SecurityOpenLab

Dipendenti che usano smartphone personali per lavoro, come evitare rischi

Anche se è rischioso, 9 aziende su 10 lasciano che i dipendenti usino lo smartphone personale per lavoro. Ecco cinque consigli per limitare i danni.

Lasciare che i dipendenti usino lo smartphone personale per accedere ad app aziendali critiche espone dati e strutture a notevoli rischi. Nonostante questo, quasi 9 aziende su 10 lasciano che accada, anzi fanno affidamento sull'uso di dispositivi personali. La relazione Fortinet Threat Landscape evidenzia che il malware basato su Android rappresenta il 14% di tutte le minacce informatiche.

Oltre agli attacchi diretti, sono da tenere in considerazione siti web compromessi, campagne di phishing via e-mail e punti di accesso dannosi. Si infettano così utenti ignari con spyware, malware, app e ransomware. L'infezione si può così propagare alle aziende.

13925173218648Secondo Fortinet, distribuire software di gestione dei dispositivi mobili e client di sicurezza ai dipendenti non è sufficiente. È fondamentale istituire un programma di sensibilizzazione sulla sicurezza informatica, che fornisca informazioni su come evitare questi rischi. In particolare, il personale dev'essere messo al corrente di cinque elementi critici.

Il primo è la diffidenza verso le connessioni Wi-Fi pubbliche. Sebbene la maggior parte sia sicura, i criminali informatici spesso mascherano i loro dispositivi come punti di accesso pubblici. Accade specie in luoghi pubblici come i tribunali, o in occasione di grandi eventi. Se l'utente si connette a Internet sfruttando uno di questi punti d'accesso, il cyber criminale intercetta tutti i dati, comprese le credenziali di accesso.

Per evitare problemi, Wi-Fi e Bluetooth dovrebbero sempre essere disattivati quando non in uso. Si eviterà così che si colleghino automaticamente ai punti di accesso disponibili. Quand'è necessario collegarsi al web, meglio usare una VPN, che garantisce connessioni sicure e crittografate.

login 4390531 1280Un altro errore ricorrente è usare la stessa password per tutti i gli account online. Se un criminale informatico riesce a intercettare quella password, avrà accesso a tutti gli account dell'utente. L'opzione migliore è usare un gestore di password che memorizzi nome utente e password per ciascun account. Naturalmente, la password di accesso al gestore dovrà essere inespugnabile. Un trucco per creare password complesse è utilizzare le prime lettere di una frase, inserire lettere maiuscole, numeri e caratteri speciali.

Meglio ancora considerare l'uso dell'autenticazione a due fattori. È un ulteriore passaggio, ma aumenterà in modo significativo la sicurezza del loro account e dei loro dati.

La terza criticità riguarda il phishing. Sebbene sia stato detto centinaia di volte di non fare mai clic sui link provenienti da mittenti sconosciuti, le vittime sono ancora molte. I cyber criminali usano sofisticate tecniche di raggiro e a volte fanno centro. Bisogna spiegare gli elementi che contraddistinguono le mail di spam. Scrittura sgrammaticata, URL sosia, immagini sfuocate, urgenza e altro. I prodotti devono inoltre essere dotati di efficaci soluzioni di Email Security Gateway e Web Application Firewall. Questi rilevano spam e phishing, convalidano i link ed eseguono i file eseguibili in una sandbox.

phishing 3390518 1280Il quarto punto è scontato ma spesso non rispettato: aggiornare i dispositivi e usare software di sicurezza. I dipendenti dovrebbero avere installata una soluzione MDM approvata dall'azienda su qualsiasi dispositivo che abbia accesso alle risorse aziendali. Il software dev'essere aggiornato e la scansione dei dispositivi dev'essere eseguita regolarmente.

Allo stesso modo, anche gli endpoint devono essere regolarmente aggiornati. I controlli di accesso alla rete dovrebbero rilevare se il software di sicurezza e il sistema operativo sono . In caso contrario, dovrebbero reindirizzare gli utenti a un server che esegua gli aggiornamenti necessari.

Ultimo, ma importante, accorgimento riguarda i social media. I criminali informatici spesso personalizzano gli attacchi per aumentare le probabilità che una vittima faccia clic su un link. Il posto più scontato da cui reperire informazioni è un social media. È imperativo impostare rigidi controlli sulla privacy, che consentano solo alle persone selezionate di vedere le proprie pagine. Va da sé che non bisogna accettare richieste di amicizia da sconosciuti.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 29/10/2019

Tag: cyber security phishing smartphone social network fortinet



Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy