I consigli Paessler per aumentare la comprensione dei dipendenti sulla sicurezza informatica
Nella maggior parte dei casi, la corretta valutazione dellโimportanza della sicurezza IT in azienda รจ basata sulla consapevolezza.ย Paessler,ย azienda specializzata nel monitoraggio e nella gestione delle infrastrutture di rete, propone una serie di raccomandazioni sul modo migliore per sensibilizzare i dipendenti sulla sicurezza IT.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Creare consapevolezza
Le aziende devono spiegare ai dipendenti le ragioni di determinate misure e le conseguenze che possono derivare dalla mancata osservanza. Quando la persona comprende che anche il suo stesso lavoro puรฒ essere messo a rischio da un cyberattacco โ ad esempio a causa del danno economico โ il rischio assume contorni piรน concreti. Lo sviluppo della consapevolezza nei dipendenti richiede formazione continua. Solo in questo modo, il tema della sicurezza IT puรฒ essere efficacemente agganciato a ogni loro pensiero e azione
Linee guida chiare e informazioni trasparenti
Per spiegare la sicurezza IT al personale pur in presenza di risorse economiche limitate, le aziende devono creare linee guida di facile comprensione che diano ai dipendenti un orientamento generale, fare firmare a ogni nuovo assunto un impegno alla riservatezza e introdurre nuove misure di sicurezza attraverso misure di controllo integrate nei processi. Il principio importante qui รจ: โPiรน รจ semplice, meglio รจโ.
Attenzione allโuso dei social media
Il management e i responsabili IT dovrebbero invitare il personale a non condividere โ o a farlo con la massima cautela โ informazioni professionali e contenuti legati al proprio lavoro sui social media. Tra queste, anche i contatti dei colleghi. I cybercriminali infatti usano queste conoscenze per tentare di accedere alla rete aziendale. Pertanto, occorre sempre controllare lโidentitร di uno sconosciuto prima di aderire a una richiesta di collegamento. Ciรฒ vale in particolare per le persone tra i 45 e 54 anni che in genere occupano una posizione elevata proprio in virtรน della loro etร e sono pertanto gli obiettivi preferiti dei criminali. Oggi solo il 29% di costoro controlla chi cโรจ dietro una richiesta di contatto via social.
Attenzione a rilasciare informazioni confidenziali in pubblico
Intermezzo promozionale ... continua la lettura dopo il box:
I dipendenti devono essere consapevoli del fatto che le regole della comunicazione pubblica sono diverse da quelle che valgono dietro la porta dei loro uffici. Pertanto, รจ necessario istruire il personale a non diffondere in pubblico informazioni interne. Le telefonate di lavoro in luoghi pubblici, sul treno o in aereo dovrebbero essere limitate allโessenziale. In questi casi, รจ consigliabile richiamare in un secondo tempo o chiarire questioni urgenti per email. I filtri privacy da apporre sugli schermi dei notebook sono una buona misura preventiva contro gli sguardi di vicini troppo curiosi.
Formazione periodica
Se i dipendenti non sono attenti e consapevoli dei rischi per le aziende รจ impossibile realizzare una vera protezione delle informazioni. Anche un clic sbadato su un allegato inviato da uno sconosciuto, o un appunto lasciato sulla scrivania con i dati di accesso al pc sono punti di ingresso molto comuni. Anche uno sconosciuto allโinterno di un edificio puรฒ rappresentare un rischio se puรฒ accedere ad aree sensibili senza essere sottoposto a controlli di sicurezza. ย Per questo motivo, corsi di formazione periodici e obbligatori sono estremamente importanti. Bisogna valutare il livello di conoscenza dei singoli dipendenti ed, eventualmente, fare ricorso a consulenti esterni.
Complessitร della password e autenticazione a due fattori
Un requisito fondamentale per la protezione dei dati sensibili รจ la restrizione degli accessi. La variante piรน semplice รจ la protezione con password. Piรน sono sensibili le risorse da proteggere, piรน stringenti devono essere i requisiti delle password. Per soddisfare i requisiti massimi una password dovrebbe consistere di almeno 8 caratteri. Piรน lunga รจ la password piรน difficile รจ violarla. Oltre a lettere e numeri, รจ raccomandabile lโuso di caratteri speciali e lโalternanza di maiuscole e minuscole. Bisogna evitare di usare nomi propri o parole reali che sono facili da indovinare e sono sempre il primo tentativo in un attacco serio. Anche le sequenze di caratteri vicini sulla tastiera come โqwertyโ o โasdfghโ non offrono alcuna sicurezza. Oltre allโuso di password complesse, i sistemi IT piรน sensibili dovrebbero essere protetti mediante lโautenticazione a due fattori.
Il principio dei privilegi minimi
Quando si tratta di accesso ai dati il sistema piรน sicuro e affidabile รจ negare di default tutti gli accessi, consentendoli quando necessario caso per caso. In questo modo, tutti gli utenti avranno solamente i privilegi necessari che consentiranno loro di accedere ai dati indispensabili per svolgere il loro lavoro. Sarร cosรฌ possibile prevenire fughe accidentali e la cancellazione di dati da parte di utenti che non hanno necessitร di lavorare su quelle informazioni.
Il principio dellโapprovazione multipla
In particolare, quando si accede a dati molto sensibili รจ importante porre unโattenzione ancora maggiore sulle misure di controllo interne, integrandole direttamente nei processi di business. In altre parole, lโaccesso ai sistemi e dati importanti dovrebbe sempre essere approvato almeno da unโaltra persona e possibilmente anche dalla divisione coinvolta. Ad esempio, il principio del doppio controllo nelle procedure di rilascio di un programma o nella gestione dei pagamenti puรฒ permettere di individuare gli errori giร nelle fasi iniziali.
Social engineering
Per fornire misure tecniche contro il social engineering, in aggiunta alla consapevolezza degli utenti sono necessari anche metodi piรน complessi. Una possibilitร รจ la firma digitale delle mail. La validitร del mittente รจ verificata crittograficamente e questa validazione viene eseguita, ad esempio, da una speciale soluzione per le mail sicure.
Monitoraggio universale
Una protezione IT integrata deve comprendere soluzioni innovative di monitoraggio e riconoscimento delle intrusioni. In tempi di accesso controllato allโIT, la quantitร di dati di login cresce rapidamente. A livello tecnico, i sistemi AIM (Identity and Access Management) e SIEM (Security Information and Event Management) supportano il monitoraggio e possono essere usati per controllare le autorizzazioni dei dipendenti e monitorare ininterrottamente i sistemi. Con questi sistemi, inoltre, รจ possibile identificare molto piรน rapidamente le irregolaritร e lanciare gli allarmi.
Conclusioni
Gli amministratori IT e i responsabili della sicurezza camminano sempre su una corda. Da un lato, gli utenti devono godere della massima flessibilitร nelle loro attivitร quotidiane, dallโaltro, bisogna focalizzarsi su una sicurezza ideale e completa. Trovare un equilibrio tra questi due fattori รจ forse una delle sfide piรน importanti per gli amministratori IT.
Fonte : http://www.datamanager.it/2018/12/10-metodi-per-sensibilizzare-i-dipendenti-sulla-sicurezza-it/
