- Amministrazione aperta
Miquel Estapé, nuovo direttore dell'AOC
A causa dello stato di allarme causato dal coronavirus, molte amministrazioni ed enti pubblici stanno promuovendo il telelavoro per garantire la continuità delle proprie funzioni e servizi. Il telelavoro, tuttavia, può comportare rischi per la sicurezza informatica se non viene pianificato in anticipo, il personale non è adeguatamente formato e le apparecchiature e le connessioni non sono configurate in modo sicuro.. Dato l'attuale contesto di emergenze, tutto ciò potrebbe non essere stato possibile in molti casi; per questo ve ne proponiamo uno selezione delle principali misure di protezione di base da prendere in considerazione che può aiutarti a telelavorare riducendo al minimo i rischi per la sicurezza nell'elaborazione delle informazioni della tua organizzazione.
È importante notare che la situazione attuale è molto interessante per gli "hacker" criminali per rubare password e dirottare informazioni riservate in cambio di un riscatto. Casi del genere si sono verificati negli ultimi mesi nelle pubbliche amministrazioni con gravi danni economici e reputazionali.
Questa selezione è stata fatta con l'obiettivo di facilitare una guida pratica ed esecutiva, rivolta agli utenti non esperti delle medie e piccole amministrazioni pubbliche, che non hanno le risorse per implementare un piano di sicurezza completo e avanzato. Vogliamo evitare la sovrainformazione e fare raccomandazioni non praticabili nelle circostanze in cui ci troviamo. Per gli utenti interessati ad approfondire questo argomento, forniamo collegamenti aggiuntivi alla fine della guida.
Queste raccomandazioni sono di natura generale. Se la tua organizzazione ha una propria guida alla sicurezza informatica, presta attenzione a questa.
Segui le istruzioni di sicurezza del responsabile della tecnologia della tua organizzazione
Utilizza gli strumenti e le applicazioni autorizzati della tua organizzazione. Se hai la necessità di usare altre soluzioni fai attenzione e usa solo applicazioni affidabili.
Inoltre ...
Dal tuo team di lavoro a casa avrai accesso alle informazioni riservate della tua organizzazione. Che tu stia utilizzando un computer aziendale o un personal computer, è necessario considerare una serie di misure protettive e preventive. Se si utilizza un team di lavoro aziendale, è più comune che si rispetti già la maggior parte o tutte le raccomandazioni tramite le politiche di sicurezza applicate dall'amministratore.
Assicurati che il tuo sistema e le tue applicazioni siano aggiornati con l'ultima versione di ciascuno e che l'aggiornamento automatico della versione sia attivato.
- Per Windows
- Per MAC
Verifica che sul tuo computer sia attivo un sistema antivirus e antimalware.
- Per Windows: attivo Antimalware Microsoft Defender
- Per MAC: installa una soluzione di mercato con una versione gratuita: Kaspersky, Avast, AVG, Bitdefender, ecc.
Applica il blocco schermo automatico dopo dieci minuti.
Inoltre ...
Evita di utilizzare reti Wi-Fi pubbliche sconosciute e affidabili per accedere in remoto ai servizi della tua organizzazione.
Inoltre ...
Tutta la documentazione dell'ufficio che generi sul computer privato che usi per la TV e non è archiviata sul server dell'organizzazione probabilmente non avrà un sistema di backup automatico. Pertanto, si consiglia di prendere precauzioni per eseguire il backup.
Eseguire il backup dei documenti generati localmente tramite uno dei seguenti meccanismi:
- Chiavette USB: dovresti aver precedentemente pulito o formattato il dispositivo per assicurarti che sia sicuro
- Disco rigido esterno
- Servizio di cloud storage autorizzato dall'organizzazione
Quando possibile, utilizza l'accesso a sistemi informativi certificati digitalmente o sistemi di autenticazione a doppio fattore per impedire il furto della tua password. (I sistemi a doppio fattore si basano su codici monouso inviati tramite SMS o APP)
Utilizza password complesse: una combinazione di caratteri speciali, numeri e lettere maiuscole e minuscole.
Non annotare le password aziendali da nessuna parte
Si installa i certificati software digitali sul tuo personal computer (TCAT-P, idCAT Certificate) utilizza l'opzione "Enter Password for private key": in questo modo è possibile utilizzare il certificato digitale solo se la password è nota.
Inoltre ...
Evita di navigare in pagine non sicure ed evita di installare software o contenuti dubbi.
Inoltre ...
El phishing È un tipo di criminalità informatica che prevede l'invio di e-mail fraudolente con l'obiettivo di rubare la tua password o altre informazioni personali. È una delle truffe più utilizzate dai criminali informatici. L'operazione di phishing è semplice: si riceve un'e-mail, con un aspetto legittimo che chiede di aggiornare, validare o confermare le informazioni tramite un link. Dopo aver fatto clic su di esso, vieni reindirizzato a una pagina Web falsa, in cui la password o altri dati vengono rubati.
Non fare clic sui collegamenti o scaricare allegati e-mail sospetti. Sospetto di email che ti chiedono di fare azioni insolite per rinnovare le password. Controlla l'indirizzo del mittente (non l'alias) per e-mail apparentemente legittime.
Inoltre ...
Chiudere tutte le connessioni ai sistemi informativi aziendali e ai siti Web.
Eseguire il backup dei documenti locali su cui si è lavorato che non sono coperti dal backup aziendale.
E anche ...
Per gli utenti che desiderano ampliare questa informativa, si consiglia di visitare i seguenti siti Web specializzati:
Questa serie di raccomandazioni è stata sviluppata a partire dalle risorse proprie dell'AOC, dalle linee guida dell'Agenzia catalana per la sicurezza informatica, dall'Associazione catalana degli ingegneri delle telecomunicazioni (Telecos.cat), dai consulenti Genís Margarit Contel e Cristina Ribas Casademont e dai documenti nel "Maggiori informazioni " sezione.
In AOC vorremmo ringraziare tutti i contributi disinteressati e proattivi che abbiamo ricevuto e che sono molto utili e preziosi in questo momento per garantire la sicurezza dei sistemi informativi del settore pubblico.