10 suggerimenti essenziali

Securing Your Web World
10 suggerimenti essenziali
p e r p rote g g e re la vostra piccola impresa
Proteggere la vostra azienda dalle minacce Web
più recenti è diventato un compito incredibilmente
complicato. Le conseguenze degli attacchi esterni,
delle violazioni della sicurezza interna e degli abusi
legati a Internet hanno fatto balzare la sicurezza in
cima alle esigenze delle piccole imprese. Cose c’è da
sapere allora sulla sicurezza e quali sono gli elementi
chiave di cui tenere conto? Trend Micro fa chiarezza
su questo spinoso argomento.
Trend Micro Securing your Web World
1
CHIUDETE LE PORTE ALLE MINACCE INFORMATICHE
Così come non potreste mai dimenticare di chiudere a chiave la porta di casa la notte, non invitereste mai dei criminali informatici
nella vostra azienda. Tuttavia, omettendo di proteggere i vostri computer, ad esempio non dotandovi di firewall e software
antivirus idonei, fate proprio questo.
Anzi, NACHA, l’associazione per i pagamenti elettronici, ha recentemente diffuso un avviso sugli incrementi degli attacchi alle
piccole imprese. Secondo quanto ha riferito ComputerWorld, “L’avviso di NACHA affermava che apparentemente i criminali
informatici prendono di mira le piccole imprese per la loro relativa mancanza di procedure di autenticazione avanzata, di controlli
delle transazioni e di funzionalità di documentazione con “red flag”. In alcuni casi, continuava l’avviso, gli aggressori inducono
i dipendenti delle piccole imprese a visitare siti di phishing che hanno esattamente lo stesso aspetto dell’istituto finanziario
dell’azienda, al quale accederebbero con le proprie credenziali.”
Le minacce informatiche non sono altro che software dannoso progettato per infiltrarsi in PC o in una rete, o per danneggiarli,
all’insaputa o senza il consenso dell’utente.
• A
pplicate il firewall. Un buon router Internet è dotato di un firewall incorporato (quindi non dimenticate di attivarlo), ma con la
complessità delle minacce informatiche di oggi, non è sufficiente.
• P
roteggete il PC. Il miglior software di sicurezza va oltre la protezione standard e risiede sul computer senza danneggiare le prestazioni
di PC, laptop o rete. La migliore protezione comprende furto d’identità, siti Web rischiosi e attacchi degli hacker in un’unica soluzione.
• V
edere per proteggere. Scegliete una soluzione che vi aiuti a tenere traccia degli utenti mobili e di tutti i vostri PC e server su un’unica
console.
• F
acilitate la vita agli utenti mobili. Una buona sicurezza è dotata di Location Awareness. Questa funzionalità modifica
automaticamente le impostazioni di sicurezza sul laptop configurando il miglior livello di protezione per i dipendenti che si spostano
dentro e fuori sede.
• P
ulizia e-mail. Le soluzioni anti-spam riducono i messaggi e-mail indesiderati, bloccano i rischi e le distrazioni per i dipendenti.
Interrompete l’elaborazione dello spam bloccandolo prima che raggiunga la vostra azienda.
2
STILATE I VOSTRI CRITERI
Pensate che la vostra azienda sia troppo piccola per interessare i pirati informatici? Forse non è proprio così. Le dimensioni
contano davvero poco quando si tratta di criminalità o frodi online e le piccole imprese sono un bersaglio facile a causa delle
limitate risorse informatiche. È quindi importante che la vostra azienda prenda la sicurezza molto sul serio: insegnate e ripetete
ai dipendenti i requisiti di sicurezza. Scriveteli. Comunicateli. Applicateli.
I vostri criteri devono includere, tra le altre cose:
• A
ttivazione e disattivazione della condivisione. Quali sono le applicazioni che è possibile caricare sui computer di un’azienda e quali
sono quelle vietate?
• Richiedete password complesse. Consultate il suggerimento 4 per le password.
