A causa dello stato di allarme causato dal coronavirus, molte amministrazioni ed enti pubblici stanno promuovendo il telelavoro per garantire la continuità delle proprie funzioni e servizi. Il telelavoro, tuttavia, può comportare rischi per la sicurezza informatica se non viene pianificato in anticipo, il personale non è adeguatamente formato e le apparecchiature e le connessioni non sono configurate in modo sicuro.. Dato l'attuale contesto di emergenze, tutto ciò potrebbe non essere stato possibile in molti casi; per questo ve ne proponiamo uno selezione delle principali misure di protezione di base da prendere in considerazione che può aiutarti a telelavorare riducendo al minimo i rischi per la sicurezza nell'elaborazione delle informazioni della tua organizzazione.
È importante notare che la situazione attuale è molto interessante per gli "hacker" criminali per rubare password e dirottare informazioni riservate in cambio di un riscatto. Casi del genere si sono verificati negli ultimi mesi nelle pubbliche amministrazioni con gravi danni economici e reputazionali.
Questa selezione è stata fatta con l'obiettivo di facilitare una guida pratica ed esecutiva, rivolta agli utenti non esperti delle medie e piccole amministrazioni pubbliche, che non hanno le risorse per implementare un piano di sicurezza completo e avanzato. Vogliamo evitare la sovrainformazione e fare raccomandazioni non praticabili nelle circostanze in cui ci troviamo. Per gli utenti interessati ad approfondire questo argomento, forniamo collegamenti aggiuntivi alla fine della guida.
Queste raccomandazioni sono di natura generale. Se la tua organizzazione ha una propria guida alla sicurezza informatica, presta attenzione a questa.
Aspetti organizzativi
Segui le istruzioni di sicurezza del responsabile della tecnologia della tua organizzazione
Utilizza gli strumenti e le applicazioni autorizzati della tua organizzazione. Se hai la necessità di usare altre soluzioni fai attenzione e usa solo applicazioni affidabili.
Inoltre ...
- Convalida che i documenti di backup siano costituiti dai documenti aziendali su cui lavorerai da casa.
- Sii molto chiaro sul canale per segnalare gli incidenti e risolvere i dubbi.
- Notifica immediatamente qualsiasi incidente di sicurezza informatica al responsabile della tecnologia della tua organizzazione.
Squadra di lavoro
Dal tuo team di lavoro a casa avrai accesso alle informazioni riservate della tua organizzazione. Che tu stia utilizzando un computer aziendale o un personal computer, è necessario considerare una serie di misure protettive e preventive. Se si utilizza un team di lavoro aziendale, è più comune che si rispetti già la maggior parte o tutte le raccomandazioni tramite le politiche di sicurezza applicate dall'amministratore.
Assicurati che il tuo sistema e le tue applicazioni siano aggiornati con l'ultima versione di ciascuno e che l'aggiornamento automatico della versione sia attivato.
- Per Windows
- Per MAC
Verifica che sul tuo computer sia attivo un sistema antivirus e antimalware.
- Per Windows: attivo Antimalware Microsoft Defender
- Per MAC: installa una soluzione di mercato con una versione gratuita: Kaspersky, Avast, AVG, Bitdefender, ecc.
Applica il blocco schermo automatico dopo dieci minuti.
Inoltre ...
- Crea un account famiglia e di telelavoro separato sul tuo sistema operativo. Qualsiasi accesso non autorizzato a informazioni riservate deve essere evitato.
- Per Windows
- Per MAC
Connessione Internet e accesso remoto
Evita di utilizzare reti Wi-Fi pubbliche sconosciute e affidabili per accedere in remoto ai servizi della tua organizzazione.
Inoltre ...
- Se possibile, utilizza i servizi di connessione remota VPN (Virtual Private Network) consigliati dalla tua organizzazione per accedere ai sistemi informativi aziendali.
- Configurare la password del Router con sistemi di crittografia sicuri: WPA3 (preferibilmente) o WPA2.
I backup
Tutta la documentazione dell'ufficio che generi sul computer privato che usi per la TV e non è archiviata sul server dell'organizzazione probabilmente non avrà un sistema di backup automatico. Pertanto, si consiglia di prendere precauzioni per eseguire il backup.
