La sicurezza informatica è un argomento vasto da affrontare ma estremamente importante sia per l’azienda che per il professionista. Non tutti i manager o i titolari di piccole attività hanno una conoscenza tecnica, pertanto farsi largo nel gergo tecnico e tra le tante informazioni contrastanti può essere difficile anche per la persona più attenta e orientata alla sicurezza.

Mettere al sicuro la vostra attività non è in realtà così difficile come vogliono far sembrare gli esperti. Con un po’ di pazienza e guida, si possono implementare misure di sicurezza di primo livello anche per le piccole società e per gli studi professionali.

DEFINIRE LE CRITICITA’

Il primo step per proteggervi dalle minacce è quello di definire le vostre vulnerabilità.

Quali sono i dati più importanti della vostra società?

Potrebbe essere qualsiasi cosa, dalla proprietà intellettuale ai dati dei clienti, inventari, informazioni finanziarie, ecc. Dove si conservano tutti questi dati? Una volta trovata la risposta a queste domande, si può iniziare a pensare ai rischi cui sono esposti i vostri dati.

E’ necessario fare una mappa accurata di tutte le procedure seguite da voi e dal vostro personale per raccogliere, conservare e divulgare questi dati. Pensare a tutti i punti di transito lungo il percorso attraverso cui è possibile perdere i dati. Considerare le conseguenze di una violazione della sicurezza informatica per voi, per i vostri dipendenti, clienti e partner commerciali. Dopo aver fatto ciò, può iniziare ad individuare e mettere in pratica le precauzioni necessarie.

PROTEGGERE I COMPUTER ED I DISPOSITIVI

I computer e i dispositivi sono i portali attraverso cui svolgete la vostra attività. Ma dato che questi dispositivi sono collegati a Internet e a una rete locale, sono vulnerabili all’attacco. Queste sono le nostre linee guida per migliorare la sicurezza nell’infrastruttura informatica della vostra azienda/studio.

AGGIORNARE I SOFTWARE

Il primo vero step (e probabilmente il più semplice) per garantire che i vostri sistemi non siano vulnerabili all’attacco, è di usare sempre la versione del software più aggiornata su cui può contare la vostra attività. I pirati informatici trascorrono il loro tempo a ricercare bug nei software popolari, scappatoie per entrare nel sistema. Lo fanno per qualsiasi motivo: per fare soldi, per dichiarazioni politiche o semplicemente perché possono farlo. Questo tipo di intrusione può causare danni incalcolabili alla vostra attività.

Microsoft e altre società di software sono sempre alla ricerca delle vulnerabilità del loro software. Quando ne trovano una, lanciano un aggiornamento affinché gli utenti effettuino il download. Il metodo più semplice per evitare di diventare la prossima vittima dei pirati informatici è di aggiornare coscienziosamente il software.

PROTEGGERSI DAI VIRUS

I virus sono programmi dannosi che infettano il vostro computer senza alcun preavviso. I virus possono dare molte cose, ma di solito hanno accesso ai vostri file e li cancellano o modificano. I virus si diffondono velocemente moltiplicandosi e inviandoli alle persone presenti nella vostra lista di contatto. Se un computer nella vostra rete riceve un virus, può diffondersi velocemente in tutta la vostra società, causando una significativa perdita di dati. Se comunicate con i vostri clienti tramite email (proprio come facciamo tutti), si corre il rischio di infettarli.

I malware e i ransomware sono le due tipologie di virus in assoluto più pericolose. Malware significa “software dannoso”. Funziona spingendo la vittima a scaricare un dato software per avere così accesso al computer della vittima. Può rilevare gli accessi effettuati dal vostro computer, informazioni sensibili, oppure diffondere spam tramite email.

Ransomware è uno specifico tipo di malware. Blocca il vostro computer e impedisce di accedere ai file importanti fino a quando non viene pagata una somma di denaro. Ransomware funziona crittografando i vostri file attraverso una chiave privata accessibile solo ai suoi creatori. Pagare il ransom non necessariamente aiuta: non c’è alcuna garanzia che i pirati informatici sbloccheranno davvero i vostri file.

Ci sono vari step di base che si possono seguire per evitare di infettare i vostri computer con i virus. Innanzitutto, installare un software antivirus su tutti i computer dell’ufficio. Il software antivirus scansione i messaggi email in entrata, così come i file attualmente presenti sui computer e poi elimina o mette in quarantena tutti i virus che trova. I pirati informatici cercano sempre di inserire nuovi virus, pertanto bisogna aggiornare regolarmente il software antivirus. I migliori provider di software comprendono una funzione che determina l’aggiornamento automatico alle nuove versioni. E’ indispensabile accertarsi che il vostro personale non apra i file sospetti, ed elimini qualsiasi allegato proveniente da una fonte non affidabile.

L’utilizzo di una VPN per accedere a Internet può fornire anche un ulteriore grado di sicurezza. Dato che le VPN consentono di accedere a Internet in modo anonimo e dato che criptano tutti i dati, rendono molto difficile il rilevamento dei computer da parte dei pirati informatici. Buoni provider di VPN inviano inoltre un avviso di sicurezza quando si cerca di accedere a URL sospetti.