• Applicate le conseguenze. Che cosa succede quando i criteri non vengono applicati? Siate pronti a dare seguito alle vostre parole.
• Utilizzateli. Ma senza abusarne. Qual è l’uso corretto di un computer fornito dall’azienda? Il riferimento è anche all’uso di Internet.
• Istruite sull’uso dell’e-mail. Sono incluse le comunicazioni interne ed esterne oltre a ciò che può o non può essere aperto o inoltrato.
• Crittografato o in chiaro. Decidete se una soluzione di crittografia e-mail per la protezione dei dati sensibili è necessaria e quando lo è.
• N
ominate un referente. Chi è la persona a cui possono rivolgersi i dipendenti con domande sui criteri o sulla sicurezza informatica in
generale?
3
AFFRONTATE I SOCIAL MEDIA PRIMA CHE VI FACCIANO INCIAMPARE
I social media sono tra noi e non se ne andranno, quindi fornite ai vostri dipendenti best practice e linee guida. Di seguito sono
riportati alcuni metodi per ridurre al minimo i rischi nei social network:
• A
ttenzione a chi parla. Decidete chi può parlare a nome dell’azienda e consentite soltanto ai dipendenti designati di scrivere in merito
ad eventi interni ed esterni.
• S
tabilite quali sono le informazioni riservate. Nei vostri criteri di protezione, includete i siti dei social media quali Facebook, Twitter,
LinkedIn e altri nel vostro contratto di non divulgazione per le informazioni aziendali riservate.
Trend Micro Securing your Web World
• F
ornite linee guida e un forum per svilupparle. Il mantenimento di blog e la pubblicazione di contenuti per l’azienda dovrebbe seguire
linee guida che specifichino quali informazioni sono corrette e chi le può pubblicare. Le linee guida devono andare oltre la sicurezza:
- Il blogger deve identificarsi come dipendente/collaboratore della vostra azienda. In caso contrario si viene respinti.
- Definite il tono del blog.
- Proteggete le informazioni e l’amor proprio dei clienti. Ricordate ai clienti di non condividere informazioni personali in un messaggio
pubblicato e indicate loro a chi rivolgersi per richiedere assistenza sulle informazioni riservate.
- Decidete quando le informazioni di supporto devono essere diffuse sui social media.
- Assicuratevi il supporto della dirigenza/del titolare affinché sia possibile adottare rapidamente le linee guida tenendo presente le
esigenze aziendali.
- Utilizzate risorse come BlogWell (www.blogwell.com) per sviluppare le linee guida e approfondire la conoscenza dei social media.
• La socialità non è niente senza l’intelligenza.
- Pubblicate soltanto informazioni che giudicate possano essere diffuse pubblicamente, in base agli obiettivi che ci si pone.
- Preparatevi al peggio per ottenere i risultati migliori. Spingete i dipendenti a limitare la quantità di dati personali che condividono
online, per la loro sicurezza e per quella dell’azienda.
- Aggiungete all’elenco dei contatti soltanto le persone di cui vi fidate.
- Evitate di cliccare su collegamenti inaspettati che provengono da chi non conoscete.
- Non fidatevi mai completamente di chi non conoscete bene.
4
PROTEGGETE TRAMITE PASSWORD
Che ci piaccia o no, le password sono fondamentali per la maggior parte delle piccole reti aziendali e sono quindi importanti per
proteggere l’accesso alle vostre reti. Non dovete essere un genio della statistica per sapere che più lunga e ricca di caratteri è una
password e più sarà inattaccabile.
• P
er cominciare, complessità. Richiedete password complesse contenenti almeno 8 caratteri con numeri incorporati, per impedire gli
attacchi più semplici che indovinano le password.
• È ora di cambiare. Inserite una scadenza alle vecchie password e richiedete cambi frequenti delle password.
• T
enetele al sicuro. Istruite i dipendenti sul perché scrivere le password, memorizzarle sui cellulari o utilizzare password facilmente
indovinabili mette a rischio la sicurezza aziendale.
