Consigli sulla Sicurezza Informatica.

“La Sicurezza Informatica”

Con il termine sicurezza informatica si intende quel ramo dell’informatica che si occupa delle analisi delle minacce, delle vulnerabilità e del rischio associato agli asset informatici, al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero provocare danni diretti o indiretti di impatto superiore ad una determinata soglia di tollerabilità (es. economico, reputazionale, politico-sociale, ecc…).

Il termine è spesso sostituito con il neologismo cybersecurity, che rappresenta una sottoclasse del più ampio concetto di information security. Per cybersecurity si intende infatti quell’ambito dell’information security prettamente ed esclusivamente dipendente dalla tecnologia informatica. Nell’utilizzare il termine cybersecurity si vuole intendere, in particolare, un approccio mirato ad enfatizzare non tanto le misure di prevenzione (ovvero quelle misure che agiscono riducendo la probabilità di accadimento di una minaccia) ma soprattutto le misure di protezione (ovvero quelle misure che agiscono riducendo la gravità del danno realizzato da una minaccia). In altri termini l’approccio odierno alla cybersecurity si focalizza sul “cosa e come” fare dopo il realizzarsi di un incidente di sicurezza. Ciò è anche confermato da uno dei più diffusi cybersecurity framework emanato dal National Institute of Standards and Technology (NIST) che prevede i seguenti macro-processi core:

  • Identifica (identify)
  • Proteggi (protect)
  • Rileva (detect)
  • Rispondi (respond)
  • Ripristina (recover).

La protezione degli asset informatici è ottenuta attraverso misure di carattere tecnico ed organizzativo, sia di prevenzione che di protezione, tese ad assicurare:

  • l’accesso protetto e controllato ai dati, a garanzia della confidenzialità delle informazioni trattate (proprietà di riservatezza)
  • la consistenza dei dati, intesa come completezza e correttezza degli stessi (proprietà di integrità)
  • l’accesso ai dati nei tempi e nei luoghi previsti (proprietà di disponibilità)

Queste tre caratteristiche vengono spesso citate utilizzando la definizione “CIA Triad”.

Le proprietà di integrità, riservatezza e disponibilità (RID) dei dati costituiscono l’assunto base sul quale vengono svolte tutte le successive valutazioni di sicurezza. Tali proprietà sono in genere affiancate anche dalla proprietà di non ripudio, ovvero dalla possibilità di attribuire un dato ad un mittente o proprietario ben identificato.

La sicurezza informatica non è un problema affrontabile solo da un punto di vista tecnologico , ma è indispensabile che l’utente provveda ad attuare le procedure e mettere in atto i giusti comportamenti per proteggere le informazioni ed i sistemi dalle varie minacce. Ecco allora qualche suggerimento circa le misure minime di sicurezza da adottare:

“GESTIONE PASSWORD”

  • Porre un’attenzione particolare nella scelta e nella gestione della password, modificandola in modo significativo almeno ogni 90 giorni
  • Modificare sempre la password quando si sospetta un uso indebito delle proprie credenziali
  • Non comunicare la password a nessuno, non includerla in messaggi di posta elettronica, non conservarla in luoghi facilmente accessibili da altri, né memorizzarla su supporti elettronici rimovibili
  • Non utilizzare le stesse credenziali per effettuare registrazioni a siti commerciali, forum o social network
  • Non utilizzare l’opzione di salvataggio automatico della password sui dispositivi portatili

    “POSTA ELETTRONICA”

  • Non dare seguito a messaggi di posta elettronica che richiedono di fornire le proprie credenziali di autenticazione (messaggi di phishing)
  • Non aprire gli allegati dei messaggi di posta elettronica “sospetti” (mittente sconosciuto e allegato non atteso con estensione .exe, .zip, .pdf, etc)
  • Non rilasciare indiscriminatamente il proprio indirizzo di posta elettronica e fare molta attenzione a non rilasciarlo su siti Internet non attendibili
  • Non scrivere informazioni riservate nei messaggi di posta elettronica
  • Non inviare via mail dati personali o dati che consentono, direttamente o indirettamente, di identificare i soggetti ai quali si riferiscono

    “POSTAZIONE DI LAVORO”

  • Non manomettere o alterare la configurazione di base dei dispositivi informatici
  • Non disattivare per nessun motivo la protezione antivirus
  • Non collegare alla rete interna PC non in dotazione del Dipartimento
  • Nel caso sia rilevato software malevolo o virus sul proprio PC eseguire tutte le operazioni indicate dal personale tecnico per effettuare la bonifica
  • In caso di allontanamento, non lasciare la propria postazione di lavoro accessibile ad altri ed attivare le protezioni di accesso ai dati o al sistema

