Video: 7 cose che dovresti sapere sugli attacchi informatici (Settembre 2024)
Proteggere la tua azienda da un attacco informatico non è semplice come implementare un software di protezione degli endpoint. Avrai bisogno di formare ogni dipendente per sapere cosa cercare prima, durante e dopo il lavoro ogni giorno. Cose come phishing, furto fisico e spam possono danneggiare drammaticamente la tua attività.
Ho parlato con Michael Kaiser, direttore esecutivo della National Cyber Security Alliance, sui molti modi in cui le aziende dovrebbero fornire ai lavoratori informazioni e strumenti per stare attenti ai potenziali attacchi informatici. Dopo aver formato il tuo team, spetta a te o al tuo reparto IT fornire il software di aziende come Bitdefender, Kaspersky Lab e Symantec che aiutano a mantenere la sicurezza della rete e dei dispositivi.
1. Offrire formazione di phishing e spam
Business Email Compromise (BEC) attacca le aziende target con messaggi di truffa che estraggono informazioni da destinatari ignoti. Un eccellente esempio di un attacco BEC è un'e-mail fraudolenta inviata da qualcuno che finge di essere il CEO dell'azienda al dipartimento delle risorse umane dell'azienda. Senza rendersi conto che viene truffato, un responsabile delle risorse umane invia volontariamente i dati personali dei dipendenti a un truffatore.
Puoi addestrare i tuoi dipendenti a cercare queste e-mail o qualsiasi altro tipo di attacco spam in modo che possano avvisare l'IT se ricevono qualcosa che sembra sospetto. Puoi anche acquistare strumenti di addestramento al simulatore di phishing che tentano di indurre i tuoi dipendenti a fare clic sui tipi di e-mail sbagliati. Quei dipendenti che fanno clic sulle e-mail di simulazione dell'attacco avranno ovviamente bisogno di ulteriore formazione e istruzione.
2. Creare una politica di utilizzo accettabile
I tuoi dipendenti non dovrebbero necessariamente avere il regno libero su come usano i dispositivi aziendali mentre sono al lavoro. Ad esempio, insegna loro a quali siti Web sono autorizzati a visitare. Insegna loro quali file possono scaricare. Far loro sapere quali reti wireless sono emesse dall'azienda e sicure per l'uso.
Una volta stabilita una politica, è importante ristabilire periodicamente la politica con il proprio team. Se non enfatizzi costantemente il protocollo accettabile, i tuoi dipendenti potrebbero dimenticarlo o potrebbero diventare compiacenti.
3. Fornire una formazione sicura delle password
"La nuova saggezza non è quella di cambiare le password troppo frequentemente perché ogni volta che vengono cambiate, le nuove password diventano sempre più deboli", ha detto Kaiser. Quindi parla con il tuo dipartimento IT per trovare una frequenza di cambio password ragionevole (varierà da una società all'altra) e inizia subito a usare quella frequenza.
Inoltre, ti consigliamo di formare i tuoi dipendenti per creare password complesse. Tutto ciò che contiene più di 7 caratteri, una lettera maiuscola, un numero e un simbolo dovrebbe essere abbastanza forte da prevenire attacchi casuali. Tuttavia, ti consigliamo di avvisare i tuoi dipendenti di non modificare semplicemente uno di quei personaggi quando viene loro richiesto di creare una nuova password; invece, dovrebbero iniziare da zero con una nuova sequenza di lettere, numeri e simboli.
4. Insegnare ai dipendenti a segnalare problemi
Anche se il dipendente ha fatto clic o scaricato qualcosa che non avrebbe dovuto, è importante che vengano segnalate tutte le minacce. Se fai in modo che i tuoi dipendenti si sentano sicuri riguardo alla segnalazione di infrazioni in modo da invertire i danni o prevenire le intrusioni, il tuo team avrà molte più probabilità di farsi avanti.
"Devi creare un'atmosfera senza colpa in cui le persone possono portare avanti i problemi, anche se hanno fatto un errore", ha detto Kaiser. "È più importante per l'azienda sapere che esiste un potenziale problema di quello che è."
5. Utilizzare la corretta gestione dei dispositivi
Il software Mobile Device Management (MDM) ti aiuterà nel caso in cui il software debba essere aggiornato manualmente, un dipendente sia diventato un ladro o se devi cancellare da remoto un dispositivo smarrito o rubato. Ma se la tua azienda è troppo piccola o tecnologicamente non qualificata per mantenere un'intera flotta di dispositivi, ti consigliamo di formare i tuoi dipendenti affinché si prendano cura dei loro dispositivi sia fisicamente che digitalmente.
Assicurati che i tuoi dipendenti sappiano che devono aggiornare tutto il software quando saranno disponibili nuovi aggiornamenti. Questi aggiornamenti in genere contengono correzioni di vulnerabilità della sicurezza. Senza l'aggiornamento, la vulnerabilità continuerà a esistere, dando così agli hacker l'accesso al dispositivo e, eventualmente, all'intera rete.
"Assicurati che siano sempre consapevoli della sicurezza fisica dei dispositivi", ha dichiarato Kaiser. "Assicurati che non lascino il dispositivo incustodito e che il dispositivo sia correttamente riposto in un veicolo, quindi non è visibile." Kaiser ha anche affermato che è importante addestrare i dipendenti a comprendere i limiti fisici dei dispositivi. Sono impermeabili? Sono a prova di polvere? Quali sono le soglie di alta e bassa temperatura sicure per il dispositivo?
Inoltre, è necessario che ogni dispositivo che contiene i dati dell'azienda sia codificato o aperto tramite lettura biometrica. Questa è una semplice regola che tutti dovrebbero seguire, anche con i dispositivi personali, ma vale la pena ribadirlo per i dipendenti più ingenui o testardi.
6. Fornire accesso remoto e formazione Wi-Fi
Se sei preoccupato per la sicurezza (cosa che dovresti assolutamente essere), imposta immediatamente una rete privata virtuale (VPN). Se un dipendente lavora in remoto, allora dovrebbe usare quella VPN in ogni momento per tutte le attività.
Dovresti anche istituire politiche e procedure su come i dipendenti utilizzano il Wi-Fi quando sono fuori sede. Le reti Wi-Fi a cui accedono devono essere protette da password e presentare forti impostazioni di sicurezza. Quando i tuoi dipendenti sono su smartphone e tablet, dovrebbero sempre scegliere di utilizzare il piano dati cellulare del dispositivo piuttosto che una rete Wi-Fi sconosciuta.
