La Cultura della Sicurezza Informatica

La protezione delle informazioni dipende in gran parte da noi ...

I nostri Computer, la nostra rete e il nostro accesso ad Internet sono sicuri?

Tutti i giorni leggiamo o ascoltiamo notizie di:

– “programmi” che tracciano il profilo di cosa gli utenti fanno su internet…

– attacchi che bloccano i siti di aziende importanti …

– virus che criptano o distruggono archivi e documenti…

– hacker che penetrano nei computer più riservati…

– social network usati come veicolo di truffe…

Il problema esiste, non bisogna creare inutili “allarmismi” ma nemmeno sottovalutarlo !

Ogni sistema informativo in Rete, è soggetto ad attacchi vandalici ed è il potenziale obiettivo di intrusioni mirate.

Ogni sistema di comunicazione in Rete è soggetto ad intercettazione dei messaggi e può consentire di falsificare o alterare i messaggi.

Ogni azione compiuta in Rete lascia tracce, volute o non volute, e può fornire informazioni sensibili.

Occorre una “cultura” per muoversi in modo corretto nella “Rete”, occorre conoscere i rischi a cui si è esposti e i rimedi adeguati. E’ necessario adottare alcune contromisure tecniche di protezione e prendere consapevolezza degli strumenti legislativi che abbiamo a disposizione per la tutela dei diritti. La cosa più importante è però l’educazione che ci consente di adottare norme di comportamento individuale che riducono in modo sostanziale i rischi.

La sicurezza delle informazioni

La protezione del bene più prezioso della nostra società
Il bene supremo della società attuale è “l’informazione”. L’informazione “moderna” è immateriale ed è svincolata dal suo supporto fisico ed è difficilmente proteggibile con i metodi tradizionali. L’informazione digitale può essere facilmente intercettata, copiata, spostata, diffusa, modificata, contraffatta, falsificata, alterata o distrutta.
E’ importante tener presente che “i cattivi non stanno solo fuori” e che “i buoni non stanno solo dentro“… Oltre l’80% dei problemi di sicurezza ha come origine l’interno delle organizzazioni !
L’ingresso di virus, worm, cavalli di Troia, fuga di dati riservati, esposizione a truffe, disastri ed incidenti per incuria o errori, sabotaggi, ritorsioni ed ultimamente estorsioni (virus criptolocker) viene causato, nella stragrande maggioranza dei casi, da un errato comportamento (volontario o involontario)  di utenti interni all’azienda.
Nella predisposizione della propria politica di prevenzione e delle contromisure tecniche di protezione occorre dunque considerare sia i rischi provenienti da fonti esterne che quelli che si originano all’interno.
Si dice che “La sicurezza totale non esiste” e che “L’unico computer sicuro è quello non connesso ad alcuna rete e sopratutto … spento!“. Poichè non ci è possibile tenere “spenti” o disconessi dalla rete i nostri Computer nè tanto meno si possono avere a disposizioni budget da “multinazionale”, si rende necessario trovare un ragionevole bilanciamento fra i costi da sostenere ai fini della sicurezza ed i benefici/risultati che si possono ottenere.

Da chi dobbiamo difenderci ?

Le Minacce provenienti dall’Esterno:

– terzi estranei, curiosi od ostili

– concorrenti sleali

– organizzazioni criminali

– hacker, cyberterroristi, tecnovandali, …

Le Minacce provenienti dall’Interno:

– dipendenti “ingenui”, “distratti”, “frettolosi”… quando non infedeli, insoddisfatti, vendicativi, …

– personale esterno (consulenti, clienti, fornitori, …)

Da cosa dobbiamo difenderci ?

– virus

– worm

– trojan

– keylogger

– spam

– phishing

– altre tipologie di attacchi …

– … utilizzo ai fini personali, durante  l’orario di lavoro, delle risorse telematiche dell’azienda.

Molte attività non sempre vengono percepite come reato, da parte di chi le compie, come nel il caso di:

– “scaricare” musica e film

– non “proteggere” adeguatamente i dati personali o sensibili di terzi in ns. possesso…

– diffondere notizie riservate, personali o aziendali in mailing list, forum, social network, blogs, …

– leggere le e-mail dei colleghi o sottrarre loro credenziali di accesso ai servizi, …

– Attività ostili verso terzi esterni, volontarie o meno, quali ad esempio l’invio inconsapevole di spam …

E’ possibile che la rete informatica aziendale venga utilizzata ad insaputa di tutti, per mettere in atto attività ostili verso terzi. Non è raro che sui computer interni ad una rete aziendale si trovino installati dei “Malware” (come Trojan, keylogger ed altro) che consentano all’hacker di turno di inviare e-mail “spam” a nostra insaputa, di intercettare password, di effettuare attacchi informatici utilizzando i nostri indirizzi di identificazione (IP).

