Formazione del personale

Immagine di un papà che disegna con la figliaLa prima difesa

Gli impiegati sono la prima e principale linea di difesa contro molti tipi di attacchi. Non serve trasformarli in esperti di sicurezza, ma devono almeno conoscere ed evitare gli attacchi più comuni. E' sufficiente una sola ora di formazione all'anno per impartire gli insegnamenti sufficienti ad ridurre la probabilità di costosi incidenti. Naturalmente anche il personale tecnico deve avere basi di sicurezza molto solide, ma non vengono trattate in questo sede.

Trasparenza

Più gli impiegati sono sinceri verso il supporto tecnico, più la sicurezza informatica è efficace. Se un impiegato viene rimproverato dopo avere commesso un incidente di sicurezza, in futuro proverà a risolverlo da solo (di solito fallendo miseramente e aumentandone esponenzialmente il rischio); se viene costretto a memorizzare molte password complicate senza aiuto, prima o poi la scriverà da qualche parte; se lascia intendere di conoscere la sicurezza per paura di perdere il posto, non verrà istruito e prima o poi causerà un incidente.

La direzione si dovrebbe assicurare da un lato che gli impiegati vengano istruiti e si sentano liberi di comunicare i problemi di sicurezza senza subire ritorsioni; dall'altro che le misure di sicurezza tengano conto anche del benessere degli impiegati, così da risultare tollerabili e da non venire aggirate. In questo modo gli impiegati resteranno produttivi e saranno anche un alleato prezioso nella difesa dell'azienda.

Dispositivi personali

I dispositivi informatici personali sono soggetti a rischi tanto quanto quelli aziendali, ma sono meno protetti. Quando vengono usati per lavoro rischiano di contagiare l'azienda, facendo danni che vanno ben oltre il valore del dispositivo stesso. I dispositivi personali usati anche per lavoro devono quindi:

  • Essere aggiornati automaticamente (guardare nelle impostazioni di sistema: l'ultimo aggiornamento dovrebbe essere avvenuto negli ultimi due mesi)
  • Non essere collegati a reti aziendali, ad eccezione di quella riservata agli ospiti
  • Essere protetti automaticamente con il blocco dello schermo, per evitare accessi non autorizzati in caso di perdita o furto
  • Non essere mai prestati a terzi, incluse persone di fiducia che potrebbero causare danni in buona fede

Chiavette USB

Assieme agli allegati di posta elettronica, le chiavette USB rappresentano il canale di infezione più comune dei computer aziendali, al punto che alcune aziende ne vietano addirittura l'uso. Le regole per evitare danni sono comunque semplici: usare solo chiavette acquistate tramite il proprio fornitore ufficiale, usarle solo su computer di lavoro e solo per trasferire documenti di lavoro (non per trasferire programmi). Eventuali eccezioni a queste regole vanno concordate in anticipo con il proprio supporto informatico interno, che in caso di divieti deve fornire alternative funzionanti e sufficientemente semplici.

Phishing

La parola "phishing" indica quelle comunicazioni che hanno lo scopo di raggirare il destinatario. L'obbiettivo del phishing può essere rubare, ottenere informazioni, installare virus o in generale convincere la vittima a fare qualcosa che altrimenti non avrebbe fatto. Il phishing può arrivare tramite qualsiasi canale di comunicazione: non solo email ma anche fax, telefono (per esempio spacciandosi per il supporto tecnico) e social network o instant messaging.

Per difendersi dal phishing basta fare tre cose:

  • Il supporto tecnico dovrebbe mettere in campo apposite difese automatiche (per esempio filtri per la posta, disabilitare le macro di Office, ridurre i privilegi eccetera)
  • Gli impiegati dovrebbero imparare a riconoscerlo: conosco il mittente? l'indirizzo email mittente corrisponde a quello che ho in rubrica? Mi sta chiedendo di fare qualcosa fuori dall'ordinario? Mi sta mettendo sotto pressione?
  • L'amministrazione dovrebbe stabilire regole precise per quelle funzioni che vuole proteggere maggiormente. Per esempio può stabilire che i pagamenti possono venire eseguiti solo dopo determinate verifiche o autorizzazioni; può stabilire che certe informazioni si possono comunicare al telefono solo dopo avere richiamato il richiedente ad un certo numero; eccetera.

Cloud

I servizi offerti tramite Internet sono molto comodi, ma anch'essi nascondono dei pericoli. In fondo sono semplicemente computer posseduti da qualcun altro. Prima di usare un servizio di Internet gli impiegati dovrebbero consultarsi con il supporto tecnico, che in caso di divieto deve fornire una valida alternativa. Tutto quello che viene memorizzato esternamente è soggetto a danneggiamento, furti e indisponibilità più o meno intenzionali (molti servizi gratuiti sono un caso di furto di informazioni personali autorizzato dall'utente). Il cloud va quindi usato solo dopo che la direzione ha stabilito il livello di sicurezza richiesto per le informazioni e dopo che il reparto tecnico ha verificato che il servizio cloud in questione è sufficientemente sicuro.

Incidenti

Il personale generico dell'azienda non dovrebbe gestire gli incidenti di sicurezza. Incidenti piccoli gestiti male possono velocemente trasformarsi in incidenti grossi. E' quindi consigliabile che la situazione sia gestita subito da una persona competente che tutti gli impiegati sanno contattare (direttamente o indirettamente). Questa persona può essere un impiegato appositamente istruito, il proprio fornitore di servizi informatici o meglio ancora un professionista della sicurezza.