    “NAVIGAZIONE SICURA”

  • Non visitare siti web di dubbia attendibilità
  • Non scaricare da Internet materiale della cui provenienza non si è certi e che può contenere codice malevolo
  • Non rilasciare informazioni riservate su siti non attendibili
  • Accertarsi sempre dell’attendibilità dei siti visitati
  • Non accedere o utilizzare social network a scopo privato dalla postazione lavorativa

    “SOCIAL MEDIA”

  • Ricordarsi che Internet è come una piazza pubblica! tutto ciò che viene pubblicato diviene visibile a tutti e, una volta pubblicato, è difficile rimuoverlo. Pubblicate informazioni, foto e video che non vi possano potenzialmente creare problemi se viste da estranei o, in generale, da persone diverse dal loro destinatario diretto.
  • Limitare la quantità di informazioni personali pubblicate: non diffondete informazioni che potrebbero essere utilizzate in maniera malevola o fraudolenta da terzi, come la vostra data di nascita, il vostro indirizzo di casa, le vostre abitudini, i vostri spostamenti, la vostra situazione finanziaria o medica.
  • Diffidare dagli sconosciuti: l’uso di Internet rende facile camuffare la propria identità e le proprie intenzioni. Quando interagite con qualcuno per la prima volta via social, assicuratevi che sia proprio chi dice di essere prima di dargli informazioni su di voi o, peggio, di accettare di incontrarlo di persona.
  • Utilizzare le impostazioni per la privacy: le impostazioni di default dei siti social possono in alcuni casi consentire a chiunque di accedere al vostro profilo e di contattarvi. In questo caso, modificate le impostazioni in modo da limitare l’accesso solo a determinate persone. Tenete sotto controllo le condizioni d’uso e le impostazioni dei servizi social che utilizzate in quanto possono essere variate dai gestori in qualsiasi momento. In generale, prima di iscrivervi su un social network leggete l’informativa sulla privacy del sito e verificate se il gestore monitora i contenuti pubblicati dagli utenti e fornisce le informazioni raccolte a terze parti per scopi commerciali.
  • Fare attenzione alle applicazioni di terze parti: le applicazioni, I widget e I giochi disponibili su molti siti social possono nascondere delle insidie. Siate cauti nel concedere a queste applicazioni i permessi di accesso ai vostri dati.
  • Non credere a tutto quello che viene pubblicato online: molte persone tendono a pubblicare informazioni false o esagerate.
  • Pensare prima di “cliccare”: fate attenzione quando cliccate su link, immagini e video contenuti nei messaggi sui social network. Potrebbero essere fraudolenti e reindirizzarvi verso siti malevoli realizzati per diffondere malware o rubare credenziali. Quando accedete al vostro profilo social digitate l’indirizzo direttamente nel browser o memorizzatelo come segnalibro.
  • Utilizzare sempre le necessarie contromisure “tecniche”: usate password robuste per accedere ai vostri profili social; non usate mai le stesse credenziali per servizi diversi; mantenete il vostro PC sicuro aggiornando costantemente sistema e applicazioni, in particolare il vostro browser; installate e mantenete aggiornato un buon anti-virus.

“Attenzione ai Ransomware”

Sempre più spesso si verificano tentativi di accesso fraudolento (c.d. phishing) alle caselle di posta elettronica attraverso l’invio di una mail apparentemente proveniente da “Equitalia” o dalla “Banca Popolare di Ragusa” o altri enti di interesse economico, contenente nel testo un link riconducibile a software malevoli.

Esempio di email fraudolenta:

“Cliente nome.cognome

Cartella esattoriale nr 73392/11 procedimento amministrativo  sanzionatorio del 4/3/2017 10:09:36

accedi documento (il testo è un link alla URL malevola)

La raccomandata nella sezione messaggio del sito autorizzato BCP banca.

Distinti saluti,

EQUITALIA”

Si raccomanda di prestare la massima attenzione, evitando di cliccare sui link ed eliminando direttamente la mail.

Si raccomanda di osservare le minime regole di sicurezza informatica, tra le quali:

  • in caso di mail con contenuti e oggetto non usuali o sospetti, assicurarsi che il mittente abbia effettivamente spedito il messaggio;
  • prestare la massima cautela nell’apertura di file allegati alla mail;
  • non rispondere a richieste di informazioni personali ricevute tramite posta elettronica;
  • prestare la massima cautela nell’apertura di link di accesso verso altri siti Web presenti nelle mail;
  • non inoltrare mail ritenute sospette;