8 consigli per assicurare protezione agli endpoint della tua azienda

Mobile, Privacy, Sicurezza

Per sicurezza degli endpoint si intende la capacità di Proteggere, Reagire e Ripristinare. In questo post discuteremo più a fondo della Protezione – come puoi assicurarti che il tuo ambiente sia protetto dalle minacce.

  1. Ricorda che non c’è nulla di meglio di un sistema operativo, software o hardware sicuro. Non essere tentato dal credere che ogni sistema operativo o hardware sia immune dalle minacce. Sfortunatamente, l’idea di un computer ‘sicuro’ è un’idea sbagliata che può portare a serie falle in un’azienda. Gli endpoint che si pensa siano sicuri sono spesso non protetti o persino non monitorati,  quindi esiste un alto rischio che quando vengono violati (che solitamente è solo una questione di tempo) diventeranno un gateway per il resto della rete. Ricorda che tutti i sistemi operativi, i software presenti su di essi e l’hardware sono vulnerabili. Dovrebbero essere tutti protetti e monitorati.
  2. Usa una soluzione di sicurezza con un sistema di prevenzione dalle intrusioni. Per proteggere gli endpoint in modo efficace, assicurati che abbiano la migliore protezione utilizzando software di sicurezza che presenti un sistema di prevenzione dalle intrusioni, ossia un software che monitori attività sospette e comportamenti tipici da malware. Questo ti aiuterà a proteggere gli endpoint e la rete dal malware nuovo e da quello emergente che non è stato ancora identificato dai laboratori di sicurezza. Cerca anche un software con protezione della rete in tempo reale che condivida informazioni riguardo alle ultime minacce con tutti gli endpoint collegati ad esso.
  3. Usa la crittografia anche per le comunicazioni interne. Probabilmente pensi a crittografare canali di comunicazione quando si tratta di comunicazione esterna su Internet. Ma è buona norma rendere sicuri i canali di comunicazione anche quando si tratta di LAN (Local Area Network). Come abbiamo detto, un endpoint compromesso è una minaccia per l’intera rete – inoltre, c’è la sfortunata possibilità di attacchi interni. Ecco perché mantenere tutti i canali di comunicazione protetti dovrebbe essere una priorità.
  4. Proteggi l’home office e il mobile office. Proteggere i notebook e i telefoni che vengono dati ai dipendenti che lavorano in mobilità è una sfida gestibile. Un più grande problema però è proteggere i dispositivi personali dell’utente come smartphone, console di gioco, e anche computer di casa o chiavette USB. Prendiamo per esempio un utente che usa il suo computer di casa per svolgere attività lavorativa. Il computer potrebbe avere software di sicurezza non aggiornato, o addirittura nessuna protezione, ed è anche usato da altri membri della famiglia che non sanno nulla di sicurezza informatica. Se questo computer viene infettato, potrebbe infettare tutti i dispositivi ad esso collegati. Se l’amministratore di rete dell’azienda permette a quel computer di connettersi alla rete aziendale, potrebbe diffondere l’infezione in azienda (spesso anche se si usa un VPN). Sì, questo è lo scenario peggiore, ma basandoci su questo si potrebbero vietare tutte le connessioni da dispositivi esterni per assicurarci che tutto ciò non accada. Ma in realtà, qualche volta le eccezioni sono necessarie. Ecco perché è buona norma fornire ai dipendenti software di sicurezza per i computer, smartphone e tablet di loro proprietà, e proporre scansioni regolari e verifiche. Ancora meglio sarebbe aggiungere tutti questi dispositivi in un ambiente di gestione centralizzato dove tu possa facilmente monitorarli – come accade per esempio con F-Secure Protection Service for Business.
  5. Considera e proteggi gli account dell’utente. Un account utente non dovrebbe essere considerato solo un modo per associare un indirizzo email ai dipendenti. A un account utente sono associati tutti i file, le risorse, le informazioni, i privilegi e l’accesso alla rete che appartengono a quell’utente. Pensiamolo come se fosse un account personale della banca. Puoi facilmente immaginare gli effetti che potrebbero derivare da un furto o un abuso dei diritti di accesso dell’account bancario. Immagina che questo account bancario abbia anche accesso ad altri account, o a tutti i fondi nella banca – la ricetta per un disastro globale. Accertati che tutti gli account utente siano protetti, difficili da penetrare e senza valore per chi attacca. Proteggere gli account degli utenti significa anche essere certi che i dipendenti usino password forti e univoche e che le modifichino regolarmente. (Può essere una buona idea fornire ai dipendenti uno strumento di gestione della password per aiutarli a creare e salvare le loro password). Significa anche avere dispositivi e computer che si bloccano in automatico dopo pochi minuti che restano inutilizzati.