IMPOSTARE UN FIREWALL

Come nella maggior parte delle attività, tutti i dispositivi presenti nell’ ufficio sono probabilmente collegate a una connessione internet a banda larga sempre attiva. In tal caso, allora, c’è una forte probabilità che i pirati informatici abbiano sondato la vostra rete almeno una volta. I pirati informatici lo fanno in modo random, ma quando trovano un indirizzo valido, sfruttano tutte le vulnerabilità per accedere alla rete aziendale e ai singoli computer presenti su tale rete.

Installare un firewall è il modo migliore per evitare che si verifichi questo tipo di attacco. I firewall funzionano separando diverse parti della rete dalle altre, consentendo solo il passaggio di traffico autorizzato attraverso le zone protette della rete. Un buon firewall esamina tutti i pacchetti di dati che entrano nella rete per accertarne la legittimità e per filtrare quelli sospetti. Per evitare che i pirati informatici attacchino i singoli computer della rete, il firewall oscura l’identità di ogni computer. L’installazione di un firewall è complessa e deve essere svolta solo da personale qualificato.

PROTEGGERE I PROPRI DATI

A prescindere dal tipo di attività che si gestisce, i vostri dati sono davvero la parte centrale del vostro business. Si possono perdere i dati in qualsiasi modo. L’ hardware può essere danneggiato o rotto, i pirati informatici possono entrare nel vostro sistema e violarlo, oppure si potrebbe andare incontro ad una calmità naturale. Il vostro obiettivo dunque dovrebbe essere quello di assicurarvi contro la perdita di dati prendendo delle precauzioni contro i suoi effetti peggiori.

BACKUP DEI DATI

Esistono due diverse tipologie di backup. Quando si effettua un backup completo, si fa una copia di tutti i dati selezionati e si mettono su un altro dispositivo oppure si trasferiscono su uno strumento diverso. Con un backup incrementale, invece, si aggiungono semplicemente i dati creati dall’ultima volta che si è effettuato il backup del sistema.

Il metodo più semplice ed efficiente è dato dalla combinazione di entrambi effettuando periodicamente un backup completo e un backup incrementale ogni giorno. Oppure effettuando un backup completo ogni notte dopo l’orario di lavoro. È fondamentale testare il funzionamento dei backup: perdere tutti i dati e scoprire che i backup non funzionano, sarebbe una tragedia.

Esistono molti modi diversi per il backup dei dati. Utilizzare una pennetta USB o un secondo hard disk, posizionarlo in una cartella condivisa sulla rete oppure mantenere i backup al sicuro in location esterne. Tuttavia, facendo il backup dei dati su una specifica location fisica non servirà in caso di disastro naturale o furto. Consigliamo quindi vivamente di investire in sistemi di backup su cloud che garantiscono una sicurezza estrema.

È comunque fondamentale analizzare le misure di sicurezza che il provider cloud che si utilizza ha messo in atto e se i dati sono protetti a livello adeguato. In particolare, è necessario assicurarsi che il sistema di backup in cloud scelto preveda la criptazione dei dati.

PROTEGGERE LE PASSWORD

Il modo più comune per autenticare l’identità è accedere alla rete o ai dati importanti attraverso una password. A differenza degli altri sistemi di autenticazione high-tech come smart card, e impronte digitali o scansioni dell’iride, le password sono utili perché non costano nulla e sono facili da usare. Tuttavia, le password sono anche aperte agli attacchi. I pirati informatici hanno sviluppato degli strumenti sofisticati e automatizzati che consente loro di craccare password semplici in pochi minuti. Possono utilizzare anche vari metodi fraudolenti per accedere alle password della vostra società, come un attacco phishing, in cui si travestono da strutture ufficiali (come Google) e ingannano le persone a fornire le loro password.

Le password possono diventare inefficaci per svariati motivi. Spesso, trascuriamo di proteggere i nostri documenti sensibili con una password, questo significa che chiunque si siede davanti al vostro computer può avere accesso a tali documenti. Per evitare di dimenticare le password, molti dipendenti le scrivono in bella vista. E, cosa ancora più cruciale, le persone tendono a utilizzare password deboli, facili da ricordare, usano la stessa password tantissime volte senza mai cambiarle. Tutti questi errori lasciano la porta aperta ai pirati informatici.

Questi semplici passaggi aiuteranno a evitare attacchi informatici:

1° Creare password diverse per servizi diversi

2° Modificare regolarmente le password

3° Scegliere una password forte

4° Optare per una verifica a due step

5° Disattivare il completamento automatico per username e password

6° Utilizzare un manager di password, un’app o un programma che conserva in modo sicuro tutte le password dell’utente

7° Non inviare la vostra password tramite email o tramite telefono

Creare una password più forte non è così difficile. Si può anche utilizzare un generatore di password random sicuro che creerà una password completamente random.

