I criminali informatici prendono di mira una qualsiasi azienda di una qualsiasi dimensione.
Conoscere, quindi, alcune nozioni base sulla sicurezza informatica per poi metterle in pratica aiuterà a proteggere la propria azienda e a ridurre il rischio di un attacco informatico.
PROTECT
| File e dispositivi | ||
|---|---|---|
 | Aggiornare i software | In primis i sistemi operativi, ma ciò include app e browser Web. Meglio se gli aggiornamenti vengono impostati affinchè avvengano automaticamente. |
 | Autenticazione a più fattori | Richiedere l’autenticazione a più fattori per accedere alle aree della propria rete dove risiedono i dati sensibili. Ciò richiede passaggi aggiuntivi oltre alla sola password, come un codice OTP visualizzabile sullo smartphone o inviato via sms. |
 | Backup | Eseguire il backup di file importanti offline (su un disco rigido esterno) o nel cloud. Meglio se accompagnati anche di un’archivizione di file cartacei in modo sicuro. |
 | Crittografie i dispositivi | Crittografare i dispositivi e altri supporti che contengono dati sensibli. Ciò include laptop, tablet, smartphone, unità rimovibili, nastri di backup e soluzioni cloud storage. |
 | Richiedere password | Scontato, ma non trascurabile. Usare password (complesse) per tutti i laptop, tablet e smartphone e non lasciarli incustoditi in luoghi pubblici. |
| La rete wireless | ||
|---|---|---|
 | Proteggere il router | Modificare il nome e la password predefiniti, disattivare la gestione remota e disconnettersi come amministratore una volta configurato il router. |
 | Utilizzare almeno la crittografia WPA2 | Assicurarsi che il proprio router offra la crittografia WPA2 o WPA3 e che sia attiva. La crittografia protegge le informazioni inviate sulla tua rete in modo che non possano essere lette da estranei. |
RENDERE SMART SECURITY IL PROPRIO BUSINESS
Richiedere password complesse
Una password complessa è composta da almeno 12 caratteri che sono un mix di numeri, simboli e lettere sia maiuscole che minuscole.
Non riutilizzare mai le stesse password e non condividerle al telefono, via messaggi o tramite e-mail.
Meglio limitare il numero di tentativi di accesso non riusciti per limitare gli attacchi di forza bruta.
Formare il personale
Creare una cultura della sicurezza implementando un programma regolare di formazione dei propri dipendenti. Tenerli aggiornati su nuovi rischi e vulnerabilità.
Avere un piano
Avere un piano per il salvataggio dei dati, la gestione dell’attività e la notifica ai clienti in caso di violazione.
FRAMEWORK CYBERSECURITY DELLA NIST
Chi è NIST?
NIST (National Institute of Standards and Technology) è un’agenzia del governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie e fa parte del DoC, Department of Commerce (Ministero del Commercio).
Come si applica il framework?
Il Framework aiuta le aziende di tutte le dimensioni a comprendere, gestire e ridurre al meglio i propri rischi di sicurezza informatica e proteggere dati e reti. Il Framework è “volontario”. Fornisce alla propria azienda uno schema delle best practice per aiutare a decidere dove concentrare il proprio tempo e denaro per la protezione della sicurezza informatica.
Si può applicare il framework nella propria azienda in queste cinque aree: Identify, Protect, Detect, Respond and Recover.
Identity
NIST Framework Level N° 1 |
|---|
| Fai un inventario di tutte le apparecchiature, i software e dati che vengono utilizzati, inclusi laptop, smartphone, tablet e dispositivi POS. |
| Creare e condividere una policy di sicurezza informatica aziendale che include: – Ruoli e autorizzazioni per dipendenti, fornitori e chiunque altro abbia accesso a dati sensibili; – Misure da adottare per proteggersi da un attacco e limitare i danni nel caso in cui si verificasse. |
Protect
NIST Framework – Level N° 2 |
|---|
| Controllare chi accede alla propria rete e chi utilizza i computer e altri dispositivi. |
| Utilizzare software di sicurezza per proteggere i dati. |
| Crittografare i dati sensibili, sia quelli memorizzati che quelli movimento. |
| Eseguire backup dei dati regolarmente. |
| Aggiornare regolarmente il software di sicurezza, automatizzando gli aggiornamenti se possibile. |
| Avere politiche formali per lo smaltimento sicuro di file elettrici e di vecchi dispositivi. |
| Formare tutti coloro che utilizzano i computer, dispositivi e reti aziendali sulla sicurezza informatica, facendo comprendere ai dipendenti il loro rischio personale oltre al loro ruolo cruciale sul posto di lavoro. |
Detect
NIST Framework Level N° 3 |
|---|
| Monitorare i propri computer per l’accesso di personale non autorizzato, i dispositivi esterni al computer (come unità USB) e i software. |
| Controllare la propria rete per utenti o connessioni non autorizzate. |
| Indagare su eventuali attività insolite sulla propria rete o da parte dello staff. |
Respond
NIST Framework Level N° 4 |
|---|
| Avere un piano per: – Informare clienti, dipendenti e altri interessati ai cui i dati potrebbero essere a rischio. – Mantenere le operazioni aziendali attive e funzionanti. – Segnalare l’attacco alle forze dell’ordine e ad altre autorità. – Indagare e contenere un attacco. – Aggiornare la policy e il piano di sicurezza informatica con le lezioni apprese. – Prepararsi per eventi involontari e imprevisti (come le emergenze meteorologiche) che potrebbero mettere a rischio i dati. |
| Testare regolarmente il proprio piano. |
Recover
NIST Framework Level N° 5 |
|---|
| Dopo un attacco ripristinare le apparecchiature e le parti interessate della rete. |
| Mantenere al corrente i dipendenti e i clienti circa le attività di risposta e ripristino. |
Per ulteriori informazioni sul NIST Cybersecurity Framework e sulle risorse per le piccole imprese, visitare il sito NIST.gov/CyberFramework.