Articoli

Cultura sicurezza informatica: come svilupparla in azienda

La possibilità di subire un attacco informatico è molto elevato: sviluppare una cultura sicurezza informatica all’interno dell’azienda diventa fondamentale per prevenire o quantomeno ridurre i danni derivanti da eventuali attacchi hacker. Innanzitutto, per un’azienda è importante prevedere una strategia generale di cybersicurezza; in secondo luogo può essere molto utile formare i propri dipendenti e renderli consapevoli dei rischi potenziali che si corrono quotidianamente utilizzando software e dispositivi informatici.

Come si può promuovere una cultura sicurezza informatica all’interno dell’azienda? Ecco tre indicazioni utili in tale ottica.

INDICE

Security culture, formazione dei dipendenti

Aumentare la conoscenza e la competenza del proprio personale nell’ambito della sicurezza rappresenta un valore aggiunto per tutta l’azienda. Si tratta di un investimento economico lungimirante che può prevenire costi molto più ingenti. In tal senso si possono organizzare dei corsi intensivi con esperti del settore; si possono anche simulare degli attacchi per dimostrare praticamente le metodologie di reazione più opportune.

È necessario che la formazione sia continua: le strategie di attacco da parte degli hacker sono sempre più evolute, di conseguenza occorrono risposte adeguate e aggiornate ai rischi correnti.

Sicurezza aziendale informatica: implementare le procedure di sicurezza

Una volta aumentata la percezione dei rischi e la consapevolezza complessiva, si può procedere con una implementazione delle procedure di sicurezza. Una buona prassi per le aziende è quella di stabilire delle regole e degli standard a cui devono adeguarsi tutti i dipendenti in ragione di salvaguardare dati e informazioni aziendali. Una policy interna è un must have per le aziende.

Tra le procedure di sicurezza più importanti rientrano il controllo e la gestione degli accessi dall’interno dell’azienda e dall’esterno, la gestione degli account aziendali, le strategie di backup e disaster recovery.

La sicurezza informatica in azienda: strumentazioni e risorse adeguate

È dovere delle aziende mettere i dipendenti in condizione di applicare tutte le direttive in tema securitario. Questo si traduce con la messa a disposizione di dispositivi tecnologici e di strumenti per la protezione dei dati come software anti virus e anti malware, firewall, soluzioni di crittografia. I software e i sistemi operativi devono essere, inoltre, sempre aggiornati.

Se vuoi essere sicuro di mantenere al sicuro i dati puoi rivolgerti a un team di professionisti in grado di seguire l’evoluzione del tuo piano di protezione dei dati.

Contatta i nostri esperti per studiare la soluzione più adatta alla tua azienda.

/da

Sicurezza in azienda, tutte le regole da seguire

Come garantire la sicurezza in azienda per manager e dipendenti, e quali precauzioni adottare in ottica di prevenzione?

Ogni azienda, prima ancora di avviare le attività quotidiane, necessita di conoscere e mettere in pratica le regole fondamentali che servono a ridurre i rischi che possono presentarsi nell’ambito di vari contesti e situazioni. Non di rado, infatti, accade che alcune situazioni trattate con leggerezza diventino poi dei problemi veri e propri, per di più dannosi e pericolosi. In quest’ottica, è senz’altro meglio giocare d’anticipo e pianificare un’accurata prevenzione dei casi di rischio.

Ricapitoliamo, quindi, le fasi fondamentali per la gestione della sicurezza in azienda, analizzando le strategie che possono essere adottate da ciascuna organizzazione e alcuni esempi di casi di rischio a cui è possibile porre rimedio con una buona attività di prevenzione.

Fasi di gestione del rischio

La gestione del rischio prevede l’assegnazione di una priorità elevata a quei rischi che hanno alte probabilità di verificarsi, e che comporterebbero ripercussioni incisive. Ovvero, tutti quei casi su cui occorre applicare di procedure di mitigazione finalizzate ad affrontare i relativi rischi.

