Sicurezza informatica in azienda: 5 consigli per proteggere gli account social


ECSM

Ottobre è il Mese Europeo della Sicurezza Informatica, la campagna ECSM è stata istituita dall’Unione Europea e nel 2019 è giunta alla sua 7° edizione.

Lo scopo è quello di promuovere, tra privati e aziende, la conoscenza delle crescenti minacce informatiche, e le modalità per prevenirle e contrastarle.

Nel mio piccolo ho deciso di partecipare all’iniziativa con questo articolo riguardante la sicurezza degli account social aziendali. Occupandomi di formazione in ambito social, tocco con mano quanto sia grande la necessità di creare consapevolezza e cultura del digitale.

Quasi la metà delle imprese italiane, dalle più piccole alle più grandi, sono presenti sui social. Sempre più attività hanno capito l’importanza di fare marketing attraverso i social media e per avere un canale di comunicazione diretto con il proprio pubblico.

Attraverso i social è possibile fare storytelling, cioè raccontare la propria impresa, ma è possibile anche curare la relazione con la clientela, anche con quella difficilmente raggiungibile con altri mezzi. Strumenti potenti quindi, che vanno maneggiati con cura.

Questa esposizione, infatti, può portare grandi benefici all’azienda, ma può costituire anche una notevole fonte di rischio.

Sicurezza informatica in azienda: l’importanza della reputazione online

Sia che li gestiate internamente, sia che vi affidiate a professionisti (magari poco ferrati in materia di sicurezza), il rischio collegato ai social esiste. Sto parlando della possibilità che il vostro account aziendale venga hackerato, cioè che persone sconosciute ottengano l’accesso al posto vostro, e lo usino per danneggiare l’azienda.

Quali possono essere gli scopi di queste azioni?

Sono più di quante possiamo immaginare, ad esempio:

  • Screditare o danneggiare il brand;
  • Spionaggio o sottrazione di informazioni, da rivendere alla concorrenza o nel mercato nero;
  • Furto di denaro;
  • Iniezione di malware.

Di recente, è successo a Birra Ichnusa, che ha perso il controllo del proprio account Instagram, vedendone sparire i contenuti, e apparirne altri non suoi. Un lavoro di anni, svanito in pochi minuti.

Ricordiamo poi il caso Alpitour, la cui pagina Facebook hackerata pare si stata veicolo di uno dei più pericolosi virus di sempre. Non è stato risparmiato neanche il colosso Burger King, al quale è stato hackerato l’account Twitter.

Dunque, può accadere a chiunque, certo. Tuttavia, siamo d’accordo sul fatto che sia preferibile essere ricordati nel tempo per i successi ottenuti, e non per…  un furto d’identità?

Eppure, i casi reali non si contano: sono stati hackerati attori e cantanti di fama internazionale, personaggi dello spettacolo e campioni sportivi, importanti politici, professionisti di ogni livello.

Da citare il famoso caso dell’hackeraggio a Mark Zuckerberg, creatore di Facebook, e quello più recente di Jack Dorsey, amministratore delegato e co-fondatore di Twitter.

Tutte figure molto esposte che, si pensa, dovrebbero ben conoscere e saper utilizzare i sistemi elementari di sicurezza, peraltro implementati nelle piattaforme social. Un criminale può essere bloccato nella sua azione, ad esempio, da una semplicissima autenticazione a due fattori.

Quindi, è fondamentale sapere come proteggere la reputazione online della propria azienda, per evitare un danno non più riparabile.

Come vengono hackerati gli account social aziendali?

I sistemi sono diversi e, spesso, molto ingegnosi. Altre volte invece cadiamo in errori davvero grossolani, che sarebbero facilmente evitabili con un minimo di consapevolezza e conoscenze delle regole di base sulla sicurezza online.

Possiamo affermare che il punto debole sono sempre le persone, in questo caso, i dipendenti.

Spesso le persone sono inconsapevoli di quante informazioni sensibili forniscono sui social network. Informazioni che, nelle mani sbagliate, possono fornire la chiave d’accesso per prendere possesso degli account aziendali.