• L
a combinazione. Le password più forti sono quelle che non contengono parole ma soltanto lettere, numeri e caratteri speciali scelti
a caso. Scegliete un motivo da digitare sulla tastiera: qWe4%6yUi è molto più forte di goIrish#3.
5
SIATE CRITICI DELLA SICUREZZA INTERNET
Internet è uno straordinario facilitatore commerciale. Ma può anche aumentare l’esposizione alle minacce informatiche, specie
se la sicurezza implementata non assicura la scansione proattiva dei contenuti per rilevare le minacce informatiche e avvisare
l’utente dei potenziali problemi. Scegliete soluzioni di sicurezza che possano consentirvi di sconfiggere le più recenti minacce con
meno distrazioni per i vostri dipendenti.
• S
top ai collegamenti pazzi. Non affidatevi ai dipendenti perché pensino alla sicurezza o limitino il loro accesso alla rete o a Internet.
Automatizzate gli aggiornamenti e rendete la sicurezza trasparente ai dipendenti.
• M
antenete il Web produttivo. Oltre alle linee guida per un uso accettabile del Web, selezionate le soluzioni che impediscono l’uso
inaccettabile. Un filtro URL che può limitare l’accesso ai siti improduttivi totalmente o durante l’orario di ufficio e che protegge contro
i collegamenti rischiosi vi consentirà di controllare saldamente la vostra azienda, i vostri dipendenti e i vostri dati, evitando che questi
ultimi cadano nelle mani dei ladri di identità o di dati.
6
CHIEDETE AIUTO AI DIPENDENTI
Abbiamo visto tutti lo scalpore mediatico che generano i casi di perdita di dati di alto profilo, ma lo sapevate che l’80% di tutte
le perdite di dati è causato da errori umani, siano essi l’invio a destinatari errati o in modo non sicuro di informazioni riservate
o sensibili?
• C
onformità o morte. Magari non proprio morte, ma le implicazioni della perdita di dati e delle fughe accidentali diventano sempre
maggiori con l’ampliarsi delle normative. Istruite quindi i dipendenti sui requisiti normativi e sulle best practice per la protezione delle
informazioni. Spiegate chiaramente i rischi che può comportare il non rispettare le regole. Informateli che è compito loro ridurre i rischi
vigilando opportunamente.
• S
piegate ai dipendenti perché sono importanti. Se i singoli dipendenti non eseguono le scansioni, o non inviano i materiali necessari,
l’attività aziendale può essere a rischio di minacce informatiche, cause giudiziarie e danni alla reputazione.
• L
a riservatezza innanzi tutto. Informate i dipendenti su quali sono i tipi di dati riservati e illustrate loro i problemi potenziali che
possono insorgere se questi tipi di documenti o file vengono diffusi.
Trend Micro Securing your Web World
7
RENDETE EFFICACE LA RELAZIONE DI LAVORO CON IL PARTNER/CONSULENTE
Sviluppare una buona relazione con il partner/consulente IT significa che potete sempre contare su un consulente fidato in
materia di problemi IT.
• C
hiedete di più. Oltre ad offrirvi il suo miglior prezzo o a vendervi prodotti in promozione, il partner/consulente con cui collaborate
dovrebbe essere in grado di fornirvi un parere oggettivo sulla vostra infrastruttura IT. Potrebbe e dovrebbe aiutarvi a scegliere la
soluzione giusta per la vostra azienda, capace di crescere di pari passo alle vostre esigenze e di proteggere il vostro investimento IT.
Se non lo fa, cambiate partner.
• G
estione delle forniture. Il vostro partner o consulente potrebbe persino offrirvi di gestire in remoto la vostra soluzione di sicurezza,
assicurandovi così meno seccature e una maggiore protezione per voi e la vostra azienda, diffondendo il concetto che la sicurezza
è un’attività importante per ogni dipendente.