La Protezione non è solo tecnologia
Firewall, antivirus, Sistemi di identificazione degli intrusi (IDS), sono necessari ma non sufficienti, occorre quindi un approccio integrato e multidisciplinare in cui la parte fondamentale la fanno le “persone”.
E’ necessario che l’Organizzazione (Azienda o Studio Professionale) definisca le proprie policy di sicurezza, le norme operative e comportamentali con una particolare attenzione agli aspetti “Legali”compresi qualli definiti nell’ambito della normativa vigente nel campo della “Privacy”.
Dovrà dotarsi di infrastrutture tecniche che consentano di Prevenire, Proteggere, Analizzare e generare Allarmi a fronte di eventi inconsueti.
Ma soprattutto dovrà dedicare delle risorse per formare e motivare il proprio personale.  


 

Il “rischio privacy”

Farsi gli affari degli altri non è mai stato così facile…
Oggi la maggior parte delle informazioni di valore viene elaborata ed archiviata su sistemi informativi, personali e non, generalmente connessi tra loro in modo sempre più permanente.
Gli apparati hanno assunto una dimensione personale (notebook, smartphone, tablet), con grande capacità di elaborazione, di comunicazione e connettività in mobilità.
Questo scenario apre prospettive non sempre tenute in giusta considerazione dai soggetti che debbono proteggere i nostri dati ai fini della normativa sulla “Privacy“.
Non sempre si tiene nella giusta considerazione il fatto che le reti e i sistemi sono generalmente più vulnerabili ad attacchi volti solo a raccogliere informazioni e solitamente chi pensa di non avere nulla da nascondere non si protegge a sufficienza.

La normativa Privacy negli studi professionali ….

…un aspetto spesso trascurato all’interno degli studi professionali (Commercialisti, Consulenti del Lavoro, Avvocati).
Oltre ai dati personali dei soggetti che affidano ad un professionista la gestione della propria dichiarazione dei redditi, della contabilità del personale dipendente o di eventuali contenziosi giudiziari, è  inevitabile, per queste tipologie di professioni, dover trattare anche dati sensibili (Basti pensare alle firme dell’ 8 o del 5 per 1000, ai certificati medici, all’adesione ad organizzazioni sindacali, alle memorie difensive etc..etc.. ).
Si faccia attenzione, perché anche solo la redazione di un documento elettronico dove segnare le presenze, e quindi le ore di assenza per malattia dei dipendenti, costituisce trattamento elettronico di dati sensibili.
Pur tenendo conto di tutte le semplificazioni introdotte nel tempo, nel caso in cui i dati (personali e/o sensibili) vengano elaborati con “mezzi elettronici” è necessario che gli stessi siano  trattati nel rispetto delle misure minime di sicurezza previste dal Codice della privacy.
Per brevità riportiamo di seguito solo alcuni dei passi più importanti a cui fare attenzione …

Gli illeciti penali
Misure di sicurezza – (Art. 169 Codice privacy)
Chiunque, essendovi tenuto, omette di adottare le misure minime previste è punito con l’arresto sino a due anni o con l’ammenda da 10.000 a 50.000 Euro. … omissis  

Le misure minime di sicurezza previste dalla nuova legge privacy.
tra le numerose cose elencate nelle misule minime di sicurezza mettiamo in evidenza:
omissis

  • la presenza di strumenti elettronici (firewall e antivirus), da aggiornare almeno semestralmente, che proteggano i dati personali dal rischio di intrusioni;
  • il salvataggio (backup) dei dati con cadenza almeno settimanale;

omissis

Quanti studi professionali hanno anche un Firewall oltre al semplice router per la connessione ad internet?


Nessun Firewall e nessun Antivirus può proteggerci quando il nemico siamo noi stessi…

Come evitare gli attacchi di phishing e Social Engineering
1. CHE COSA È UN ATTACCO DI SOCIAL ENGINEERING?