Il furto d’identità è un’operazione alla quale ogni azienda è vulnerabile, se non vengono messe in atto le giuste misure.

Vediamo ora i principali sistemi per mantenere in sicurezza gli account social aziendali.

#1 Attenzione alla social engineering

L’ingegneria sociale è la tecnica usata dai criminali informatici, che elabora e utilizza le informazioni raccolte sui social, pubblicate ingenuamente dalle persone. Sui social ci sentiamo ormai “a casa” e abbassiamo le difese, finendo per non accorgerci se qualcuno sta cercando di raggirarci.

Dirigenti e manager aziendali, ma anche i dipendenti, devono fare molta attenzione. Da queste informazioni, infatti, il criminale potrebbe ricostruire password, date, eventi particolari, dati sensibili, ecc.

Il consiglio è di creare una policy, decidendo a priori quali informazioni possono essere rese pubbliche, e quali no. Il comportamento personale dei dipendenti non deve in nessun modo costituire un rischio per l’azienda, e ciò deve essere chiarito prima che avvenga il danno.

L’ampio uso degli smartphone contribuisce ad aumentare questo rischio. Spesso non c’è separazione tra vita privata e lavoro. Si utilizza, ad esempio, la mail aziendale dal telefonino o si scaricano app di dubbia affidabilità, che potrebbero spiare o tracciare i dati presenti nel dispositivo. Oppure, si usano le stesse password per gli accessi personali e per quelli aziendali… un grave errore!

Ancora una volta dobbiamo parlare di consapevolezza, quella che dobbiamo acquisire per non essere sopraffatti dalle onde, in questo mare che è internet.

#2 Il rischio nascosto dietro una semplice telefonata

Come dicevamo, il cybercrimine usa tecniche intelligenti e fantasiose, ma a volte, alquanto semplici. È il caso del “vishing”, cioè la truffa tramite telefono.

Funziona grossomodo così: il criminale telefona in azienda e con un tono amichevole si finge un fornitore, un corriere, un tecnico o un cliente. Con una scusa qualsiasi, come una fattura da pagare, un presunto guasto o una richiesta di informazioni, inizia una conversazione che non sembra avere nulla di strano. In realtà è stata ben studiata per fare le domande giuste e ottenere informazioni riservate: nomi, e-mail, codici, password, ecc.

Ecco che saremo noi ad avergli fornito informazioni tanto preziose, quelle che desiderava avere e che ha ottenuto, senza alcuna fatica.

A volte il vishing viene usato in combinazione alle e-mail; azioni studiate per settimane, o mesi, al fine di estorcere l’informazione necessaria per penetrare il sistema.

Fate attenzione, quindi, ad ogni singola telefonata o e-mail. Verificate, con sistemi incrociati, che il vostro interlocutore sia realmente chi dice di essere, e non fornite mai per telefono informazioni importanti.

cyber-security-italia

#3 Phising e spear phishing: non abboccare all’esca

Il phishing è una tecnica ormai talmente usata, che dovrebbero conoscerla anche i bambini. Eppure, non è così. La cosiddetta “pesca a strascico” raggiunge un elevato numero di utenti, dei quali una piccola percentuale “abbocca” sempre. Chi clicca su una email-truffa (ma anche su un link inviato via Messenger, WhatsApp o altro) può vedere la rete aziendale bloccarsi all’istante, con una richiesta di riscatto.

Ricordiamo che non si devono mai pagare i riscatti: il crimine non va finanziato. Senza contare che un “buon pagatore” probabilmente verrà attaccato di nuovo in futuro.

Lo spear phising è invece un’azione mirata, e ancora una volta le figure chiave delle aziende devono tenere le antenne alte più degli altri!
Leggi anche Sicurezza digitale: 7 rischi informatici che ogni manager deve conoscere.

Stiamo quindi attenti a non aprire e-mail, file o link di cui non siamo più che certi; un solo click potrebbe essere fatale.

Manteniamo “pulite” le liste di amici e collegamenti sui social, rimuovendo chi non conosciamo direttamente, o del quale non siamo certi. Spesso i malintenzionati si celano dietro profili falsi, opportunamente creati per studiarci.

