Di seguito proponiamo una checklist per effettuare un'autovalutazione sulla preparazione, dal punto di vista della sicurezza informatica, della vostra azienda allo smart working o telelavoro.
Non si tratta di un elenco completo, ma un utile riassunto degli elementi più importanti per essere più preparati agli attacchi esterni ed interni.
Ricorda che puoi sempre contattarci se hai bisogno di consigli specifici all'indirizzo sales@isgroup.it
Test interattivo di auto-valutazione della sicurezza in smart working
Compila il form per sbloccare la checklist e iscriverti alla nostra newsletter con cadenza bisettimanale. Se sei già iscritto inserisci i dati immessi in precedenza, il sistema non ti iscriverà due volte.
| Cosa Fare | Fatto |
|---|---|
| Cybersecurity | |
|
Assicurarsi che i portatili ed i dispositivi mobile utilizzino la crittografia hardware (o software) dei dati |
|
|
- Memorie interne (Hard Disk, SSD, NVME, ..) |
|
|
- Memorie esterne (chiavette USB, ..) |
|
|
Utilizzare le pellicole privacy per evitare shoulder-surfing |
|
|
- sui portatili |
|
|
- sui dispositivi mobile |
|
|
Rendere obbligatoria l’autenticazione a due fattori (2FA) |
|
|
- per l'accesso all’email |
|
|
- per l'accesso ai sistemi |
|
|
- per l'accesso alle applicazioni |
|
|
Incoraggiare l’uso di Password Manager |
|
|
Ricordare al personale |
|
|
- di non aprire documenti relativi al Coronavirus |
|
|
- di aggiornare sempre l'antivirus |
|
|
- di aggiornare sempre il sistema operativo e i software aziendali |
|
|
- di proteggere la confidenzialità delle informazioni |
|
|
- di segnalare violazioni e avvenimenti sospetti |
|
|
- di non posporre aggiornamenti software critici |
|
|
- di bloccare sempre il computer se si spostano dalla loro postazione |
|
|
- di collegarsi solamente a reti protette da password |
|
|
- di evitare di mantenere dati aziendali in locale ma di caricarli sempre sul cloud aziendale |
|
|
- di navigare con Firefox con i plugin Noscript e HTTPS Everywhere |
|
|
- di utilizzare Telegram attivando la comunicazione crittata per scambiare messaggi in azienda al posto di whatsapp |
|
|
Ricordare al personale che le policy aziendali si applicano allo Smartworking dunque |
|
|
- inviare un’informativa sull’uso dei dispositivi aziendali a fini personali |
|
|
- inviare un’informativa sulla navigazione di siti non consentiti (ad esempio quelli pornografici) in orario lavorativo e/o con strumenti aziendali |
|
|
- inviare un’informativa sullo scaricamento ed utilizzo di contenuti illegali (ad esempio film, giochi e software) che possono essere veicolo di malware e ransomware, oltre che saturare le risorse aziendali (ad esempio la VPN) |
|
|
- di non prestare i sistemi aziendali ai figli o ad altri membri della famiglia |
|
|
- di non condividere le password, in particolare su sistemi di messaggistica (es. Skype o WhatsApp) |
|
|
- di non installare software per scopi personali |
|
| Utenti privilegiati | |
|
Assicurarsi che tutti gli utenti privilegiati |
|
|
- abbiano chiare le loro responsabilità |
|
|
- non eseguano il login con privilegi elevati per task giornalieri dove non è necessario |
|
|
- facciano rapporto di qualsiasi errore immediatamente in modo da agire subito per risolvere eventuali problemi |
|
| Email di Phishing | |
|
Ricordare al personale che può succedere di commettere degli errori, l'importante è farne rapporto |
|
|
- se si ha premuto accidentalmente su un link |
|
|
- se si ha aperto un file sospetto (es. PDF, word o excel con macro) |
|
|
- se si hanno contratto dei malware o l'antivirus ha trovato file infetti |
|
|
Ricordare costantemente al personale |
|
|
- di prestare attenzione ad eventuali mail di phishing e altri tentativi che possano compromettere o sottrarre dati degli account aziendali |
|
|
- di rapportare eventuali mail di phishing o attività sospette |
|
|
- di contattare i loro superiori per i problemi |
|
| Attacchi informatici e reazione agli errori | |
|
Assicurarsi di avere sempre una connessione VPN aziendale |
|
|
Il personale addetto alla sicurezza deve essere molto vigile e cercare attivamente attività sospette (date le abitudini degli utenti questo potrebbe essere operativamente dispendioso) |
|
|
Chiedere all'IT e al personale addetto alla sicurezza (incluse le aziende esterne) di chiamare direttamente per problemi importanti piuttosto di affidarsi solamente alle email (anche utilizzare app non sicure come Whatsapp se le comunicazioni sono molto urgenti) |
|
|
Conservare una copia stampata delle procedure e della check list a casa e assicurarsi che non siano accessibili facilmente |
|
| Backup Backup Backup | |
|
Fornire al personale dei software che effettuino il backup dei documenti importanti |
|
|
Chiedere al personale |
|
|
- di eseguire il backup dei loro dati su un dispositivo esterno autorizzato che non sia permanentemente connesso al loro computer |
|
|
- di non usare sistemi di cloud esterni non autorizzati |
|
|
- di proporre qualsiasi sistema o servizio cloud che secondo loro potrebbe essere utile |
|
| Call e riunioni online | |
|
Ricordare al personale |
|
|
- di mutare il proprio microfono quando non stanno parlando in una riunione |
|
|
- di non lasciare mai i loro dispositivi sbloccati specialmente durante una call |
|
|
- di non lavorare in luoghi pubblici (se possibile) specialmente se stanno avendo riunioni strettamente confidenziali |
|
|
- di bloccare la webcam di default |
|
|
- di controllare che non ci siano ospiti o persone sconosciute prima di trattare informazioni confidenziali in call |
|
| Eccezioni | |
|
Creare un registro delle eccezioni |
|
|
Storicizzare le eccezioni per data ed esaminandole attentamente |
|
|
Creare una lista di elementi esclusi a priori dalle eccezioni |
|
Checklist realizzata usufruendo dei contenuti di Amar Singh e Aditi Uberoi
