10 suggerimenti essenziali
Transcript
10 suggerimenti essenziali
Securing Your Web World 10 suggerimenti essenziali p e r p rote g g e re la vostra piccola impresa Proteggere la vostra azienda dalle minacce Web più recenti è diventato un compito incredibilmente complicato. Le conseguenze degli attacchi esterni, delle violazioni della sicurezza interna e degli abusi legati a Internet hanno fatto balzare la sicurezza in cima alle esigenze delle piccole imprese. Cose c’è da sapere allora sulla sicurezza e quali sono gli elementi chiave di cui tenere conto? Trend Micro fa chiarezza su questo spinoso argomento. Trend Micro Securing your Web World 1 CHIUDETE LE PORTE ALLE MINACCE INFORMATICHE Così come non potreste mai dimenticare di chiudere a chiave la porta di casa la notte, non invitereste mai dei criminali informatici nella vostra azienda. Tuttavia, omettendo di proteggere i vostri computer, ad esempio non dotandovi di firewall e software antivirus idonei, fate proprio questo. Anzi, NACHA, l’associazione per i pagamenti elettronici, ha recentemente diffuso un avviso sugli incrementi degli attacchi alle piccole imprese. Secondo quanto ha riferito ComputerWorld, “L’avviso di NACHA affermava che apparentemente i criminali informatici prendono di mira le piccole imprese per la loro relativa mancanza di procedure di autenticazione avanzata, di controlli delle transazioni e di funzionalità di documentazione con “red flag”. In alcuni casi, continuava l’avviso, gli aggressori inducono i dipendenti delle piccole imprese a visitare siti di phishing che hanno esattamente lo stesso aspetto dell’istituto finanziario dell’azienda, al quale accederebbero con le proprie credenziali.” Le minacce informatiche non sono altro che software dannoso progettato per infiltrarsi in PC o in una rete, o per danneggiarli, all’insaputa o senza il consenso dell’utente. • A pplicate il firewall. Un buon router Internet è dotato di un firewall incorporato (quindi non dimenticate di attivarlo), ma con la complessità delle minacce informatiche di oggi, non è sufficiente. • P roteggete il PC. Il miglior software di sicurezza va oltre la protezione standard e risiede sul computer senza danneggiare le prestazioni di PC, laptop o rete. La migliore protezione comprende furto d’identità, siti Web rischiosi e attacchi degli hacker in un’unica soluzione. • V edere per proteggere. Scegliete una soluzione che vi aiuti a tenere traccia degli utenti mobili e di tutti i vostri PC e server su un’unica console. • F acilitate la vita agli utenti mobili. Una buona sicurezza è dotata di Location Awareness. Questa funzionalità modifica automaticamente le impostazioni di sicurezza sul laptop configurando il miglior livello di protezione per i dipendenti che si spostano dentro e fuori sede. • P ulizia e-mail. Le soluzioni anti-spam riducono i messaggi e-mail indesiderati, bloccano i rischi e le distrazioni per i dipendenti. Interrompete l’elaborazione dello spam bloccandolo prima che raggiunga la vostra azienda. 2 STILATE I VOSTRI CRITERI Pensate che la vostra azienda sia troppo piccola per interessare i pirati informatici? Forse non è proprio così. Le dimensioni contano davvero poco quando si tratta di criminalità o frodi online e le piccole imprese sono un bersaglio facile a causa delle limitate risorse informatiche. È quindi importante che la vostra azienda prenda la sicurezza molto sul serio: insegnate e ripetete ai dipendenti i requisiti di sicurezza. Scriveteli. Comunicateli. Applicateli. I vostri criteri devono includere, tra le altre cose: • A ttivazione e disattivazione della condivisione. Quali sono le applicazioni che è possibile caricare sui computer di un’azienda e quali sono quelle vietate? • Richiedete password complesse. Consultate il suggerimento 4 per le password. • Applicate le conseguenze. Che cosa succede quando i criteri non vengono applicati? Siate pronti a dare seguito alle vostre parole. • Utilizzateli. Ma senza abusarne. Qual è l’uso corretto di un computer fornito dall’azienda? Il riferimento è anche all’uso di Internet. • Istruite sull’uso dell’e-mail. Sono incluse le comunicazioni interne ed esterne oltre a ciò che può o non può essere aperto o inoltrato. • Crittografato o in chiaro. Decidete se una soluzione di crittografia e-mail per la protezione dei dati sensibili è necessaria e quando lo è. • N ominate un referente. Chi è la persona a cui possono rivolgersi i dipendenti con domande sui criteri o sulla sicurezza informatica in generale? 