Può essere utile creare una policy interna da condividere con il personale, titolari compresi; avere delle linee guida personalizzate può fare la differenza.

#4 Impostare correttamente password e privacy

Tutti i social hanno la possibilità di settare la privacy, dalla sezione “impostazioni”. Non farlo significa lasciare le impostazioni di default, che solitamente sono aperte.

Inoltre, è fondamentale mantenere un monitoraggio costante su tutti i canali di comunicazione online dell’azienda, allo scopo di individuare prontamente qualsiasi anomalia.

Doveroso è spendere una parola sulle password, che devono essere lunghe, difficili, non di senso compiuto, e tutte diverse l’una dall’altra. A rischio di essere ripetitiva e noiosa, devo sottolineare come questa rimanga la prima e più importante delle misure di sicurezza.

Le password inoltre non vanno appuntate su foglietti, file o quadernini, ma vanno memorizzate mediante password manager, una app che le custodirà per noi.

È successo anche che il dipendente abbia pubblicato sui un social un selfie scattato in ufficio, dove sullo sfondo si intravede un post-it con la password!

Facciamo attenzione ai “social login”, ad esempio il classico “Accedi tramite Facebook”: in ambito tecnologico la comodità non è mai indice di sicurezza. Spendiamo qualche secondo in più, piuttosto, ma creiamo accessi sicuri e controllati.

Attenzione anche ad iscriversi a servizi e piattaforme varie, che possono subire data breach e quindi disperdere le credenziali d’accesso. Verificate periodicamente l’integrità delle vostre caselle di posta elettronica tramite il servizio have i been pwned, e in caso di violazione, cambiare immediatamente la password.

Si consiglia di non utilizzare le classiche “domande di recupero password”, le cui risposte sono facilmente individuabili, anche da informazioni trapelate sui social.

Scollegate tutte le app terze collegate ai vostri account personali e aziendali; potrebbero costituire delle “porte aperte” delle quali facilmente ci dimentichiamo. Non eseguite l’accesso da pc o dispositivi condivisi o non sicuri, e mai quando siete collegati con una wi-fi free.

Un’altra azione necessaria a proteggere gli account aziendali consiste nel concedere i minimi privilegi agli utenti: evitare di fornire credenziali e password ai non addetti ai lavori, e concedere l’accesso come amministratori solo a chi strettamente indispensabile. Si ridurrà così la superficie d’attacco e sarà più facile risalire alla falla, qualora dovesse verificarsi.

#5 Sicurezza informatica in azienda: formare i dipendenti all’uso sicuro dei social

Rubare l’identità di un ignaro dipendente può essere piuttosto facile. Una volta che il criminale avrà le sue credenziali potrà facilmente agire in suo nome, e portare a termine il piano. Oppure, le informazioni sottratte possono essere vendute, sempre con fini illeciti.  

I criminali ci sono arrivati per primi: hanno capito che le persone oggi sono al centro, di tutto. Attraverso i singoli si può arrivare dovunque.
Ma io ribalto la cosa e dico: attraverso i singoli si può fare sicurezza!

Spesso si sottovaluta quale fonte di rischio possa costituire un dipendente scontento o stressato. Trattiamo con più cura le persone che lavorano per noi. Potrebbe fare la differenza tra l’avere dei custodi attivi e fedeli, oppure delle “mine” silenti, pronte a esplodere.

Ma anche un dipendente non informato costituisce un grave pericolo per l’azienda. C’è da chiedersi perché correre un tale rischio, quando la formazione dei dipendenti è alla portata di qualunque impresa, anche la più piccola.

Se sei interessato ad un percorso di formazione studiato ad hoc per te e per i tuoi dipendenti, contattami. Non aspettare troppo a lungo, ma agisci ora, prima che la tua azienda cada in mani sbagliate e il frutto del tuo duro lavoro vada perso per sempre.


Informazioni su Paloma Donadi

Amo il digitale quasi quanto la carta stampata. Vivo ogni giorno la magia di creare qualcosa che prima non c’era. Trasformo l'immagine di aziende e professionisti in comunicazione efficace, funzionale, etica e possibilmente "green".

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.