Guida rapida al telelavoro in sicurezza - Bene

GUIDA RAPIDA AL TELELAVORO IN SICUREZZA

Contenuti:

  1. Aspetti organizzativi
  2. Gruppo di lavoro
  3. Connessione Internet e accesso remoto
  4. Backup
  5. Password e autenticazione
  6. Navigazione sicura in Internet
  7. Videoconferenza sicura
  8. Phishing
  9. Alla fine del lavoro
  10. maggiori informazioni

A causa dello stato di allarme causato dal coronavirus, molte amministrazioni ed enti pubblici stanno promuovendo il telelavoro per garantire la continuità delle proprie funzioni e servizi. Il telelavoro, tuttavia, può comportare rischi per la sicurezza informatica se non è pianificato in anticipo, il personale è adeguatamente formato e le apparecchiature e le connessioni sono configurate in modo sicuro. Dato il contesto attuale, tutto ciò potrebbe non essere stato possibile in molti casi; per questo vi offriamo a selezione delle principali misure di protezione di base da prendere in considerazione che può aiutarti a telelavorare riducendo al minimo i rischi per la sicurezza nell'elaborazione delle informazioni della tua organizzazione.

Tieni presente che la situazione attuale è molto interessante per i criminali informatici per rubare password e dirottare informazioni riservate in cambio di un riscatto. Casi del genere si sono verificati negli ultimi mesi nelle pubbliche amministrazioni con gravi danni economici e reputazionali.

Questa selezione è stata fatta con l'obiettivo di facilitare una guida pratica ed esecutiva, rivolta agli utenti non esperti delle medie e piccole amministrazioni pubbliche, che non dispongono di risorse per implementare un piano di sicurezza completo e avanzato. Vogliamo evitare la sovrainformazione e fare raccomandazioni non praticabili nelle circostanze in cui ci troviamo. Per gli utenti interessati ad approfondire questo argomento, forniamo collegamenti aggiuntivi alla fine della guida.

Queste raccomandazioni sono di natura generale. Se la tua organizzazione ha una propria guida alla sicurezza informatica, prestaci attenzione.
 

1. Aspetti organizzativi

È probabile che la tua organizzazione disponga già di un protocollo e di un responsabile della sicurezza informatica. Verifica con lui i punti che offriamo di seguito.

Segui le istruzioni di sicurezza sul responsabile tecnologico della tua organizzazione.

Usa il strumenti e applicazioni autorizzati dalla tua organizzazione. Se hai bisogno di usare altre soluzioni, fai attenzione e usa solo applicazioni affidabili.

E anche

Convalida i backup dei documenti aziendali su cui lavori da casa.

Scopri qual è il canale per segnalare incidenti e risolvere domande.

Segnala immediatamente qualsiasi incidente di sicurezza informatica al responsabile della tecnologia della tua organizzazione.

2. Gruppo di lavoro

Dal tuo team di lavoro a casa avrai accesso alle informazioni riservate della tua organizzazione. Sia che si utilizzi un computer aziendale o un personal computer, è necessario considerare una serie di misure protettive e preventive. Se si utilizza un team di lavoro aziendale, è più comune che si rispetti già la maggior parte o tutte le raccomandazioni tramite le politiche di sicurezza applicate dall'amministratore.

Assicurati che il il sistema e le applicazioni vengono aggiornati con le ultime versioni e quell'aggiornamento automatico della versione è abilitato.

Verifica che il tuo computer abbia un sistemaantivirus e antimalware attivi.

Applicare il blocco schermo automatico dopo dieci minuti.

E anche

Crea un account famiglia e di telelavoro separato sul tuo sistema operativo. Qualsiasi accesso non autorizzato a informazioni riservate deve essere evitato.

Abilita un firewall sul tuo computer.

