Qualsiasi manager dell’Information Security degno di fiducia – o manager IT- vi dirà che ogni giorno dovrebbe essere un giorno di sensibilizzazione alla sicurezza informatica. Ma come dice il proverbio, “se tutti sono speciali, nessuno è speciale”. Quindi, vale la pena designare un momento particolare per aumentare la consapevolezza della sicurezza informatica, anche se in realtà, dovremmo occuparcene TUTTI i giorni.
A tal fine, il US Department of Homeland Security (DHS), in collaborazione con la National Cybersecurity Alliance, ha designato il mese di ottobre come “National Cybersecurity Awareness Month (NCSAM)“, una tradizione iniziata nel 2003. Il tema dell’NCSAM di quest’anno è Do Your Part. #BeCyberSmart.”
Fortunatamente, la Cybersecurity and Infrastructure Security Agency (CISA) del DHS è andata oltre gli slogan accattivanti per pubblicare una serie di utilissimi documenti informativi che sono disponibili da copiare, distribuire, riassumere o adattare per supportare gli sforzi educativi degli utenti, senza alcuna restrizione di copyright.
In qualità di professionisti dell’Information Security o IT, state indubbiamente facendo tutto il possibile per proteggere al massimo la vostra infrastruttura. Ma come ben sapete, qualsiasi catena è forte solo quanto il suo anello più debole. Utenti istruiti e vigili sono un elemento vitale della vostra strategia di cybersecurity – forse uno dei più vitali, poiché l’infrastruttura può arrivare solo fino a un certo punto per proteggere dagli errori degli utenti.
Quindi, con questo in mente, siamo lieti di presentare alcuni dei punti principali che il CISA ha raccomandato di sottolineare agli utenti durante il National Cybersecurity Awareness Month.
Coltivare una mentalità “Zero Trust”
L’approccio dominante per la sicurezza dei dati oggi è Zero Trust – tutto, ogni utente (all’interno o all’esterno della vostra struttura fisica), ogni sito web, ogni documento scaricato, è considerato non attendibile, a meno che non venga dimostrato il contrario. Potete leggere di più su come applicare questo principio per proteggere la vostra organizzazione nel nostro recente post “Ten Years of Zero Trust – From Least Privilege Access to Microsegmentation and Beyond“.
La maggior parte degli utenti non voglio avere un approccio “Zero Trust”, ma è di vitale importanza che prestino attenzione e siano cauti. Dovrebbero sapere che se ricevono un’e-mail che è assolutamente fuori dal comune, dovrebbero dare un’occhiata da vicino all’indirizzo e-mail prima di aprirla. Nelle “spedizioni di phishing” gli hacker spesso creano un indirizzo e-mail che sembra molto simile a un indirizzo legittimo, compreso il nome del mittente. Se non è il normale indirizzo e-mail del mittente, potrebbe essere qualche cosa di pericoloso.
Una delle cose più importanti che gli utenti possono fare per proteggere sé stessi – e la propria organizzazione – dagli attacchi di phishing è fare molta, molta attenzione prima di cliccare su qualsiasi indirizzo email o link all’interno di un’email. È un gioco da ragazzi mostrare un indirizzo e-mail o un link diverso da quello reale. C’è un modo semplice per controllare. Basta passare il mouse sull’indirizzo e-mail o su un link prima di cliccarlo e assicurarsi che ciò che viene visualizzato nell’hover sia uguale a ciò che è nel testo.
Una volta che l’email di qualcuno è stata violata, il suo account può inviare messaggi che provengono realmente da quell’account – solo che si tratta di messaggi violati caricati con malware. Una delle più recenti truffe di phishing coinvolge persone che hackerano gli account di LinkedIn e poi inviano messaggi da quell’account violato. È un cybercriminale che lo sta effettivamente inviando, insieme a un link che installa malware sul dispositivo quando viene cliccato.
Dal punto di vista dell’infrastruttura, un modo importante e molto efficace per proteggersi dagli utenti che cliccano su link sbagliati, nonostante i vostri migliori sforzi educativi, è l’installazione di Remote Browser Isolation (RBI). RBI isola qualsiasi danno potenziale dal phishing e da altri attacchi di social engineering basati su siti web lontani dalla vostra rete, riducendo notevolmente il rischio di errori del fattore umano che inevitabilmente si verificano.
Non trascurare le password
Gli utenti spesso non vogliono essere infastiditi da una buona gestione delle password, rendendoli vulnerabili agli attacchi. Ricordate:
- Non rendere facile il lavoro dei ladri informatici. Utilizzare password lunghe e complesse. Alcune delle password più comuni sono 123456 e “password”.
- Non riutilizzare le password.
- Utilizzare un gestore di password. Permette agli utenti di avere password uniche, lunghe e complesse per ogni sito senza farvi impazzire.
- Utilizzare l’autenticazione multi-fattore ogni volta che viene offerta.
Fare attenzione quando si viaggia
Quando sono in viaggio, gli utenti devono essere consapevoli di questi rischi aggiuntivi e delle raccomandazioni:
- “Se lo collegate, proteggetelo”. Tutto ciò che è connesso a Internet, che si tratti di un laptop, smartphone, tablet o qualsiasi altra cosa, dovrebbe essere protetto. Ciò significa mantenere tutti i software aggiornati e le patch applicate.
- Eseguire il backup prima di partire. Assicuratevi che tutte le informazioni importanti siano salvate in modo sicuro, in modo che se un dispositivo viene smarrito, rubato o violato i dati importanti non vadano persi.
- Spegnere la connessione automatica. Alcuni dispositivi possono connettersi automaticamente alle reti, il che potrebbe essere una pessima idea – un cybercriminale potrebbe accedere al dispositivo nel momento in cui l’utente si connette.
- Assicuratevi che tutte le reti utilizzate siano legittime – in altre parole, assicuratevi che sia davvero la rete dell’hotel in cui vi state collegando, non qualche altra rete. Se l’accesso avviene da un punto di accesso pubblico non sicuro, come ad esempio un coffee shop, evitate di fare qualsiasi cosa che coinvolga informazioni sensibili.
- Siate consapevoli della sicurezza fisica. Non lasciate incustodite in un luogo pubblico nessuna apparecchiatura, comprese le chiavette USB.
Conclusione
La vera sicurezza informatica è una joint venture tra le organizzazioni e i loro utenti. Il National Cybersecurity Awareness Month è un ottimo momento per educare i vostri utenti sulle cose che possono fare per aiutare a mantenere al sicuro sia i loro dati personali che quelli dell’azienda.
Fonte: Ericom Software