Vediamo le principali fasi di gestione del rischio:

  1. Identificazione dei rischi: identificazione e descrizione di potenziali rischi finanziari, operativi, di progetto, di business e di mercato;
  2. Analisi del rischio: calcolo della probabilità che un rischio si verifichi tramite l’analisi dei fattori e la documentazione sulle potenziali conseguenze.
  3. Valutazione del rischio: procedura basata su controlli interni e analisi del rischio, per determinare la portata del pericolo. In questa fase occorre decidere quali livelli di rischio sono accettabili, e quali dovranno essere subito affrontati.
  4. Mitigazione del rischio: elaborare una strategia di risposta ai rischi per controllarli o minimizzarli.
  5. Monitoraggio del rischio: i rischi devono essere sottoposti a controlli costanti e periodici, per accertarsi della validità dei piani di mitigazione.

Strategie di gestione del rischio

Le principali strategie di gestione del rischio includono prevenzione, riduzione, condivisione e ritenzione delle situazioni pericolose.

  • Prevenzione del rischio: arrestare ed evitare qualsiasi attività che può comportare un rischio
  • Riduzione del rischio: azioni che possono ridurre la probabilità che un rischio si verifichi o il suo impatto.
  • Condivisione del rischio: l’organizzazione trasferisce o condivide parte del rischio con un’altra organizzazione, ad esempio con l’outsourcing della produzione o le attività di assistenza ai clienti a terze parti.
  • Ritenzione del rischio: i rischi sono stati valutati e l’organizzazione decide di accettarne il potenziale verificarsi. Può essere predisposto un piano di emergenza.

Alcuni esempi di situazioni di rischio in azienda

Le situazioni più comunemente identificate come potenzialmente pericolose o dannose per le aziende sono quelle derivanti da:

  • Ambiente IT minacciato;
  • Danni d’immagine, fuga d’informazioni e corruzione;
  • Contagi derivanti da Covid-19;
  • Eventi inattesi e danni alle strutture e ambienti di lavoro;
  • Danni economici derivanti da errati investimenti

Scopriamo insieme, allora, come predisporci per mettere l’azienda in condizione di prevenire casi critici ed evitare di attivare piani di emergenza in situazioni potenzialmente dannose.

Gestione del rischio IT

In ambito IT, il rischio deriva dalle potenziali perdite o danni causati dalle minacce che sfruttano le vulnerabilità dell’hardware o del software. I Common Vulnerabilities and Exposures (CVE) sono elenchi di falle alla sicurezza divulgati al pubblico, che aiutano gli esperti a coordinare le iniziative per risolvere le vulnerabilità, con l’obiettivo di rendere i sistemi informatici più sicuri.

Il contenimento dei rischi IT può avvenire mediante strumenti come l’analisi predittiva e l’automazione, che consentono di monitorare l’infrastruttura. In questo modo, è possibile individuare e risolvere i problemi in maniera preventiva, prima che si ripercuotano sull’intera azienda. Inoltre, con questi strumenti è possibile prevenire problemi legati alla sicurezza ed evitare tempi di inattività non programmati.

Gestione di collaboratori e dipendenti

Tra i compiti che spettano all’azienda c’è anche l’attivazione di un protocollo da seguire per tutti i dipendenti prima e durante il verificarsi delle situazioni di rischio, tra cui:

  • fare formazione ed essere dotati dei recapiti di professionisti della sicurezza da contattare in caso di furti o fuga d’informazioni, per attivare eventualmente anche le autorità preposte;
  • l’impegno a rispettare il riserbo su dati aziendali sensibili, che può essere stabilito anche da contratto;
  • il divieto di accesso alle zone di rischio, o ai documenti riservati;
  • l’impegno a informare tempestivamente il datore di lavoro di eventuali anomalie o situazioni borderline che possono compromettere l’immagine aziendale prima, dopo e durante l’orario di lavoro

L’azienda dovrà anche fornire informazioni adeguate su eventuali partner preposti al coordinamento e gestione delle attività di security e sorveglianza, a cui i dipendenti potranno rivolgersi in caso di emergenza.

