Dipendenti che usano smartphone personali per lavoro, come evitare rischi

Anche se è rischioso, 9 aziende su 10 lasciano che i dipendenti usino lo smartphone personale per lavoro. Ecco cinque consigli per limitare i danni.

Autore: Redazione SecurityOpenLab

Lasciare che i dipendenti usino lo smartphone personale per accedere ad app aziendali critiche espone dati e strutture a notevoli rischi. Nonostante questo, quasi 9 aziende su 10 lasciano che accada, anzi fanno affidamento sull'uso di dispositivi personali. La relazione Fortinet Threat Landscape evidenzia che il malware basato su Android rappresenta il 14% di tutte le minacce informatiche.

Oltre agli attacchi diretti, sono da tenere in considerazione siti web compromessi, campagne di phishing via e-mail e punti di accesso dannosi. Si infettano così utenti ignari con spyware, malware, app e ransomware. L'infezione si può così propagare alle aziende.

Secondo Fortinet, distribuire software di gestione dei dispositivi mobili e client di sicurezza ai dipendenti non è sufficiente. È fondamentale istituire un programma di sensibilizzazione sulla sicurezza informatica, che fornisca informazioni su come evitare questi rischi. In particolare, il personale dev'essere messo al corrente di cinque elementi critici.

Il primo è la diffidenza verso le connessioni Wi-Fi pubbliche. Sebbene la maggior parte sia sicura, i criminali informatici spesso mascherano i loro dispositivi come punti di accesso pubblici. Accade specie in luoghi pubblici come i tribunali, o in occasione di grandi eventi. Se l'utente si connette a Internet sfruttando uno di questi punti d'accesso, il cyber criminale intercetta tutti i dati, comprese le credenziali di accesso.

Per evitare problemi, Wi-Fi e Bluetooth dovrebbero sempre essere disattivati quando non in uso. Si eviterà così che si colleghino automaticamente ai punti di accesso disponibili. Quand'è necessario collegarsi al web, meglio usare una VPN, che garantisce connessioni sicure e crittografate.

Un altro errore ricorrente è usare la stessa password per tutti i gli account online. Se un criminale informatico riesce a intercettare quella password, avrà accesso a tutti gli account dell'utente. L'opzione migliore è usare un gestore di password che memorizzi nome utente e password per ciascun account. Naturalmente, la password di accesso al gestore dovrà essere inespugnabile. Un trucco per creare password complesse è utilizzare le prime lettere di una frase, inserire lettere maiuscole, numeri e caratteri speciali.

Meglio ancora considerare l'uso dell'autenticazione a due fattori. È un ulteriore passaggio, ma aumenterà in modo significativo la sicurezza del loro account e dei loro dati.

La terza criticità riguarda il phishing. Sebbene sia stato detto centinaia di volte di non fare mai clic sui link provenienti da mittenti sconosciuti, le vittime sono ancora molte. I cyber criminali usano sofisticate tecniche di raggiro e a volte fanno centro. Bisogna spiegare gli elementi che contraddistinguono le mail di spam. Scrittura sgrammaticata, URL sosia, immagini sfuocate, urgenza e altro. I prodotti devono inoltre essere dotati di efficaci soluzioni di Email Security Gateway e Web Application Firewall. Questi rilevano spam e phishing, convalidano i link ed eseguono i file eseguibili in una sandbox.

Il quarto punto è scontato ma spesso non rispettato: aggiornare i dispositivi e usare software di sicurezza. I dipendenti dovrebbero avere installata una soluzione MDM approvata dall'azienda su qualsiasi dispositivo che abbia accesso alle risorse aziendali. Il software dev'essere aggiornato e la scansione dei dispositivi dev'essere eseguita regolarmente.

Allo stesso modo, anche gli endpoint devono essere regolarmente aggiornati. I controlli di accesso alla rete dovrebbero rilevare se il software di sicurezza e il sistema operativo sono . In caso contrario, dovrebbero reindirizzare gli utenti a un server che esegua gli aggiornamenti necessari.

Ultimo, ma importante, accorgimento riguarda i social media. I criminali informatici spesso personalizzano gli attacchi per aumentare le probabilità che una vittima faccia clic su un link. Il posto più scontato da cui reperire informazioni è un social media. È imperativo impostare rigidi controlli sulla privacy, che consentano solo alle persone selezionate di vedere le proprie pagine. Va da sé che non bisogna accettare richieste di amicizia da sconosciuti.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.