8
SIATE DI ESEMPIO
Se non fate quello che dite, non lo farà nessuno. Che abbiate o meno un ruolo di leadership, le persone si guardano intorno per
vedere quel che fanno gli altri. Basta una persona sola per fare danni.
• Meglio non essere quella persona. Basta una sola persona per diffondere un temibile virus in tutta l’azienda.
• S
iate sostenitori. Se avete scoperto un nuovo modo per garantirvi una migliore protezione o avete sentito parlare di una nuova
minaccia all’orizzonte, fatelo sapere. Condividete le best practice tra i vari reparti.
9
TENETEVI AGGIORNATI
Assicuratevi che utenti mobili, PC e server utilizzino le migliori informazioni sulle minacce disponibili. Gli aggiornamenti manuali
o saltuari del software di protezione assicurano una via d’accesso alle minacce. L’espressione che si è protetti tanto quanto
l’ultimo aggiornamento è vera.
• L
iberate i PC. Se il vostro computer è rallentato dalla soluzione di sicurezza installata, non siete i soli. È una critica comune per le
soluzioni di sicurezza convenzionali. Cercate soluzioni che spostino sul datacenter del fornitore il carico di lavoro grazie all’uso delle
funzionalità in hosting. Risparmiate le risorse di PC e server per l’elaborazione delle vostre esigenze aziendali, non della protezione.
• N
on affidatevi agli antivirus obsoleti. La sicurezza basata sugli antivirus tradizionali bloccava le minacce confrontandone i file con
i relativi file di “definizione” su ciascun computer. Le nuove minacce hanno tuttavia una velocità di moltiplicazione esponenziale (oltre
il 2.000% dal 2004), tanto che l’invio di altri file delle definizioni non fa che intasare i PC. I nuovi metodi di rilevamento eseguono
l’equivalente di una verifica in background sui mittenti e-mail, i file e i siti Web per garantire la protezione in modo più rapido e sicuro
senza rallentare i PC.
• A
utomatizzate gli aggiornamenti del sistema operativo. Facilitate al massimo la capacità del vostro PC di ottenere le patch più
recenti. Le vulnerabilità del vostro sistema operativo sono un attivatore chiave degli attacchi. Non mancate di applicare le patch
rapidamente e automaticamente.
• R
ichiedete e verificate la conformità delle patch. Date ai vostri utenti i dettagli relativi alle versioni del software di cui hanno bisogno
e insegnate loro come verificare la versione di cui dispongono. Fornite loro collegamenti e istruzioni su come eseguire l’aggiornamento
alla versione corrente. Se gli utenti vedono che avete a cuore la conformità, saranno più inclini a garantirla.
10
SCEGLIETE UN PARTNER PER LA SICUREZZA, NON UN SEMPLICE FORNITORE
Selezionate un fornitore che conosca bene le specifiche esigenze della sicurezza nell’ambiente della piccola impresa.
• S
cegliete un fornitore di sicurezza. Verificate se il fornitore è specializzato in sicurezza come indirizzo d’impresa o se fa parte delle
varie attività che svolge.
• V
erificate l’esperienza del fornitore. I fornitori con una riconosciuta esperienza pluriennale nella difesa contro più minacce, con
esperienza e competenze sia nelle piccole imprese sia nelle grandi aziende, sono in grado di supportare la vostra protezione con più
efficacia.
RISORSE
• TrendWatch offre filmati formativi, documenti tecnici e molto altro ancora: http://us.trendmicro.com/us/trendwatch/
• www.worryfree.com offre filmati e informazioni sui prodotti Trend Micro progettati specificamente per le piccole imprese.
Trend Micro Securing your Web World
COMPITE I PASSAGGI SUCCESSIVI
Utilizzate la lista di controllo di seguito per scoprire le aree in cui la vostra azienda funziona meglio. Quindi determinate qual è il
passaggio successivo da compiere.