3 AFFRONTATE I SOCIAL MEDIA PRIMA CHE VI FACCIANO INCIAMPARE I social media sono tra noi e non se ne andranno, quindi fornite ai vostri dipendenti best practice e linee guida. Di seguito sono riportati alcuni metodi per ridurre al minimo i rischi nei social network: • A ttenzione a chi parla. Decidete chi può parlare a nome dell’azienda e consentite soltanto ai dipendenti designati di scrivere in merito ad eventi interni ed esterni. • S tabilite quali sono le informazioni riservate. Nei vostri criteri di protezione, includete i siti dei social media quali Facebook, Twitter, LinkedIn e altri nel vostro contratto di non divulgazione per le informazioni aziendali riservate. Trend Micro Securing your Web World • F ornite linee guida e un forum per svilupparle. Il mantenimento di blog e la pubblicazione di contenuti per l’azienda dovrebbe seguire linee guida che specifichino quali informazioni sono corrette e chi le può pubblicare. Le linee guida devono andare oltre la sicurezza: - Il blogger deve identificarsi come dipendente/collaboratore della vostra azienda. In caso contrario si viene respinti. - Definite il tono del blog. - Proteggete le informazioni e l’amor proprio dei clienti. Ricordate ai clienti di non condividere informazioni personali in un messaggio pubblicato e indicate loro a chi rivolgersi per richiedere assistenza sulle informazioni riservate. - Decidete quando le informazioni di supporto devono essere diffuse sui social media. - Assicuratevi il supporto della dirigenza/del titolare affinché sia possibile adottare rapidamente le linee guida tenendo presente le esigenze aziendali. - Utilizzate risorse come BlogWell (www.blogwell.com) per sviluppare le linee guida e approfondire la conoscenza dei social media. • La socialità non è niente senza l’intelligenza. - Pubblicate soltanto informazioni che giudicate possano essere diffuse pubblicamente, in base agli obiettivi che ci si pone. - Preparatevi al peggio per ottenere i risultati migliori. Spingete i dipendenti a limitare la quantità di dati personali che condividono online, per la loro sicurezza e per quella dell’azienda. - Aggiungete all’elenco dei contatti soltanto le persone di cui vi fidate. - Evitate di cliccare su collegamenti inaspettati che provengono da chi non conoscete. - Non fidatevi mai completamente di chi non conoscete bene. 4 PROTEGGETE TRAMITE PASSWORD Che ci piaccia o no, le password sono fondamentali per la maggior parte delle piccole reti aziendali e sono quindi importanti per proteggere l’accesso alle vostre reti. Non dovete essere un genio della statistica per sapere che più lunga e ricca di caratteri è una password e più sarà inattaccabile. • P er cominciare, complessità. Richiedete password complesse contenenti almeno 8 caratteri con numeri incorporati, per impedire gli attacchi più semplici che indovinano le password. • È ora di cambiare. Inserite una scadenza alle vecchie password e richiedete cambi frequenti delle password. • T enetele al sicuro. Istruite i dipendenti sul perché scrivere le password, memorizzarle sui cellulari o utilizzare password facilmente indovinabili mette a rischio la sicurezza aziendale. • L a combinazione. Le password più forti sono quelle che non contengono parole ma soltanto lettere, numeri e caratteri speciali scelti a caso. Scegliete un motivo da digitare sulla tastiera: qWe4%6yUi è molto più forte di goIrish#3. 5 SIATE CRITICI DELLA SICUREZZA INTERNET Internet è uno straordinario facilitatore commerciale. Ma può anche aumentare l’esposizione alle minacce informatiche, specie se la sicurezza implementata non assicura la scansione proattiva dei contenuti per rilevare le minacce informatiche e avvisare l’utente dei potenziali problemi. Scegliete soluzioni di sicurezza che possano consentirvi di sconfiggere le più recenti minacce con meno distrazioni per i vostri dipendenti. • S top ai collegamenti pazzi. Non affidatevi ai dipendenti perché pensino alla sicurezza o limitino il loro accesso alla rete o a Internet. Automatizzate gli aggiornamenti e rendete la sicurezza trasparente ai dipendenti. • M antenete il Web produttivo. Oltre alle linee guida per un uso accettabile del Web, selezionate le soluzioni che impediscono l’uso inaccettabile. Un filtro URL che può limitare l’accesso ai siti improduttivi totalmente o durante l’orario di ufficio e che protegge contro i collegamenti rischiosi vi consentirà di controllare saldamente la vostra azienda, i vostri dipendenti e i vostri dati, evitando che questi ultimi cadano nelle mani dei ladri di identità o di dati. 6 CHIEDETE AIUTO AI DIPENDENTI Abbiamo visto tutti lo scalpore mediatico che generano i casi di perdita di dati di alto profilo, ma lo sapevate che l’80% di tutte le perdite di dati è causato da errori umani, siano essi l’invio a destinatari errati o in modo non sicuro di informazioni riservate