Lasciare che i
dipendenti usino lo smartphone personale per accedere ad app aziendali critiche
espone dati e strutture a notevoli rischi. Nonostante questo, quasi 9 aziende su 10 lasciano che accada, anzi fanno affidamento sull'uso di dispositivi personali. La relazione
Fortinet Threat Landscape evidenzia che il
malware basato su
Android rappresenta il 14% di tutte le minacce informatiche.
Oltre agli attacchi diretti, sono da tenere in considerazione siti web compromessi, campagne di
phishing via e-mail e punti di accesso dannosi. Si infettano così utenti ignari con spyware, malware, app e ransomware. L'infezione si può così propagare alle aziende.
Secondo Fortinet, distribuire
software di gestione dei dispositivi mobili e client di sicurezza ai dipendenti non è sufficiente. È fondamentale istituire un programma di sensibilizzazione sulla sicurezza informatica, che fornisca informazioni su come evitare questi rischi. In particolare, il personale dev'essere messo al corrente di
cinque elementi critici.
Il primo è la diffidenza verso le
connessioni Wi-Fi pubbliche. Sebbene la maggior parte sia sicura, i criminali informatici spesso mascherano i loro dispositivi come punti di accesso pubblici. Accade specie in luoghi pubblici come i tribunali, o in occasione di grandi eventi. Se l'utente si connette a Internet sfruttando uno di questi punti d'accesso, il cyber criminale intercetta tutti i dati, comprese le credenziali di accesso.
Per evitare problemi, Wi-Fi e Bluetooth dovrebbero sempre essere disattivati quando non in uso. Si eviterà così che si colleghino automaticamente ai punti di accesso disponibili. Quand'è necessario collegarsi al web,
meglio usare una VPN, che garantisce connessioni sicure e crittografate.
Un altro errore ricorrente è usare
la stessa password per tutti i gli account online. Se un criminale informatico riesce a
intercettare quella password, avrà accesso a tutti gli account dell'utente. L'opzione migliore è usare un
gestore di password che memorizzi nome utente e password per ciascun account. Naturalmente, la password di accesso al gestore dovrà essere inespugnabile. Un trucco per creare password complesse è utilizzare le prime lettere di una frase, inserire lettere maiuscole, numeri e caratteri speciali.
Meglio ancora considerare l'uso dell'
autenticazione a due fattori. È un ulteriore passaggio, ma aumenterà in modo significativo la sicurezza del loro account e dei loro dati.
La terza criticità riguarda il
phishing. Sebbene sia stato detto centinaia di volte di non fare mai clic sui link provenienti da mittenti sconosciuti, le vittime sono ancora molte. I cyber criminali usano
sofisticate tecniche di raggiro e a volte fanno centro. Bisogna spiegare gli elementi che contraddistinguono le mail di spam. Scrittura sgrammaticata, URL sosia, immagini sfuocate, urgenza e altro. I prodotti devono inoltre essere dotati di efficaci soluzioni di Email Security Gateway e Web Application Firewall. Questi rilevano spam e phishing, convalidano i link ed eseguono i file eseguibili in una sandbox.
Il quarto punto è scontato ma spesso non rispettato:
aggiornare i dispositivi e usare software di sicurezza. I dipendenti dovrebbero avere installata una soluzione MDM approvata dall'azienda su qualsiasi dispositivo che abbia accesso alle risorse aziendali. Il software dev'essere aggiornato e la scansione dei dispositivi dev'essere eseguita regolarmente.
Allo stesso modo, anche
gli endpoint devono essere regolarmente aggiornati. I controlli di accesso alla rete dovrebbero rilevare se il software di sicurezza e il sistema operativo sono . In caso contrario, dovrebbero reindirizzare gli utenti a un server che esegua gli aggiornamenti necessari.
Ultimo, ma importante, accorgimento riguarda i
social media. I criminali informatici spesso personalizzano gli attacchi per aumentare le probabilità che una vittima faccia clic su un link. Il posto più scontato da cui reperire informazioni è un social media. È imperativo impostare
rigidi controlli sulla privacy, che consentano solo alle persone selezionate di vedere le proprie pagine. Va da sé che non bisogna accettare richieste di amicizia da sconosciuti.