Non è necessario essere un esperto di sicurezza informatica per proteggere la propria azienda. Inoltre, non è possibile prevenire qualsiasi attacco, ecco perché in questo articolo vi daremo 6 consigli da adottare per proteggere la vostra azienda in modo efficace.
Cos'è una VPN e perché usarla?
VPN è l'acronimo di virtual private network (rete privata virtuale). È un servizio che consente di mantenere la privacy, e quindi la sicurezza, online nascondendo il proprio indirizzo IP. Le VPN stabiliscono una connessione crittografata tra il vostro computer e Internet. Assicurano che il traffico dal vostro dispositivo al server VPN sia sicuro. Ciò significa che nessuno può intercettare i dati più importanti. Una VPN gratuita con accesso illimitato a Internet può essere utilizzata in qualsiasi momento, ma è particolarmente utile quando ci si trova in un ambiente pubblico e non si dispone di una connessione Wi-Fi privata. Con un servizio VPN i vostri dati sono protetti.
1) Attivate l'autenticazione a due fattori
L'autenticazione a due fattori (nota anche come 2FA o MFA - multi-factor authentication) è un'alternativa alle password. Richiede di presentare un'altra forma di credenziali prima di poter accedere a un sito. Con l'enorme aumento della criminalità informatica, è necessario rafforzare la sicurezza. Le password non sono più sufficienti.
L'attivazione del sistema a due fattori, ove possibile, sul vostro sito web, sulla vostra e-mail o su qualsiasi strumento web che utilizzate, è fondamentale per la sicurezza vostra e della vostra azienda.
La forma migliore di 2FA è rappresentata dalle applicazioni sul telefono (ad esempio Google Authenticator). Seguono a ruota gli SMS e, infine, l'e-mail. Gli SMS e le e-mail sono più vulnerabili alle violazioni, quindi non sono sicuri come il metodo delle app.
In qualità di proprietari di un'azienda, dovrete applicare la 2FA a tutti gli account del personale, compresi gli utenti temporanei e i freelance.
2) Utilizzate il dominio e-mail aziendale per tutti gli account aziendali.
Assicuratevi sempre che i nuovi assunti abbiano un account e-mail aziendale e che tutti gli strumenti aziendali siano registrati con quell'account.
Questo per due motivi:
-
mantenere i confini e proteggere la proprietà dell'azienda una volta che l'utente ha lasciato l'azienda. Un dipendente che utilizza il proprio indirizzo e-mail personale può facilmente riottenere l'accesso agli account dopo aver lasciato l'azienda (attraverso la reimpostazione della password, ecc.).
-
gli account personali, in particolare quelli di servizi come Gmail, sono bersaglio comune degli hacker e la sicurezza personale è probabilmente più debole di quella aziendale.
3) Assicuratevi che il personale abbia un accesso unico a tutti i servizi...
... invece di un account generico "info@-" utilizzato da più persone. Poiché questi account vengono utilizzati da più persone, è molto più difficile tenere traccia di chi possiede i dati, dove vengono memorizzati e dove vengono inviati.
L'utilizzo di login individuali e univoci consente di individuare più facilmente gli account compromessi e di applicare il principio del minimo privilegio (POLP).
Il POLP si riferisce al concetto di sicurezza delle informazioni secondo cui un utente dispone del livello minimo di autorizzazioni necessarie per svolgere la propria funzione lavorativa.
4) Implementare una politica di non click all'interno dell'organizzazione
Riducete i clic sui link malevoli delle e-mail con una politica di non clic. Come si presenta questa politica? I destinatari delle e-mail chiedono al mittente di verificare il contenuto del link (ad esempio, descrivendolo o fornendo uno screenshot).
Questo potrebbe non essere facile per alcune organizzazioni, ma per altre, in particolare quelle che hanno un servizio clienti, è fondamentale.
Tuttavia, per tutte le aziende, se siete in grado di implementare una politica di questo tipo, riuscirete a eliminare efficacemente gli attacchi di phishing o malware.
5) Ridurre al minimo gli strumenti utilizzati online
Con il tempo si crea una libreria di strumenti online utilizzati in passato. Molti di questi non vengono più utilizzati, ma l'account è ancora attivo. Se possibile, cancellateli!
Le violazioni dei dati possono ancora verificarsi su servizi che non utilizzate da cinque anni. E sarà ancora più doloroso perché poteva essere facilmente evitato.
Praticate l'igiene della sicurezza: cancellate i vecchi account e tenete i dati non necessari fuori dalla vista del pubblico. Meno strumenti online significa meno esposizione ai vostri dati.
6) Utilizzare un gestore di password
I gestori di password aiutano a memorizzare e generare in modo sicuro password uniche e protette. Esiste una varietà di gestori di password tra cui scegliere. La scelta dipende dalle vostre esigenze aziendali o personali.
Conclusioni
Seguendo le best practice sopra citate, sarete in una posizione di forza dal punto di vista della sicurezza. Per quanto riguarda la protezione delle informazioni sensibili dell'azienda (o personali), ecco alcune regole aggiuntive da seguire e da non seguire:
Non fare:
● accedere a informazioni aziendali private tramite wifi pubblico o reti sconosciute
● utilizzare un PC condiviso o preso in prestito per accedere alle informazioni bancarie
Fare:
● utilizzare un hotspot wifi protetto da password dal proprio cellulare
● utilizzare l'app della banca sul telefono (i browser sono più facilmente violabili delle app)
● utilizzare una VPN per proteggersi
