Il concetto di sicurezza informatica intimorisce molti. Inoltre, contrariamente a quanto molti pensano, non è una responsabilità esclusiva dei team della sicurezza. I criminali informatici non fanno discriminazioni quando si tratta di colpire. Prendono di mira i collaboratori con accesso a dati sensibili, di qualsiasi dipartimento e posizione gerarchica, spesso prima che i team della sicurezza abbiano il tempo di analizzare gli attacchi. Non sorprende perciò questa dichiarazione della National Cybersecurity Alliance (NCA):
“È fondamentale che i team della sicurezza incoraggino l’adozione di sane abitudini in materia di sicurezza informatica attraverso la formazione e trovino il modo di coinvolgere gli utenti per far comprendere loro che svolgono un ruolo fondamentale nella protezione dell'azienda”.
Quest’anno, il kit di Proofpoint per il mese della sensibilizzazione alla sicurezza informatica riflette i temi principali dell’NCA per il 2022 ed è volto ad aiutarti a educare i tuoi utenti sui diversi tipi di minacce informatiche. Fornendo ai tuoi utenti gli strumenti per identificare, bloccare e segnalare le minacce, potrai incoraggiare abitudini sane di in materia di sicurezza informatica e rafforzare la linea di difesa della tua azienda.
Prima di approfondire i principali suggerimenti per quest'anno, è fondamentale capire perché la sensibilizzazione alla sicurezza è importante e necessaria.
Perché la sensibilizzazione alla sicurezza è importante?
I criminali informatici prendono di mira gli utenti piuttosto che le infrastrutture, perché è più facile e veloce ingannare le persone che penetrare un firewall o violare un account. Inevitabilmente, una minaccia passerà attraverso al tuo gateway email. Per questo motivo, gli utenti devono sapere come riconoscere le minacce e come reagire per ridurre le probabilità di una violazione.
I nostri corsi di sensibilizzazione alla sicurezza informatica forniscono esempi di minacce reali, spiegano agli utenti cosa fare in caso di minaccia, incoraggiano l’adozione di sane abitudini in materia di sicurezza informatica e valutano come gli utenti mettono in pratica quanto appreso in situazioni reali.
Per aiutarti a prepararti al meglio per il mese nazionale della sensibilizzazione alla sicurezza informatica, Proofpoint ha scelto i seguenti argomenti per il kit di quest’anno per rispecchiare le indicazioni dell’NCA:
- Utilizzare l’autenticazione a più fattori
- Creare password efficaci
- Aggiornare il software
- Riconoscere e segnalare il phishing
Proteggi i tuoi account grazie all’autenticazione a più fattori
La maggior parte degli account utilizza almeno l’autenticazione a due fattori per verificare la tua identità e garantire che solo tu possa accedere alle tue informazioni e ai tuoi sistemi. L’autenticazione a più fattori può assumere diverse forme tra cui: password aggiuntive, una chiave fisica (tramite un dispositivo USB), la biometria (ad esempio, impronte digitali p voce) o la posizione GPS del tuo dispositivo.
Figura 1. Queste immagini sono esempi di fattori tipici per l’autenticazione a più fattori per l’accesso agli account cloud Microsoft più comuni (crediti: pagina Panoramica sull’autenticazione di Microsoft Azure Active Directory).
I criminali informatici hanno compreso quanto l'autenticazione a più fattori sia diventata utile e comune e hanno trovato il modo di aggirarla utilizzando tecniche di bombardamento quando hanno accesso alle credenziale di un collaboratore. Secondo questo approccio, i criminali informatici inviano diverse notifiche “push” o richieste di autenticazione a più fattori tramite telefono o email. La loro speranza è che l’utente si stanchi di inserire le proprie credenziali di accesso e si limiti ad “accettare” una falsa richiesta di autenticazione a più fattori per non ricevere più messaggi.
Per mantenere al sicuro i tuoi account, diffida delle richieste di autenticazione a più fattori insolite che appaiono sui tuoi dispositivi e fai attenzione se ricevi molteplici richieste in un breve periodo di tempo. Approva le richieste di autenticazione a più fattori solo quando stai cercando di accedere ai tuoi account e imposta avvisi sui tuoi dispositivi per la notifica di attività sospette.
Per quanto possa sembrare noioso inserire più codici o analisi più elementi biometrici o impronte digitali, imposta l'autenticazione a più fattori su tutti i tuoi account e prenditi il tempo necessario per verificare ciò che ti viene richiesto dai messaggi legittimi. Questo ti aiuta a mantenere i tuoi dati al sicuro e a ricevere un avviso in caso di un tentativo di violazione del tuo account.
Crea password efficaci e aggiorna i software con regolarità
Può essere difficile ricordare password diverse per i vari account a cui accediamo ogni giorno: la tentazione di usare la stessa password su più piattaforme è forte. Attenzione: i criminali informatici spesso utilizzano siti web open source progettati per generare stringhe di caratteri casuali con la speranza di “indovinare” la password di un account.
