Gli otto errori di sicurezza che le PMI devono evitare

Password, backup, autorizzazioni di accesso, mancanza di antivirus. Sono questi alcuni degli errori di sicurezza che nemmeno le aziende più piccole possono ormai permettersi di fare.

miti della cybersecurity

Chiunque avvii un’attività, anche piccola, deve essere in grado di gestire la tecnologia moderna almeno per alcuni aspetti fondamentali legati alla sicurezza. Per questo Kaspersky ha condiviso una guida in otto punti per parlare degli errori informatici più comuni compiono ancora spesso imprenditori in erba.

Password sui post-it

Le password di accesso a tutte le risorse condivise tra aziende finiscono spesso scarabocchiate su dei post-it che poi rimangono attaccati sui computer dei dipendenti, dove chiunque entri in ufficio può vederle. Parliamo quindi di un uso scorretto delle password. Le conseguenze dipendono molto da quali risorse svela la password, ad esempio l’host del sito web, il sistema di contabilità o il computer che memorizza il database dei clienti, ma il tipico risultato di tale negligenza è il furto di informazioni o di denaro.

Soluzione: Assicuratevi che ogni computer dell’ufficio, i computer e i dispositivi mobili di ogni dipendente siano protetti da una password unica. Utilizzate un Password Manager per evitare password deboli, riutilizzate e dimenticate. Gli utenti della nostra soluzione per piccole aziende possono utilizzare lo stesso codice di licenza per attivare anche il nostro Password Manager.

Password condivise

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication. SCOPRI DI PIÙ >>

Un’altra cosa da dire sulla sicurezza delle password: mantenetele private. Quando alcuni dipendenti hanno più diritti di accesso di altri, a volte le condividono, per comodità o per necessità.

Soluzione: Sottolineate l’importanza della sicurezza delle password al personale e utilizzate l’autenticazione a due fattori, dove possibile.

Password semplici

Se la password dell’e-mail del vostro commercialista è password123 o simili, hackerarla su un semplice computer di casa richiede circa sei secondi. Per craccare una password come MyPaSsWoRd123 ci vogliono due giorni, poco tempo in ogni caso. Tuttavia, una password come P’@’s’w’0’r’d o simili richiederebbe più di 3.000 anni per essere craccata (almeno senza l’accesso a risorse di livello da data center). Un criminale informatico che cerca di ottenere quella password con un attacco di forza bruta non ha tutto questo tempo da perdere.

Soluzione: Anche le password devono essere diverse l’una dall’altra, il che le rende praticamente impossibili da ricordare. Utilizzate una sorta di regola mnemonica o installate il nostro password manager e dimenticatele senza rimorsi. A dire il vero, anche le password complesse possono essere oggetto di fughe di dati, quindi dovreste attivare l’autenticazione a due fattori dove possibile, poiché vi offre protezione in casi di questo tipo.

Nessun backup

I vostri database, i vostri registri contabili, i vostri file importanti e gli altri documenti indispensabili sono conservati da qualche parte, che sia su un computer personale, su un server o altrove. Per motivi di sicurezza, copiateli regolarmente anche da un’altra parte; in modo tale che, se l’hard disk dovesse rompersi, o il server venisse compromesso, i vostri file dovrebbero essere ancora protetti. Anche il vostro sito web ha bisogno di backup periodici.

Detto questo, fare i backup è una seccatura e la tentazione di rimandare è forte. Però è davvero necessario farli, e spesso. La contabilità può essere inserita su tutti i nuovi computer, ma ogni disco rigido ha una sua “durata di vita”. E se un tubo scoppiasse proprio sopra la stanza dove c’è il server? Il punto è che ci si può preparare ad ogni sorta di possibilità, ma nessuno può aspettarsi l’imprevisto.