Prevenzione per il rischio di Covid-19

Il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” rappresenta ancora lo strumento imprescindibile a cui imprese e lavoratori devono attenersi in materia di salute. Su questo tema, il documento evidenzia come:

  1. Le mascherine devono essere utilizzate secondo le indicazioni dell’Organizzazione mondiale della sanità.
  2. In caso di difficoltà, possono essere utilizzate mascherine la cui tipologia corrisponda alle indicazioni dall’autorità sanitaria.
  3. L’azienda può predisporre il liquido detergente secondo le indicazioni dell’OMS.

Se la mansione del lavoratore impone di lavorare a una distanza inferiore a un metro con altre persone, e non sono possibili altre soluzioni, è obbligatorio l’uso delle mascherine o altri dispositivi di protezione conformi alle disposizioni delle autorità scientifiche e sanitarie. Inoltre, tutti i lavoratori che condividono spazi comuni devono utilizzare una mascherina chirurgica.

Gestione degli ambienti di lavoro

Per prevenire danni, incendi e altre criticità negli spazi adibiti a mense, aree fumatori, spogliatoi e altri ambienti, occorre:

  • Accesso contingentato e sosta limitata negli spazi comuni. Inoltre, è necessario garantire una ventilazione continua dei locali e il mantenimento della distanza di sicurezza di almeno 1 metro tra le persone;
  • Condizioni igienico-sanitarie adeguate negli spogliatoi;
  • Pulizia giornaliera, sanificazione periodica e riordino dei locali, inclusi eventuali distributori di bevande e snack, con particolare attenzione ai cavi o materiali infiammabili.

Gestione dell’organizzazione aziendale

Per evitare investimenti rischiosi o situazioni che possono creare condizioni economiche sfavorevoli o avverse all’azienda, occorre formare o assumere una classe dirigente in grado di gestire movimentazioni di capitali in modo da favorire il successo aziendale. Molto importante è l’aspetto della riservatezza e della lealtà del dipendente, che lavorerà a stretto contatto con il CDA dell’organizzazione. Ecco alcune indicazioni utili:

  • Organizzare strategie di controllo e monitoraggio anche nelle situazioni in cui è possibile fare ricorso allo smart working;
  • Procedere a una periodica rimodulazione dei livelli produttivi;
  • Assicurare un piano di turnazione dei dipendenti per limitare la possibilità di errori dovuto al sovraccarico di lavoro;
  • Limitare le trasferte e i viaggi di lavoro nazionale e internazionale, specialmente quando la situazione sanitaria lo richiede, per evitare lunghi viaggi alle figure di responsabilità dell’azienda.

Per quanto riguarda i fornitori, invece:

  • Individuare percorsi di ingresso, transito e uscita con tempistiche predefinite;
  • Ridurre, per quanto possibile, l’accesso ai visitatori occasionali;
  • Disporre un servizio di trasporto organizzato, per garantire e rispettare la sicurezza dei lavoratori in ogni spostamento;
  • Porre particolare attenzione alle aziende in appalto che possono organizzare sedi e cantieri all’interno dei siti e delle aree produttive.

Altre indicazioni utili

In conclusione, altre regole utili da seguire per aumentare la sicurezza in azienda possono essere:

  • Ridurre al massimo gli spostamenti all’interno del sito aziendale;
  • Non consentireriunioni in presenza in caso di rischio sanitario;
  • Sospendere e annullare eventi e attività di formazione in azienda in caso di eventi pericolosi, imprevisti o altre criticità.
/da

Sicurezza in azienda, come scegliere una security agency

Sicurezza in azienda, come scegliere un servizio di sicurezza e una security agency affidabile? Vediamolo insieme

La sicurezza privata e aziendale continua a essere una fonte di preoccupazione per molte imprese in tutta Italia. Secondo le stime più recenti, i tentativi di rapina, furto o atti vandalici in casa o in aziende restano alti. In questi anni, molte imprese e privati sul territorio hanno scelto di investire in tecnologie di sorveglianza o di appaltare la salvaguardia dei propri beni mobili o immobili alle agenzie di sicurezza privata. Si tratta di ditte specializzate nel fornire servizi di vigilanza privata per il controllo diurno o notturno di uffici o impianti produttivi.