o sensibili? • C onformità o morte. Magari non proprio morte, ma le implicazioni della perdita di dati e delle fughe accidentali diventano sempre maggiori con l’ampliarsi delle normative. Istruite quindi i dipendenti sui requisiti normativi e sulle best practice per la protezione delle informazioni. Spiegate chiaramente i rischi che può comportare il non rispettare le regole. Informateli che è compito loro ridurre i rischi vigilando opportunamente. • S piegate ai dipendenti perché sono importanti. Se i singoli dipendenti non eseguono le scansioni, o non inviano i materiali necessari, l’attività aziendale può essere a rischio di minacce informatiche, cause giudiziarie e danni alla reputazione. • L a riservatezza innanzi tutto. Informate i dipendenti su quali sono i tipi di dati riservati e illustrate loro i problemi potenziali che possono insorgere se questi tipi di documenti o file vengono diffusi. Trend Micro Securing your Web World 7 RENDETE EFFICACE LA RELAZIONE DI LAVORO CON IL PARTNER/CONSULENTE Sviluppare una buona relazione con il partner/consulente IT significa che potete sempre contare su un consulente fidato in materia di problemi IT. • C hiedete di più. Oltre ad offrirvi il suo miglior prezzo o a vendervi prodotti in promozione, il partner/consulente con cui collaborate dovrebbe essere in grado di fornirvi un parere oggettivo sulla vostra infrastruttura IT. Potrebbe e dovrebbe aiutarvi a scegliere la soluzione giusta per la vostra azienda, capace di crescere di pari passo alle vostre esigenze e di proteggere il vostro investimento IT. Se non lo fa, cambiate partner. • G estione delle forniture. Il vostro partner o consulente potrebbe persino offrirvi di gestire in remoto la vostra soluzione di sicurezza, assicurandovi così meno seccature e una maggiore protezione per voi e la vostra azienda, diffondendo il concetto che la sicurezza è un’attività importante per ogni dipendente. 8 SIATE DI ESEMPIO Se non fate quello che dite, non lo farà nessuno. Che abbiate o meno un ruolo di leadership, le persone si guardano intorno per vedere quel che fanno gli altri. Basta una persona sola per fare danni. • Meglio non essere quella persona. Basta una sola persona per diffondere un temibile virus in tutta l’azienda. • S iate sostenitori. Se avete scoperto un nuovo modo per garantirvi una migliore protezione o avete sentito parlare di una nuova minaccia all’orizzonte, fatelo sapere. Condividete le best practice tra i vari reparti. 9 TENETEVI AGGIORNATI Assicuratevi che utenti mobili, PC e server utilizzino le migliori informazioni sulle minacce disponibili. Gli aggiornamenti manuali o saltuari del software di protezione assicurano una via d’accesso alle minacce. L’espressione che si è protetti tanto quanto l’ultimo aggiornamento è vera. • L iberate i PC. Se il vostro computer è rallentato dalla soluzione di sicurezza installata, non siete i soli. È una critica comune per le soluzioni di sicurezza convenzionali. Cercate soluzioni che spostino sul datacenter del fornitore il carico di lavoro grazie all’uso delle funzionalità in hosting. Risparmiate le risorse di PC e server per l’elaborazione delle vostre esigenze aziendali, non della protezione. • N on affidatevi agli antivirus obsoleti. La sicurezza basata sugli antivirus tradizionali bloccava le minacce confrontandone i file con i relativi file di “definizione” su ciascun computer. Le nuove minacce hanno tuttavia una velocità di moltiplicazione esponenziale (oltre il 2.000% dal 2004), tanto che l’invio di altri file delle definizioni non fa che intasare i PC. I nuovi metodi di rilevamento eseguono l’equivalente di una verifica in background sui mittenti e-mail, i file e i siti Web per garantire la protezione in modo più rapido e sicuro senza rallentare i PC. • A utomatizzate gli aggiornamenti del sistema operativo. Facilitate al massimo la capacità del vostro PC di ottenere le patch più recenti. Le vulnerabilità del vostro sistema operativo sono un attivatore chiave degli attacchi. Non mancate di applicare le patch rapidamente e automaticamente. • R ichiedete e verificate la conformità delle patch. Date ai vostri utenti i dettagli relativi alle versioni del software di cui hanno bisogno e insegnate loro come verificare la versione di cui dispongono. Fornite loro collegamenti e istruzioni su come eseguire l’aggiornamento alla versione corrente. Se gli utenti vedono che avete a cuore la conformità, saranno più inclini a garantirla. 