3. Connessione Internet e accesso remoto

Le reti Wi-Fi domestiche di solito non hanno gli stessi controlli di sicurezza, come i firewall, implementati negli uffici aziendali. Pertanto, quando si lavora in remoto, è necessario prestare particolare attenzione alle caratteristiche della rete attraverso la quale ci si connette, sia navigando in Internet che accedendo ai sistemi e ai dati della propria organizzazione.

Evita di utilizzare reti Wi-Fi pubbliche sconosciute e affidabili per accedere in remoto ai servizi della tua organizzazione.

E anche

Utilizzare i servizi di accesso remoto VPN (rete privata virtuale) consigliati dall'organizzazione per accedere ai sistemi informativi aziendali, a seconda dei casi.

Verificare che il router Internet non utilizzi la password predefinita di fabbrica. Troverai molti tutorial su Internet e YouTube. Puoi usare la procedura consigliata dall'Organizzazione Consumatori e Utenti.

Configurare la password del Router con sistemi di crittografia sicuri: WPA3 (preferibilmente) o WPA2.

4. Backup

Tutta la documentazione dell'ufficio generata sul computer privato utilizzato per il telelavoro e non archiviata sul server dell'organizzazione probabilmente non disporrà di un sistema di backup automatico. Pertanto, si consiglia di prendere le precauzioni per eseguire i backup.

Eseguire il backup dei documenti generati localmente tramite uno dei seguenti meccanismi:

  • Chiavette USB: dovresti averle pulite o formattate in precedenza per assicurarti che siano sicure
  • Disco rigido esterno
  • Servizio di cloud storage autorizzato dall'organizzazione

5. Password e autenticazione

Quando lavori in telelavoro, il modo in cui ti autentica nei sistemi e nelle applicazioni è particolarmente critico, poiché con una password rubata potresti accedere a informazioni riservate e/o assumere il controllo di un servizio nella tua organizzazione. Di seguito sono riportati alcuni consigli per un'autenticazione più sicura, nonché password più robuste da impostare e utilizzare.

Quando possibile, utilizza l'accesso a sistemi informativi certificati digitalmente (preferibilmente T-CAT P) o sistemi di autenticazione a doppio fattore per impedire il furto della tua password. (I sistemi a doppio fattore si basano su codici monouso inviati tramite SMS o APP)

Utilizza password complesse: una combinazione di caratteri speciali, numeri e lettere maiuscole e minuscole.

Non annotare le password aziendali da nessuna parte.

Si installa i certificati digitali nel software sul tuo personal computer (TCAT-P, idCAT Certificate) utilizza l'opzione "Enter Password for Private Key": in questo modo il certificato digitale può essere utilizzato solo se la password è nota.

E anche

Se devi utilizzare più account con utenti e password diversi, utilizza un'app per gestire in modo sicuro password diverse. Esistono diverse soluzioni che offrono una versione gratuita (Lastpass, Dashlane, ecc.). Apple - I dispositivi iOS hanno un gestore di password integrato nel sistema operativo.

E anche

I browser web dei computer devono essere aggiornati e configurati con l'ultima versione e patch software.

Elimina periodicamente la cronologia di navigazione, i cookie, le password ricordate e altri file temporanei. In questo modo eviti potenziali spyware.

7. Videoconferenza sicura

Per garantire la sicurezza e la privacy delle tue conversazioni durante les videoconferenzaes con il tuo team di lavoro o di progetto, calce considera quanto segue:

Convoca la riunione in sicurezza. Consenti solo agli utenti che conoscono i dati della riunione di partecipare alla sessione di videoconferenza. Per fare così:

  1. Crea un incontro a cui solo le persone possono aderire ospiti.
  2. Inviluppoe su invito tramite email privata del partecipanti o essere attraverso di una piattaforma o canale securato.
    • Fai lsono le persone a cui hagis ospite per e-mail hagin d'registrazione attraverso d'questo mindirizzo ateo o,
    • usa una ssistema di autenticazione a doppio fattore, Per esempio generante link riunione (o ID riunione), nel caso di Zoom) richiedont uno Clau unire.
    • La sala d'attesa è altresì una funzione molto utile per gli host per controllare chi entra e chi esce dalla riunione.
  3. Non condividere il link per partecipare alla riunione tramite i social media o altri forum pubblici. OVUNQUE CON IL LINK POTREBBE UNIRSI AL sessione.