Il momento della scelta di una security agency è una fase delicata. Si tratta di decidere a chi consegnare il compito di proteggere un bene di enorme valore, come la propria azienda. In questo articolo proviamo a capire come scegliere un’agenzia di sicurezza e quali sono gli aspetti più importanti da considerare per non commettere errori.

I servizi di sicurezza

Le agenzie di security e le agenzie di sorveglianza non sono tutte uguali. A seconda dei casi, possono essere specializzate nella fornitura di servizi di sicurezza specifici per le imprese e i privati. Conoscerli aiuta ad individuare il partner più adatto per migliorare la sicurezza.

Per questo, puoi valutare positivamente chi offre personale dinamico, pronto a rispondere in ogni occasione, anche in casi che esulano dalla competenza di un sorvegliante. Le migliori agenzie di sicurezza hanno collaboratori formati anche in materia antincendio o di primo soccorso.

Portierato

Le aziende o gli uffici provvisti d’ingresso con portineria possono richiedere il servizio di portierato, e rivolgersi a sorveglianti addestrati per gestire alcune attività tra cui:
• registrare gli ingressi in entrata e uscita
• gestire il sistema di sorveglianza dello stabile
• occuparsi della chiusura serale dell’edificio.

Guardiania

Un ottimo livello di sicurezza è costituito dal servizio di guardiania, che prevede la sorveglianza di immobili, cantieri, stabilimenti industriali o attività commerciali. Molto simile al portierato, richiede un ruolo più attivo del personale.

Gli addetti in divisa si occupano di controllare le vie di accesso dalla propria postazione, oppure effettuando perlustrazioni esterne o interne, e anche di richiedere le generalità all’ingresso o gestire il flusso in entrata di parcheggi o uffici.

Sorveglianza notturna

Tra i compiti richiesti alle agenzie di sicurezza troviamo anche la sorveglianza notturna, un’attività effettuata nelle ore di chiusura con l’obiettivo di controllare o salvaguardare l’integrità dell’azienda dalle minacce frequenti di notte.

Scegliere una security agency: vigilanza armata e non armata

Un elemento fondamentale quando si sceglie un’agenzia di sicurezza è conoscere la differenza tra vigilanza armata e non armata. La prima viene definita attiva, ed è svolta da guardie giurate (GPG) con giubbotto antiproiettile e arma da fuoco, ad esempio in caso di trasporto valori o piantonamenti antirapina.

Quella non armata viene definita vigilanza passiva, e può essere svolta da professionisti anche non necessariamente GPG. Inoltre è stato appurato più volte che il possesso di un’arma non è un grosso deterrente per i malintenzionati. A fare la differenza è sempre la presenza di una guardia o un team di professionisti.

Per questo, la vigilanza non armata è uno dei servizi di sicurezza privata più diffusi, nonché il più consigliato.

Come scegliere un’agenzia di sicurezza?

Nel momento in cui occorra scegliere un’agenzia a cui affidare la gestione della sicurezza, la professionalità è uno dei fattori più importanti. Non solo quella dell’amministrazione, ma anche dei professionisti che operativamente forniranno custodia e protezione.

Innanzitutto, fai un rapido controllo verificando la presenza dell’agenzia nella lista degli Istituti Certificati del Ministero, redatta ai sensi del D.M. n. 115/2014 e consultabile a questo link.

È importante che si tratti di sorveglianti formati e addestrati per intervenire. Tra le attitudini personali, è consigliabile la riservatezza e la disponibilità. Una security agency affidabile garantisce sempre personale privo di procedimenti penali, in divisa e tessera di riconoscimento, con un forte senso del dovere e una condotta civile adeguata al ruolo.