SUGGERIMENTO
SELEZIONATE I PASSAGGI INTERAMENTE COMPLETATI
1. Chiudete le porte alle minacce informatiche
o Installate e utilizzate la sicurezza con la protezione contro più minacce (virus, minacce Web,
spyware, bot ecc.).
o Selezionate una soluzione che vi consenta di visualizzare e gestire PC e server remoti
e locali.
o Scoprite cosa è protetto scegliendo una soluzione con un’unica console per utenti remoti,
PC interni, file e server di posta.
o Facilitate la vita agli utenti mobili scegliendo soluzioni che rilevano la posizione dell’utente.
o Disinfettate le e-mail con l’anti-spam.
2. Stilate i vostri criteri o
o
o
o
o
o
o
ettete i criteri per iscritto. (È davvero importante!)
M
Istruite i dipendenti e trattate i criteri di sicurezza IT come fossero un contratto.
Applicate le conseguenze della mancata applicazione dei criteri.
Stabilite chiaramente ciò che i dipendenti possono o non possono fare con i PC aziendali.
Istruiteli sulle best practice in materia di e-mail per evitare phishing e spam.
Crittografate l’e-mail se è necessario proteggerne il contenuto.
Assegnate un referente o un punto di riferimento per la sicurezza informatica.
3. Affrontate i social media
o
o
o
o
efinite chi può aggiornare pubblicamente i blog aziendali.
D
Definite ciò che è riservato o di dominio pubblico.
Fornite linee guida e un forum per svilupparle.
Date il giusto peso alla socialità, ma siate intelligenti con le informazioni rese pubbliche
dall’azienda e dai dipendenti.
4. Cominciate dalle password
o
o
o
o
ichiedete password complesse.
R
Impostate una scadenza per le password degli utenti.
Conservate le password al sicuro, non su un post-it o sull’iPhone.
Combinate lettere e numeri per fermare i ladri.
5. Siate critici della sicurezza Internet
o L
’ubicazione è importante, quindi rendete facile la protezione dei dipendenti con soluzioni
che rilevano la posizione dell’utente.
o Automatizzate la protezione per bloccare i collegamenti Web rischiosi e i siti Web non
produttivi.
6. Assicuratevi la collaborazione dei dipendenti
o
o
o
o
7. Fate lavorare partner e consulenti
o C
hiedete di più della compilazione degli ordini; trovate partner commerciali che siano anche
consulenti fidati.
o Appaltate la gestione della sicurezza al vostro partner/consulente liberando tempo ed
energia preziosi per l’azienda.
ttenetevi alle normative e alle buone prassi di sicurezza.
A
Spiegate perché i dipendenti sono importanti per la sicurezza.
Implementate i criteri di protezione.
Sottolineate ciò che è riservato, sempre.
8. Siate di esempio
o Il singolo è fondamentale quindi fate che le vostre azioni siano sempre conformi ai criteri.
o Individuate una risorsa fidata per le informazioni sulla sicurezza e utilizzatela una volta la
settimana.
9. Tenetevi aggiornati o L
iberate il vostro PC scegliendo una soluzione che offra l’elaborazione del datacenter in
hosting.
o Non affidatevi agli antivirus obsoleti; assicuratevi più processi di rilevamento.
o Automatizzate gli aggiornamenti del sistema operativo.
o Richiedete e verificate la conformità delle patch.
10. Scegliete un partner per la sicurezza
o S
elezionate un fornitore specializzato in sicurezza.
o Verificate l’esperienza del fornitore scegliendo un’azienda solida con esperienza sia nelle
grandi aziende che nelle piccole imprese.
Per ulteriori informazioni, contattare Trend Micro Account Manager o visitare il sito: www.worryfree.com.
©2010 Trend Micro, Incorporated. Tutti i diritti riservati. Trend Micro, il logo Trend Micro della sfera con il disegno di una T, InterScan, Smart Protection Network e Worry-Free sono marchi
o marchi registrati di Trend Micro Incorporated. Tutti gli altri nomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettivi proprietari. [OS03_Top10SB_091007IT]