Gestisci i partecipanti.

  • Imposta in anticipo chi può condividere uno schermo o inviare file tramite chat durante la riunione.
  • In caso di riunioni di grandi dimensioni, ricorda che l'ospite può silenziare i singoli partecipantimento o tutto in una volta, per evitare echi, rumori di sottofondo e distrazioni o conversazioni parallele.
  • Valutare se necessario bimpazzirer l'incontro quando già tutti i partecipanti sono presenti, in modo che i nuovi partecipanti non possano partecipare indesiderato.

E anche

Fai conoscenza in precedenza con le impostazioni e le funzioni dello strumento di videoconferenza che utilizzoraso per sciabola come proteggere lo spazio virtuale in cui si svolgerà l'incontro.

Al termine della sessione, accertarsi dello spazio virtuale in cui si è svolto l'incontro è chiuso o accessibile solo per partecipanti alla riunione, poiché potrebbero esserci delle note, file e informazioni private.

8. Phishing

Il phishing è un tipo di criminalità informatica che prevede l'invio di e-mail fraudolente con l'obiettivo di rubare la tua password o altre informazioni personali. È una delle truffe più utilizzate dai criminali informatici. L'operazione di phishing è semplice: si riceve un'e-mail, con un aspetto legittimo che chiede di aggiornare, validare o confermare le informazioni tramite un link. Dopo aver fatto clic su di esso, vieni reindirizzato a una pagina Web falsa, in cui la password o altri dati vengono rubati.

Non fare clic sui collegamenti o scaricare allegati e-mail sospetti. Sospetto di e-mail che richiedono azioni insolite per rinnovare le password. Controlla l'indirizzo del mittente (non il tuo alias) per e-mail apparentemente legittime.

E anche

Quando ti connetti via web, controlla nella barra del browser che l'indirizzo web di destinazione sia corretto. I criminali informatici possono replicare completamente un sito Web e rubare la tua password.

9. Alla fine del lavoro

Dal tuo team di lavoro a casa avrai accesso alle informazioni riservate della tua organizzazione.

Chiude tutte le connessioni ai sistemi informativi aziendali e ai siti Web.

Eseguire il backup dei documenti locali su cui hai lavorato che non sono coperti dal backup aziendale.

E anche

Elimina cronologia di navigazione, cookie, password ricordate e altri file temporanei.

10. Maggiori informazioni

Per ulteriori informazioni, ti consigliamo di visitare le seguenti pagine Web con contenuti specializzati:

Ringraziamenti

Questa serie di raccomandazioni è stata elaborata dalle risorse proprie dell'AOC, dalle direttive dell'Agenzia per la sicurezza informatica della Catalogna, dall'Associazione catalana degli ingegneri delle telecomunicazioni di (Telecos.cat), dai consulenti Genís Margarit Contel e Cristina Ribas Casademont , e i documenti nella sezione "Maggiori informazioni".

Dall'AOC vorremmo ringraziare tutti i contributi disinteressati e proattivi che abbiamo ricevuto e che sono molto utili e preziosi in questo momento per garantire la sicurezza dei sistemi informativi del settore pubblico.

Note

  1. Questa guida è aperta a suggerimenti, suggerimenti per il miglioramento e correzioni. I vostri commenti sono i benvenuti: potete inviarli a innovacio@aoc.cat.
  2. Abbiamo chiesto a due entità della comunità del software libero e quattro utenti di fornirci un feedback critico per aiutarci a completare questa guida con raccomandazioni specifiche per i sistemi operativi basati su Linux. Non abbiamo ricevuto alcuna risposta in questo momento.