Eseguire il backup dei documenti generati localmente tramite uno dei seguenti meccanismi:
- Chiavette USB: dovresti aver precedentemente pulito o formattato il dispositivo per assicurarti che sia sicuro
- Disco rigido esterno
- Servizio di cloud storage autorizzato dall'organizzazione
Password e autenticazione
Quando possibile, utilizza l'accesso a sistemi informativi certificati digitalmente o sistemi di autenticazione a doppio fattore per impedire il furto della tua password. (I sistemi a doppio fattore si basano su codici monouso inviati tramite SMS o APP)
Utilizza password complesse: una combinazione di caratteri speciali, numeri e lettere maiuscole e minuscole.
Non annotare le password aziendali da nessuna parte
Si installa i certificati software digitali sul tuo personal computer (TCAT-P, idCAT Certificate) utilizza l'opzione "Enter Password for private key": in questo modo è possibile utilizzare il certificato digitale solo se la password è nota.
Inoltre ...
- Se devi utilizzare più account con utenti e password diversi, utilizza un'applicazione per gestire in modo sicuro password diverse. Esistono diverse soluzioni che offrono una versione gratuita (LastPass, Dashlane, ecc.). Apple - I dispositivi iOS hanno un gestore di password integrato nel sistema operativo.
Navigazione sicura in Internet
Evita di navigare in pagine non sicure ed evita di installare software o contenuti dubbi.
Inoltre ...
- I browser Web multimediali devono essere aggiornati e configurati con la versione software e le patch più recenti.
- Elimina periodicamente la cronologia di navigazione, i cookie, le password ricordate e altri file temporanei. In questo modo evitiamo potenziali spyware.
Phishing
El phishing È un tipo di criminalità informatica che prevede l'invio di e-mail fraudolente con l'obiettivo di rubare la tua password o altre informazioni personali. È una delle truffe più utilizzate dai criminali informatici. L'operazione di phishing è semplice: si riceve un'e-mail, con un aspetto legittimo che chiede di aggiornare, validare o confermare le informazioni tramite un link. Dopo aver fatto clic su di esso, vieni reindirizzato a una pagina Web falsa, in cui la password o altri dati vengono rubati.
Non fare clic sui collegamenti o scaricare allegati e-mail sospetti. Sospetto di email che ti chiedono di fare azioni insolite per rinnovare le password. Controlla l'indirizzo del mittente (non l'alias) per e-mail apparentemente legittime.
Inoltre ...
- Quando ti connetti via web, controlla nella barra del browser che l'indirizzo web della destinazione sia corretto. I criminali informatici possono replicare completamente un sito Web e rubare la tua password.
Quando finisci di lavorare
Chiudere tutte le connessioni ai sistemi informativi aziendali e ai siti Web.
Eseguire il backup dei documenti locali su cui si è lavorato che non sono coperti dal backup aziendale.
E anche ...
- Elimina cronologia di navigazione, cookie, password ricordate e altri file temporanei.
Ulteriori informazioni
Per gli utenti che desiderano ampliare questa informativa, si consiglia di visitare i seguenti siti Web specializzati:
Ringraziamenti
Questa serie di raccomandazioni è stata sviluppata a partire dalle risorse proprie dell'AOC, dalle linee guida dell'Agenzia catalana per la sicurezza informatica, dall'Associazione catalana degli ingegneri delle telecomunicazioni (Telecos.cat), dai consulenti Genís Margarit Contel e Cristina Ribas Casademont e dai documenti nel "Maggiori informazioni " sezione.
In AOC vorremmo ringraziare tutti i contributi disinteressati e proattivi che abbiamo ricevuto e che sono molto utili e preziosi in questo momento per garantire la sicurezza dei sistemi informativi del settore pubblico.
note:
- Questa guida è aperta a suggerimenti, suggerimenti per il miglioramento e correzioni. I tuoi commenti sono molto graditi: puoi inviarceli innovacio@aoc.cat
- Abbiamo chiesto agli utenti della comunità del software libero di aiutarci a completare la guida con raccomandazioni specifiche per i sistemi operativi basati su Linux.