[section_title title=4. Definire policy, illustrarle ai dipendenti ed applicarle]
4. Definire policy, illustrarle ai dipendenti ed applicarle
Serve avere una policy di sicurezza (cosa che tante piccole aziende non hanno) ed utilizzare compiutamente i propri dispositivi di Threat Prevention. E’ utile prendersi del tempo per definire quali applicazioni si intendano consentire nella propria rete e quali invece sarà preferibile non permettere. Serve inoltre che i dipendenti vengano educati a un utilizzo accettabile della rete aziendale. In altre parole, comunicare ufficialmente cosa si può e non si può fare, e successivamente rendere operative queste policy. Infine, va implementato un monitoraggio costante delle attività, per evidenziare le eventuali violazioni e l’eccessivo utilizzo dell’ampiezza di banda.
Definire una policy per l’utilizzo appropriato di applicazioni e siti web, consentiti o meno.
Non consentire l’utilizzo di applicazioni rischiose, quali BitTorrent o altre applicazioni di file sharing Peer-to-peer, che sono un metodo molto comune per la distribuzione di software maligno.
Bloccare TOR ed altri anomyzer, strumenti che possono nascondere i comportamenti degli utenti o aggirare le impostazioni di sicurezza.
Nella definizione delle policy, tenere nella giusta considerazione anche i social media.
5. Pensare in modo Social
I social media rappresentano una vera e propria miniera d’oro per i criminali informatici che intendono raccogliere informazioni sulle loro potenziali vittime, e così facendo migliorare il tasso di successo delle loro azioni. Attacchi quali phishing, spearphishing o social engineering iniziano sempre con la raccolta di informazioni personali sugli individui che ne saranno oggetto.
Educare i dipendenti ad essere cauti nella condivisione di informazioni sui siti social, anche per quanto riguarda i loro profili personali.
Far sapere agli utenti che i cybercriminali costruiscono profili dei dipendenti di un azienda per rendere più efficaci i loro attacchi di phishing e social engineering.
Formare i dipendenti sulle impostazioni di sicurezza che possono utilizzare sui social media per proteggere le proprie informazioni personali.
Gli utenti dovrebbero considerare con prudenza quello che condividono in Internet: i criminali potrebbero individuare la risposta a una domanda di sicurezza (ad esempio il nome del cane della persona), per modificare le password ed ottenere accesso agli account.
6. Usare la crittografia
Un data breach può avere effetti devastanti per l’azienda e per la sua reputazione. E’ fondamentale proteggere i dati cifrando i dati sensibili, e fare in modo che anche i dipendenti facciano lo stesso con la massima semplicità.
Assicurarsi che l’uso della crittografia faccia parte delle policy aziendali.
Assicurarsi tranquillità anche in caso di furto o smarrimento di un laptop, garantendosi che gli endpoint di proprietà dell’azienda abbiano installata una crittografia pre-boot.
Acquistare hard drive e supporti USB dorati di crittografia integrata.
Adottare una cifratura forte sulla proprie rete wireless (considerando l’utilizzo di WPA2 con crittografia EAS).
Proteggere i propri dati rispetto possibili ascoltatori esterni, cifrando le comunicazioni wireless con l’utilizzo di VPN (Virtual Private Network).
7. Effettuare una regolare manutenzione della rete (come per l’auto)
La rete e tutte le sue relative componenti dovrebbero funzionare come un meccanismo ben oliato e revisionato. Una manutenzione regolare garantirà che il network continui ad offrire le sua migliori prestazioni senza trovarsi di fronte a blocchi o rallentamenti.
Assicurarsi che i sistemi operativi di laptop e server siano sempre aggiornati (che Windows Update sia attivo su tutti I sistemi).
Disinstallare i software non necessari, in modo che non se ne debbano ricercare aggiornamenti regolari (ad esempio Java).
Aggiornare il browser, flash, Adobe e le applicazioni che si trovano su server e laptop.
Attivare gli aggiornamenti automatici quando questi sono disponibili: Windows, Chrome, Firefox, Adobe.
Utilizzare un dispositivo di Intrusion Prevention (IPS), come ad esempio l’appliance Check Point 600, per impedire che si verifichino attacchi verso laptop non aggiornati.