10 SCEGLIETE UN PARTNER PER LA SICUREZZA, NON UN SEMPLICE FORNITORE Selezionate un fornitore che conosca bene le specifiche esigenze della sicurezza nell’ambiente della piccola impresa. • S cegliete un fornitore di sicurezza. Verificate se il fornitore è specializzato in sicurezza come indirizzo d’impresa o se fa parte delle varie attività che svolge. • V erificate l’esperienza del fornitore. I fornitori con una riconosciuta esperienza pluriennale nella difesa contro più minacce, con esperienza e competenze sia nelle piccole imprese sia nelle grandi aziende, sono in grado di supportare la vostra protezione con più efficacia. RISORSE • TrendWatch offre filmati formativi, documenti tecnici e molto altro ancora: http://us.trendmicro.com/us/trendwatch/ • www.worryfree.com offre filmati e informazioni sui prodotti Trend Micro progettati specificamente per le piccole imprese. Trend Micro Securing your Web World COMPITE I PASSAGGI SUCCESSIVI Utilizzate la lista di controllo di seguito per scoprire le aree in cui la vostra azienda funziona meglio. Quindi determinate qual è il passaggio successivo da compiere. SUGGERIMENTO SELEZIONATE I PASSAGGI INTERAMENTE COMPLETATI 1. Chiudete le porte alle minacce informatiche o Installate e utilizzate la sicurezza con la protezione contro più minacce (virus, minacce Web, spyware, bot ecc.). o Selezionate una soluzione che vi consenta di visualizzare e gestire PC e server remoti e locali. o Scoprite cosa è protetto scegliendo una soluzione con un’unica console per utenti remoti, PC interni, file e server di posta. o Facilitate la vita agli utenti mobili scegliendo soluzioni che rilevano la posizione dell’utente. o Disinfettate le e-mail con l’anti-spam. 2. Stilate i vostri criteri o o o o o o o ettete i criteri per iscritto. (È davvero importante!) M Istruite i dipendenti e trattate i criteri di sicurezza IT come fossero un contratto. Applicate le conseguenze della mancata applicazione dei criteri. Stabilite chiaramente ciò che i dipendenti possono o non possono fare con i PC aziendali. Istruiteli sulle best practice in materia di e-mail per evitare phishing e spam. Crittografate l’e-mail se è necessario proteggerne il contenuto. Assegnate un referente o un punto di riferimento per la sicurezza informatica. 3. Affrontate i social media o o o o efinite chi può aggiornare pubblicamente i blog aziendali. D Definite ciò che è riservato o di dominio pubblico. Fornite linee guida e un forum per svilupparle. Date il giusto peso alla socialità, ma siate intelligenti con le informazioni rese pubbliche dall’azienda e dai dipendenti. 4. Cominciate dalle password o o o o ichiedete password complesse. R Impostate una scadenza per le password degli utenti. Conservate le password al sicuro, non su un post-it o sull’iPhone. Combinate lettere e numeri per fermare i ladri. 5. Siate critici della sicurezza Internet o L ’ubicazione è importante, quindi rendete facile la protezione dei dipendenti con soluzioni che rilevano la posizione dell’utente. o Automatizzate la protezione per bloccare i collegamenti Web rischiosi e i siti Web non produttivi. 6. Assicuratevi la collaborazione dei dipendenti o o o o 7. Fate lavorare partner e consulenti o C hiedete di più della compilazione degli ordini; trovate partner commerciali che siano anche consulenti fidati. o Appaltate la gestione della sicurezza al vostro partner/consulente liberando tempo ed energia preziosi per l’azienda. ttenetevi alle normative e alle buone prassi di sicurezza. A Spiegate perché i dipendenti sono importanti per la sicurezza. Implementate i criteri di protezione. Sottolineate ciò che è riservato, sempre. 8. Siate di esempio o Il singolo è fondamentale quindi fate che le vostre azioni siano sempre conformi ai criteri. o Individuate una risorsa fidata per le informazioni sulla sicurezza e utilizzatela una volta la settimana. 9. Tenetevi aggiornati o L iberate il vostro PC scegliendo una soluzione che offra l’elaborazione del datacenter in hosting. o Non affidatevi agli antivirus obsoleti; assicuratevi più processi di rilevamento. o Automatizzate gli aggiornamenti del sistema operativo. o Richiedete e verificate la conformità delle patch. 10. Scegliete un partner per la sicurezza o S elezionate un fornitore specializzato in sicurezza. o Verificate l’esperienza del fornitore scegliendo un’azienda solida con esperienza sia nelle grandi aziende che nelle piccole imprese. Per ulteriori informazioni, contattare Trend Micro Account Manager o visitare il sito: www.worryfree.com. ©2010 Trend Micro, Incorporated. Tutti i diritti riservati. Trend Micro, il logo Trend Micro della sfera con il disegno di una T, InterScan, Smart Protection Network e Worry-Free sono marchi o marchi registrati di Trend Micro Incorporated. Tutti gli altri nomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettivi proprietari. [OS03_Top10SB_091007IT]