Educare lo staff sull’importanza di password forti è fondamentale se si vuole che le password rappresentino uno strumento chiave nel vostro arsenale per la sicurezza informatica, piuttosto che una scappatoia percorribile dai pirati informatici.

STABILIRE AUTORIZZAZIONI E LIVELLI DI ACCESSO

Se si pensa a chi ha accesso alle informazioni sensibili nella propria società, la risposta è probabilmente troppe persone. E’ indispensabile che solo quei membri dello staff che sono autorizzati a gestire il sistema ed installare i software, possano avere accesso agli account amministrativi.

Se si consente a molteplici membri del personale di condividere login e password, è impossibile definire come o quando si è verificata una violazione nel sistema. Ogni utente deve avere il suo account, attivando autorizzazioni specifiche per il suo lavoro. Se un membro dello staff è assente da molto tempo, oppure ha lasciato la società, bisogna revocare l’accesso e le autorizzazioni, il prima possibile.

NAVIGARE SU INTERNET IN MODO SICURO

Quando voi e i membri del vostro staff navigate su internet, le vostre attività possono essere monitorate in una molteplicità di modi piccoli e impercettibili. Queste attività possono quindi essere aggredite da agenti esterni senza il vostro consenso. I dipendenti possono navigare inavvertitamente su siti pericolosi che rubano i dati della società. E le informazioni personali e aziendali possono essere compromesse se si entra nei siti web con una connessione non crittografata.

Il modo migliore per crittografare la vostra connessione e garantire la privacy delle attività e la privacy personale dei dipendenti è quello di installare una VPN. Una VPN, o una rete virtuale privata, maschera l’indirizzo IP della società e cripta i dati di navigazione.

E’ possibile inoltre garantire la sicurezza anche aggiungendo varie funzioni al browser utilizzato. In quasi tutti i browser più famosi sono stati creati nel tempo un certo numero di componenti aggiuntivi di sicurezza. Ciò comprende blocchi per gli annunci pubblicitari, protezione dei dati del browser, cookie, manager di cache e altro.

LA CULTURA DELLA SICUREZZA INFORMATICA

La misura più importante è quella di educare il proprio staff di lavoro sull’importanza della sicurezza informatica.

Se si infonde una cultura della sicurezza informatica nel luogo di lavoro, spiegando la politica della sicurezza informatica e insegnando a gestire l’hardware e i dati della società in modo sicuro, i dipendenti stessi diventeranno la prima e più efficace linea di difesa contro gli attacchi informatici.

Il modo migliore per far sì che i dipendenti entrino nel piano della sicurezza informatica è quello di progettarlo in collaborazione con loro, coinvolgendoli nel piano e aumentandone la motivazione. Essi sono i migliori conoscitori ed esperti della vostra attività, dei suoi punti di forza e di debolezza. Sono coloro che lavorano con i dati sensibili della società, quindi sanno quali sono le vulnerabilità e quali sistemi bisogna rafforzare o migliorare.

Assicuratevi, infine, che le linee guida siano facili da comprendere e da seguire.

Nuove funzioni per l'app Zconnect per chi entra in azienda.

L’App ZConnect (e il portale HR) si arricchisce della nuova funzione Health Check. Un aiuto importantissimo per supportare anche la ripresa delle attività dall’emergenza.

Con un semplice questionario di poche domande ogni lavoratore, prima di accedere alla propria postazione, può informare l’azienda in tempo reale sul suo stato di salute, per ottemperare alle disposizioni governative in materia di sicurezza sul lavoro e diminuire il rischio di contagi, favorendo inoltre l'organizzazione dei processi comunicativi e la responsabilizzazione delle persone durante la fase del rientro.

Per garantire la corretta gestione dei dati e della privacy, Zucchetti ha già predisposto un’informativa che i lavoratori potranno accettare al primo accesso in ZConnect o nel portale HR.

Si tratta di uno standard che il Cliente può utilizzare o sostituire a sua discrezione.

Un apposito sistema di notifiche e report di analisi permette infine di gestire i controlli in modo efficiente.

Procedura di attivazione semplificata

Per supportare i Clienti è stata predisposta una procedura semplificata per l’attivazione dell’App ZConnect. All’interno del portale HR, Zucchetti ha predisposto un Video tutorial che guida l’Azienda, lo Studio o l’Associazione in tutti i passaggi per attivare l’app per i lavoratori e inviare loro la mail con il QR code di attivazione. Il video sarà disponibile cliccando l’icona Utente in alto a destra.

Allo stesso modo per i lavoratori è disponibile una miniguida rapida che spiega tutti i passaggi per scaricare dagli store e accedere all’App ZConnect. La miniguida è disponibile anche all’indirizzo www.appzconnect.it e potrà essere usata come supporto al personale.

Inoltre, sempre per supportare il Cliente e velocizzare la comunicazione dell’app, Zucchetti ha inserito un messaggio nei cedolini elaborati con i software Paghe Web e Paghe Project, che permette di stampare sulla busta paga del lavoratore il QR Code e le indicazioni per accedere in autonomia all’app.