Le password deboli agevolano il compito. Inoltre, se la stessa password viene utilizzata in luoghi diversi, aumenta la probabilità che i criminali informatici compromettano più account una volta indovinata la password. Per complicare la vita agli hacker, crea password efficaci che combinino vari caratteri, simboli e numeri.
L'immagine seguente mostra la differenza tra una password debole e una efficace:
Figura 2. La password debole non include combinazioni di caratteri o lettere maiuscole diverse e include la data di nascita, che può essere facilmente indovinata dai criminali informatici grazie a siti web open source. La password efficace utilizza una combinazione di caratteri e parole casuali.
Insegna ai tuoi utenti le best practice per l’uso delle password grazie al nostro kit gratuito per la sensibilizzazione sulle password.
Per proteggere le tue informazioni, è fondamentale ance aggiornare i software installati sui tuoi dispositivi. I team della sicurezza lavorano alacremente per identificare i bug che richiedono l’applicazione di patch. Se non vengono risolti, a volte questi bug possono portare a vulnerabilità nel software. Anche se gli aggiornamenti software possano causare un rallentamento del computer durante l'installazione o richiedere un riavvio che sottrae tempo alle attività in corso, è importante assicurarsi di utilizzare il software più recente per evitare che i criminali informatici si infiltrino nei tuoi dispositivi e account.
Fai attenzione al phishing, sia in ufficio e a casa
Nell’attuale contesto del telelavoro, i collaboratori sono distratti da più dispositivi e da priorità concorrenti, il che aumenta il rischio che si facciano ingannare da una minaccia di phishing. Saper riconoscere e segnalare il phishing può aiutare i colleghi a non farsi ingannare da queste tattiche e a prevenire le violazioni.
Le email di phishing si presentano in forme diverse, sono in continua evoluzione e utilizzano tattiche di social engineering per ingannare gli utenti. Per esempio, all'inizio di quest'anno, diverse campagne di phishing hanno fatto leva sui sentimenti degli utenti per il conflitto tra Russia e Ucraina, inviando email fraudolente che richiedevano donazioni.
Raccolta fondi fraudolenta per l'Ucraina di un sito web ucraino di abbigliamento
Figura 3. L'immagine qui sopra mostra un'email fraudolenta di raccolta fondi che tenta di ottenere i dati di pagamento invitando gli utenti ad acquistare vestiti per sostenere il popolo ucraino.
L’utilizzo di una soluzione di formazione e di sensibilizzazione alla sicurezza in grado di sensibilizzare gli utenti alle minacce reali aumenta la probabilità che i collaboratori segnalino la prossima email di phishing ricevuta, proteggendo così il resto dell'azienda.
Come utilizzare il kit del mese della sensibilizzazione alla sicurezza informatica di Proofpoint
La sensibilizzazione degli utenti e la messa in pratica delle competenze acquisite sono fondamentali per ridurre i rischi per la sicurezza informatica. Per aiutare i tuoi utenti a sviluppare sane abitudini in materia di sicurezza, ti proponiamo una selezione di risorse gratuite che spiegano come utilizzare l’autenticazione a più fattori, creare password efficaci e aggiornare i software in modo tempestivo. Offriamo ance corsi di formazione per aiutarli a non farsi ingannare dal phishing e da altre esche di social engineering. Abbiamo suddiviso il nostro kit in un programma di quattro settimane:
- Settimana 1 (Lancio): Riconoscere l’importanza della sensibilizzazione alla sicurezza informatica e familiarizzare con l’autenticazione a più fattori
- Settimana 2: Utilizzare password efficaci
- Settimana 3: Aggiornare il software
- Settimana 4: Riconoscere e segnalare il phishing
Consulta la Guida introduttiva per creare i messaggi della tua campagna settimanale e aiutare gli utenti a sentirsi parte del team della sicurezza.
Passo successivo: scarica il kit
La sensibilizzazione alla sicurezza riguarda tutti, non solo i team della sicurezza. Inoltre, le azioni di tutti i collaboratori possono contribuire a proteggere l'azienda nel suo complesso o metterla accidentalmente in pericolo. Per rimanere al sicuro online, è importante adottare migliori abitudini in materia di sicurezza informatica, prestare attenzione al minimo segnale di comportamento sospetto e intraprendere le azioni appropriate in caso di minaccia.
Scarica e utilizza il kit del mese della sensibilizzazione alla sicurezza informatica di Proofpoint e visita il nostro Centro di sensibilizzazione alla sicurezza informatica per suggerimenti e trucchi volti ad aiutare i tuoi utenti a diventare supereroi della sicurezza informatica e a rimanere al sicuro online, sia al lavoro che a casa.