Soluzione: Eseguite il backup dei dati importanti e aggiornate regolarmente tutti i firmware e i software, in modo da ridurre al minimo il numero di falle nel sistema e nei software, falle attraverso le quali un intruso potrebbe entrare nella vostra rete. Avvaletevi di un’opzione di backup personalizzata.

intelligenza artificiale

Autorizzazioni di accesso dimenticate

I dipendenti e le aziende spesso prendono strade diverse. Se uno sviluppatore di un sito web, ad esempio, si licenzia a causa di una discussione, potrebbe potenzialmente cancellare parti del sito. La revoca dell’accesso è una parte importante di qualsiasi interruzione di collaborazione professionale, ma anche prima di ciò, limitate comunque l’accesso dei dipendenti solamente alle risorse di cui hanno bisogno per il loro lavoro.

Soluzione: Se un membro del personale va via, cambia posizione o gli viene chiesto di andarsene, verificate immediatamente quali siano le sue autorizzazioni di accesso e, se necessario, tali permessi vanno revocati o trasferiti.

Impostazioni di default

Anche un panificio ha bisogno di un router. Qualcuno ha impostato correttamente il vostro? In molti casi, la priorità di un dipendente di un ISP (fornitore di servizi Internet) è solo quella di farvi connettere, quindi inseriscono le impostazioni dell’ISP ed è tutto lì. Tuttavia, le combinazioni di login e password predefinite lasciano la vostra rete di lavoro essenzialmente scoperta.

Essere hackerati ed essere aggiunti ad una botnet di spam non è la cosa peggiore che può accadervi. Per esempio, qualcuno potrebbe installare uno sniffer (uno strumento che analizza tutto il vostro traffico) a quel punto nessuna password complessa vi salverà. In poche parole, è fondamentale modificare le impostazioni di default sui router e su altri dispositivi di rete ed è semplicemente giusto farlo per ogni vostro dispositivo.

Soluzione: Impostate il router e la rete in modo appropriato. Non è un compito divertente, ma è veloce. Vanno cambiati almeno il nome dell’amministratore e la password, ma prendetevi anche un momento per assicurarvi che la vostra rete utilizzi la crittografia WPA2 e disabilitate la gestione remota del router, poi controllate (e installate) gli eventuali aggiornamenti del firmware disponibili.

Mancanza di protezione antivirus

È allettante, e comune, pensare di essere troppo “piccoli” per essere un bersaglio. Essere intelligenti e utilizzare un sistema più sicuro con un minor numero di programmi malware è un bene. Ma tutti i vostri dipendenti dovrebbero essere intelligenti e attenti e i malware sono solo uno dei tanti pericoli. Considerate, almeno, il phishing, che per i Mac è rischioso tanto quanto lo è per Windows, per non parlare del fatto che è immensamente popolare tra i truffatori che attaccano le aziende.

Soluzione: Installate e configurate una soluzione di sicurezza forte e affidabile. Impostatela per verificare e installare automaticamente gli aggiornamenti di sicurezza. Questa soluzione progettata specificamente per le piccole imprese dispone di un modulo antiphishing che vi aiuterà ad evitare pagine web volte a rubare le vostre credenziali di accesso e altri dati.

Dipendenti disinformati

Il primo passo è capire che si ha un problema; è improbabile che i dipendenti che non hanno una buona conoscenza dei moderni protocolli di sicurezza comunichino un incidente o una anomalia, se non ne sono nemmeno consapevoli. Bella sfida, no?! In ogni caso, a meno che non trasmettiate le vostre informazioni a tutti coloro che lavorano al vostro fianco, in modo comprensibile e attuabile, mediante formazione sulla cybersicurezza, uno di loro finirà per essere l’anello debole.

Soluzione: Formate sia i dipendenti di vecchia data, sia i nuovi arrivati. Le basi di una cultura digitale sicura sono: non aprire gli allegati di posta elettronica di mittenti sconosciuti, non cliccare su link senza prima verificare, utilizzare servizi su cloud affidabili con l’autenticazione a due fattori per i dati sensibili, non scaricare software da siti inaffidabili o illegali, e così via. Non avete tempo per la formazione sulla cybersicurezza? Utilizzate una piattaforma di apprendimento automatizzata.