FinData conosce le sfide senza precedenti che le organizzazioni devono affrontare durante la pandemia di coronavirus. Con l’aumento dello smart working, le soluzioni e le infrastrutture IT vengono sollecitate ad affrontare queste sfide.
La norme sulla protezione dei dati non vietano l’utilizzo dello smart working, tuttavia, è opportuno che ogni organizzazione si prenda il tempo necessario per assicurarsi di lavorare in sicurezza.
Quelli che seguono sono controlli rapidi che possono essere eseguito subito. Non rappresentano una soluzione di sicurezza completa, ma supporteranno i responsabili nell’identificazione di alcune di tipiche vulnerabilità IT spesso sfruttate dai malintenzionati.
Principi generali
☐ Abbiamo politiche, procedure e linee guida chiare per il personale che lavora a distanza. Questi includono argomenti come l’accesso, la gestione e l’eliminazione dei dati personali.
☐ Stiamo utilizzando la versione più aggiornata della nostra soluzione di accesso remoto.
☐ Al nostro personale è stato ricordato di utilizzare password univoche e complesse.
☐ Abbiamo verificato se è disponibile l’autenticazione a più fattori e l’abbiamo configurata ove possibile.
Bring your own device (BYOD)
Bring your own device (BYOD) in italiano: porta il tuo dispositivo, porta la tua tecnologia, porta il tuo telefono e porta il tuo pc – è un’espressione usata per riferirsi alle politiche aziendali che permettono di portare i propri dispositivi personali sul posto di lavoro, e usarli per avere gli accessi privilegiati alle informazioni aziendali e alle loro applicazioni.
Esistono diversi approcci per facilitare il lavoro da casa e ognuno ha le proprie considerazioni sulla sicurezza. Guarda il nostro confronto per aiutarti a decidere quale sia l’opzione migliore per la tua organizzazione.
Archiviazione su cloud
Le soluzioni di archiviazione cloud aziendale consentono agli utenti di accedere ai dati fuori dall’ufficio su qualsiasi dispositivo. Possono anche aiutare a impedire al personale di utilizzare i propri servizi di archiviazione o messaggistica personale, il che può presentare rischi aggiuntivi.
☐ Il nostro cloud storage non è impostato su pubblico o accessibile senza nome utente o password (o altro tipo di autenticazione) .
☐ Solo il personale chiave ha avuto pieno accesso all’area di archiviazione. A tutto il resto del personale sono state concesse autorizzazioni di lettura, scrittura, modifica o eliminazione ove appropriato .
☐ Non utilizziamo alcun account root o amministrativo predefinito per le attività quotidiane e sono adeguatamente protetti .
Desktop remoto
I criminali informatici cercano continuamente di accedere a soluzioni di accesso remoto utilizzando account privilegiati noti, come un account amministratore.
☐ Il nostro staff, in particolare i nostri utenti privilegiati, hanno attivato il blocco dell’account, ovvero la disabilitazione dell’account dopo un certo numero di accessi non riusciti.
☐ Abbiamo creato nomi utente generici per i nostri account privilegiati e disabilitato qualsiasi account amministratore integrato o predefinito ove possibile .
☐ Consentiamo connessioni di accesso remoto solo al personale che lo richiede .
Per le strategie a lungo termine dovresti considerare se la tua soluzione di accesso remoto deve essere dietro un gateway o una rete privata virtuale (VPN). È possibile applicare correzioni a breve termine, ad esempio modificando la porta di ascolto della soluzione di accesso remoto, ma ciò dovrebbe essere considerato solo come una misura temporanea.
Applicazioni remote
Le soluzioni per applicazioni remote consentono al personale di accedere alle applicazioni aziendali di cui hanno bisogno durante lo smart working. Ciò può aiutare a impedire al personale di utilizzare le proprie applicazioni personali per elaborare i dati personali.
☐ La nostra soluzione per applicazioni remote non consente l’accesso agli strumenti di amministrazione di Windows come PowerShell o Prompt dei comandi.
☐ La nostra soluzione per applicazioni remote non consente l’accesso ai tasti di scelta rapida o ai tasti della guida che potrebbero essere utilizzati per aprire applicazioni o funzioni non autorizzate.
☐ I nomi utente e le password in testo normale non sono inclusi in nessun file, cartella o script.
Per le strategie a lungo termine, come per qualsiasi soluzione, dovresti esaminare le migliori pratiche e le indicazioni sul campo. Molte delle best practice che propongono i fornitori IT possono essere applicate universalmente a qualsiasi soluzione, ad esempio il rafforzamento del server e la segmentazione della rete.
Poiché più personale lavorerà da casa, ci sarà inevitabilmente un aumento della posta elettronica come metodo di comunicazione.
☐ Abbiamo esaminato e implementato soluzioni per la difesa dagli attacchi di phishing. Abbiamo inoltre formato e informato il personale fornendo documentazione come le linee guida NCSC (lingua inglese).
☐ Abbiamo bloccato la possibilità di aggiungere regole di inoltro a indirizzi e-mail esterni o abbiamo implementato un metodo per rilevare le regole di inoltro .
☐ Abbiamo consigliato al personale di utilizzare soluzioni di posta elettronica aziendali e di non fare affidamento sui propri account di posta elettronica o messaggistica per l’archiviazione o la trasmissione di dati personali.