Inoltre i custodi e i sorveglianti devono essere ben equipaggiati, anche nel caso in cui svolgano un servizio di vigilanza non armata.

Stai cercando un partner per la gestione della sicurezza affidabile? Contattaci.

/da

Cybercrime: gli attacchi phishing mettono a rischio la sicurezza online delle aziende.

Il cybercrime è sempre più diffuso. La ricerca Kaspersky Lab sulla sicurezza informatica ha riscontrato un fortissimo aumento dei casi di attacchi phishing nel terzo trimestre del 2018.

Ma cosa sono gli attacchi phishing? Il pishing è una particolare tipologia di truffa che avviene online in cui un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile.

Si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli o SMS (SMISHING) in cui si richiede la verifica dell’account o presunti aggiornamenti delle informazioni, cliccando su link presenti all’interno dei messaggi.

Tali link invece reindirizzano la vittima della truffa verso un sito che simula l’originale, ma che in realtà è un falso creato ad arte per ingannare gli utenti. Le informazioni sottratte vengono infine usate per accedere ai veri portali e compiere operazioni illecite, come il trasferimento di fondi.

La ricerca ha individuato quasi 140 milioni di tentativi di truffa perpetuati nel mondo attraverso questa tecnica nel solo terzo trimestre del 2018. Tale dato sottolinea come gli utenti spesso abbiano poca conoscenza del mondo online o non diano la giusta attenzione nel preservare i propri dati sensibili.

Ma qual è il settore più attaccato?

Stando al report di Kaspersky, il settore finanziario è stato uno dei più colpiti: più di un terzo di tutti gli attacchi di phishing registrati ha avuto come obiettivo infatti banche, sistemi di pagamento e canali di e-commerce.

Il Paese con la percentuale più alta di utenti attaccati dal phishing nel terzo trimestre del 2018 è stato il Guatemala, con quasi il 19% del totale, seguito dal Brasile con il 18,6%. Il terzo posto è occupato dalla Spagna, con il 17,5% degli utenti colpiti.

Anche l’Italia è molto provata dalle innumerevoli campagne phishing in circolazione. Falsi domini di banche come Unicredit, Poste Italiane, falsi rimborsi Tim, Enel, e tanto altro circolano sul web, come evidenziato dal ricercatore di cyber security @IllegalFawnIl che attraverso il suo account Twitter invita gli utenti a fare attenzione a determinati siti “truffa”, segnalandoli quando possibile.

Anche le aziende devono tutelarsi da tali attacchi, stando all’Italian CyberSecurity Report 2018 gli attacchi subiti sono cresciuti del +34,21% e i soggetti più a rischio sono le piccole e medie imprese.

Il metodo più usato per attaccarle è quasi sempre lo stesso: i ransomware.

Mascherati da documenti di testo o altre tipologie di formato file apparentemente innocue, i ransomware si diffondono, solitamente, tramite posta elettronica. La loro diffusione avviene dunque con un’operazione di phishing, che causerà l’illeggibilità dei documenti aziendali che saranno crittografati e resi leggibili solo dall’hacker attraverso il pagamento di un riscatto.

Le soluzioni ideali per arginare tali attacchi? L’osservazione.

Il consiglio per difendersi da tali attacchi è ben preciso. Bisogna prima di tutto analizzare sempre con accuratezza i link proposti nelle email o negli sms ricevuti, controllandone l’autenticità. In secondo luogo è buona norma essere costantemente informati sulle nuove tipologie di attacchi phishing in corso in modo da non cadere in questa spiacevole trappola.

/da
Giuliano Group Defence & Recovery Engineering

SEDE LEGALE  E OPERATIVA: Via Acquasanta 15 – 84131 Zona Industriale Salerno

Tel: 089.9254111       P. Iva: 04212960654

SEDE OPERATIVA: Via Vettore 6 – 00141 Roma

Tel: 06.79321668

Mail: info@giulianogroup.it    Pec: giulianogroup@pec.it