In un attacco di Social Engineering viene utilizzata l’interazione umana (competenze sociali) per ottenere o compromettere informazioni su un’organizzazione o sui suoi sistemi informatici. Spesso il malintenzionato si presenta nelle vesti di un nuovo dipendente, un addetto alle riparazioni o un ricercatore, offrendo alla vittima dell’attacco credenziali attendibili per dimostrare la millantata identità. Una volta ottenuta la sua fiducia e usando domande adeguate, può essere in grado raccogliere informazioni sufficienti per infiltrarsi nella rete dell’organizzazione. Nel caso non riesca ad ottenere immediatamente informazioni sufficienti dalla prima vittima, l’attaccante può contattare un’altra fonte all’interno della stessa organizzazione e per mezzo delle informazioni precedentemente raccolte, rendersi più credibile alle nuove vittime così da raggiungere il proprio scopo.
2. CHE COSA È UN ATTACCO DI PHISHING?
Il phishing è una forma di Social Engineering. Normalmente gli attacchi di questo tipo utilizzano Email o siti Web dannosi per ottenere informazioni personali fingendosi un’organizzazione affidabile. Ad esempio, il malintenzionato può inviare una Email, apparentemente provenienti da società che gestiscono carte di credito o da istituti finanziari, per richiedere informazioni sull’account della vittima con la scusa che sono stati rilevati problemi nella gestione delle transazioni. Se la vittima risponde fornendo le informazioni richieste, queste possono essere utilizzate per ottenere l’accesso all’account. Gli attacchi di phishing possono presentarsi anche come provenienti, in modo ingannevole, da enti di beneficenza, corrieri postali, servizi di fatturazione elettronica etc.. etc..

COME EVITARE DI ESSERE UNA VITTIMA?
Seguendo delle semplici regole di comportamento è possibile evitare di diventare vittima di attacchi di Social Engineering e/o phishing e di tutte le conseguenze derivanti dalla compromissione delle credenziali di accesso alle informazioni personali e sensibili.
L’elenco che segue non intende essere esaustivo ma rappresenta una buona prassi per l’educazione dell’utilizzatore agli aspetti della sicurezza informatica.

img_nethservice_04 Diffidate di chiamate telefoniche non richieste, visite o messaggi Email da persone che fanno domande sui dipendenti o su altre informazioni interne. Se un individuo sconosciuto sostiene di far parte di un’organizzazione legittima, verificate la sua identità direttamente presso quell’organizzazione.

img_nethservice_04 Non fornite informazioni personali o che riguardano la vostra organizzazione, incluse quelle sull’organigramma e la rete aziendale, se non siete sicuri che la persona che ve le chiede abbia l’autorità per farlo.

img_nethservice_04 Non rivelate informazioni personali o finanziarie nelle Email, e non rispondete a messaggi che sollecitano l’invio di tali informazioni anche per mezzo di link inclusi nel messaggio.

img_nethservice_04 Non inviate informazioni sensibili tramite Internet prima di aver controllato la sicurezza e l’attendibilità del sito web.

img_nethservice_04 Controllate con attenzione l’indirizzo (URL) di un sito web. Molti siti web dannosi sembrano identici a siti legittimi, ma spesso il loro URL è scritto con una differenza ortografica o con un dominio diverso (es.: “.com” invece che “.it”). NON cliccate sui link inclusi nei messaggi di posta elettronica !!

img_nethservice_04 Se non siete sicuri della legittimità di una Email di richiesta informazioni, eseguite una verifica contattando direttamente l’azienda che appare come mittente e non utilizzate le informazioni di contatto presenti nella Email o nel sito web di riferimento, ma ricavatele da segnalazioni precedenti. Informazioni su attacchi di phishing noti sono facilmente reperibili tramite i motori di ricerca.

img_nethservice_04 *** Importante *** Evitate di aprire allegati o cliccare su link di dubbia provenienza e non eseguite software non conosciuti e la cui legittimità sia dubbia.

img_nethservice_04 Installate e mantenete aggiornati software, firewall e filtri di posta elettronica anti-virus così da ridurre una buona parte di questo tipo di attacchi.

img_nethservice_04 Sfruttate le funzioni anti-phishing offerte dal client di posta elettronica e dal browser che utilizzate.

  visita la pagina relativa a: img_nethsecurity_03img_nethsecurity_01 Soluzione per la sicurezza e la protezione delle reti informatiche

Contattaci ora per qualsiasi informazione

Se hai qualche domanda a cui non abbiamo ancora risposto non esitare a contattarci.

CONTATTACI ORA