  6. L’uso corretto e non l’abuso. Gestire i livelli di privilegi che gli utenti hanno sull’endpoint e la rete aziendale è molto importante. Il malware tenta di mettere in atto varie operazioni quando infetta un sistema. Cerca, per esempio, di creare o cambiare file o valori del registro, di copiare il malware stesso sulle cartelle condivise in rete, di creare o terminare processi. Ma per fare queste operazioni, ha bisogno di privilegi. Per minimizzare l’impatto di un’infezione malware sulla rete, i privilegi degli utenti devono essere limitati alle effettive esigenze degli utenti stessi. I dipendenti hanno bisogno di avere sufficienti diritti sul sistema così che possano lavorare e usare servizi legati alla loro attività lavorativa, ma non più di quel che è necessario. Tali limitazioni tuttavia possono causare malumori, quindi informa i dipendenti sugli effetti del malware e su come l’applicazione delle policy sia utile in modo tale che comprendano il perchè di tali restrizioni. Gli amministratori IT devono avere un account utente per leggere le email, navigare sul web, ecc., ma le attività amministrative devono essere fatte con un account separato, o persino su un computer differente, riservato solo a quelle funzioni specifiche. Gli account amministrativi possono essere anche segmentati in gruppi funzionali differenti, per limitare ancora di più gli account. Dovrebbe esserci una chiara panoramica dei permessi e delle restrizioni degli account. Queste misure offrono un migliore controllo sugli account e minori opportunità per uno scenario di infezione diffusa.
  7. Molti utenti, tante esigenze diverse. Più l’azienda è grande, maggiori sono le tipologie di utente da gestire. Ciò significa prendersi cura delle loro esigenze nell’ambiente lavorativo, pur prendendo misure per garantire la massima sicurezza. Il software di un contabile, per esempio, è completamente differente dal software di uno sviluppatore. Ciò può significare speciali eccezioni del firewall o persino esclusioni di determinati file dal processo di scansione. L’uso di plug-in per il browser o di social network nell’ambiente di lavoro rappresenta un rischio potenziale, ma è comunque necessario in aree come il marketing, la contabilità, la ricerca e sviluppo. Per evitare il rischio di uno sfruttamento da parte del malware, un’azienda potrebbe limitarne l’uso. In certe situazioni, computer separati possono essere usati per abbassare il rischio di infezione. Per esempio, un contabile potrebbe effettuare operazioni di Internet banking su un computer separato da usarsi solo per queste operazioni specifiche – o almeno usare un browser Internet differente sono per l’online banking.
  8. Forma i tuoi dipendenti e mantienili in allerta. Ultimo, ma assolutamente non per ordine di importanza. Assicurati che il tuo staff sia informato sulle minacce alla sicurezza e su come una corretta pratica di pulizia sia estremamente importante. Se i dipendenti sono al corrente delle minacce e su come evitarle, non solo saranno in grado di usare misure di sicurezza migliori, ma sarà anche più facile per loro comprendere le restrizioni che vengono applicate agli endpoint. Crea un momento di condivisione delle informazioni dove i dipendenti possono essere informati su cosa potrebbe accadere se non prestano attenzione. Educali, per esempio, sui pericoli dei social network, dello spam e degli attachi di phishing, su cosa sono gli exploit e sul danno che possono causare, e su come chi attacca usa le tecniche di social engineering per infiltrarsi nelle reti aziendali. E’ anche una buona idea insegnare loro a controllare le fatture dei loro telefoni per controllare se ci sono strani ricarichi, perchè potrebbe accadere che del malware invii SMS o faccia partire chiamate a numeri a pagamento dal loro telefono. E’ una buona idea anche mandare periodicamente email per aggiornare brevemente i dipendenti sulle ultime minacce e infezioni: questo aiuta anche te a restare al corrente sugli ultimi malware e le loro tattiche, così da poter offrire una protezione migliore contro di essi.

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: