche, e soprattutto, di tutto quelli che vi lavorano. 

L’anti-malware non c’è o non è aggiornato 

Il 36% dei data breach è ottenuto tramite e-mail di phishing. E dato che molti attacchi di phishing comportano l’installazione di malware sul computer di un dipendente quando questo clicca su un link, è essenziale avere un software anti-malware installato su tutti i dispositivi, compresi i server di rete. Non avere tale software, o non averlo aggiornato, riduce notevolmente il livello di sicurezza IT. Prova ne è che gli attacchi di phishing prendono spesso di mira le piccole imprese proprio perché sono solitamente prive di una vera divisione IT e quindi usano software obsoleti e mai aggiornati

Manca il backup 

La mancanza di un regolare backup di tutti i dati, sia di quelli nel cloud sia di quelli locali, è altamente pericoloso. Le aziende, vittima dei ransomware, scoprono quanto salato può essere il conto da pagare per non avere una recente copia di sicurezza dei dati. Va da sé poi che i sistemi di backup non andrebbero attivati e poi abbandonati, ma verificati periodicamente per controllarne l’affidabilità. 

Credenziali inesistenti 

I dati sono importanti, ma non è necessario che tutti i dipendenti accedano a tutte le informazioni della vostra azienda. Non avere una regola (e, se la si ha, non farla rispettare), che stabilisce chiaramente chi può utilizzare le informazioni e quando, può creare seri rischi ai dati, da quelli finanziari alle anagrafiche clienti, dalle strategie aziendali alla logistica. Tre le buone pratiche della Cyber Hygiene c’è la definizione di queste regole.  

Governance approssimativa 

Con le normative in atto, sempre più spesso i clienti chiedono come sono gestite le informazioni confidenziali che li riguardano, dove sono conservate e cosa succederebbe se ci fosse una violazione. A fronte di ciò, è indispensabile avere una documentazione che mostri chiaramente le policy di sicurezza IT. Non averla, e quindi non poterla condividere con i clienti se richiesto, è sinonimo di una governance approssimativa. 

Poca attenzione alle password  

Ancora oggi la maggioranza delle violazioni dei dati è causata da password perse, rubate o troppo deboli. Per non parlare poi di come il BYOD, esploso lo scorso anno con l’adozione massiccia dello smart working, possa facilmente spalancare le porte dei dati aziendali ai criminali informatici. È essenziale che tutti i dispositivi che accedono alla rete dell’azienda siano protetti da password forti. Bisogna perciò chiedere ai dipendenti di impostare gli aggiornamenti automatici della sicurezza e applicare la politica aziendale sulle password a tutti i dispositivi mobili che si collegano al network aziendale. Allo stesso modo, non va mai usata una password di lavoro per scopi personali, per esempio per accedere a Facebook, LinkedIn o altri social media. 

Tra le best practice della Cyber Hygiene, per rendere ancora più sicuro l’accesso, in diverse situazioni può essere impiegata l’autenticazione a due fattori. In questo senso, si può usare il numero di cellulare come seconda forma di autenticazione: è infatti improbabile che chi riesce a rubare la password di un account conosca anche il numero di telefono dell’intestatario di tale account. 

Non è stata fatta l’assicurazione 

Spesso ci si scorda di attivare un’assicurazione per “proteggere” l’azienda da danni che possono sorgere a causa della sicurezza IT. È vero che l’assicurazione non riguarda direttamente la Cyber Hygiene, tuttavia può risultare estremamente utile nel caso sia violato il sistema di sicurezza IT. Può infatti permettere di coprire il costo della rappresentanza legale, i possibili danni relativi a una violazione della rete e le spese dovute al ripristino o al recupero dei dati a fronte di un ransomware, un attacco di denial of service o di un altro tipo di minaccia. 

Regole, metodo e costanza sono le parole che stanno alla base della Cyber Hygiene, la pratica che sta assumendo sempre più importanza nelle strategie aziendali volte a limitare i rischi per la sicurezza IT. Come si può intuire dal nome, la Cyber Hygiene non è però una tecnologia da adottare per contrastare le minacce quanto, invece, una sorta di codice di comportamento da tenere affinché gli attacchi dei criminali informatici non trovino terreno fertile e quindi i loro attacchi non vadano a buon fine. Ecco, quindi, alcuni consigli per evitare di commettere quegli errori o quelle imprudenze che più di frequente spalancano le porte dell’aziendali a chi intende compiere azioni fraudolente.