Cyber Security: Best practice per la tua azienda!
Il tema della sicurezza digitale ha molteplici declinazioni, quali la Cyber Security, la protezione dei dati personali e la riservatezza delle informazioni rilevanti per il Business.
Abitudini quotidiane
Per questioni che definiremo “culturali”, il livello di sensibilizzazione relativa a Cyber Security (si pensi ai ransomware come CryptoLocker o WannaCry) e protezione dati personali (D.Lgs 196/2003 e GDPR) si è rapidamente elevato negli ultimi anni.
Diverso, invece, l’andamento delle applicazioni gestionali. A tal proposito, la tendenza, soprattutto, nelle piccole e medie aziende, è tipicamente conservativa.
Questo atteggiamento si giustifica in primis con la complessità e la pervasività delle soluzioni gestionali nel sistema azienda, la difficoltà ad inseguire l’evoluzione tecnologica in materia di Cyber Security, la mancanza di formazione e la scarsità di risorse.
Questo approccio è in netto contrasto con i bisogni del Business, spinto ad operare in contesti sempre più condivisi ed integrati.
Solitamente, le organizzazioni tendono a guadagnare efficienza attraverso integrazione, condivisione ed automazione dei processi su Internet. Alcuni esempi potrebbero essere:
- scambio di informazioni con i propri partner commerciali, dall’invio di mail alla pubblicazione di dati e file nei siti e nei server condivisi;
- condivisione di documenti con gli operatori logistici;
- transazioni finanziarie, ovvero quando si collegano al proprio Home Banking o inviano una delega di pagamento ad un consulente;
- adempimento a requisiti normativi, contabili e fiscali, come nel caso dello scambio di Fatture Elettroniche o dell’invio delle dichiarazioni doganali.
Diventa allora fondamentale assicurare un adeguato livello di sicurezza alle informazioni condivise, operando sulla protezione dei dati e sulla verifica dell'identità in termini di Cyber Security.
Best Practice
Di seguito, alcune Best Practice con cui costruire una Check List in materia di sicurezza digitale nella dimensione Azienda:
1. Certificato HTTPS nei siti aziendali
I siti HTTPS, a differenza di quelli HTTP, trasferiscono dati per mezzo di una connessione criptata. La lettera “S” finale significa Secure ed utilizza la crittografia asimmetrica TLS, impedendo, quindi, a soggetti terzi di intercettarne il contenuto. Inoltre, il protocollo HTTPS garantisce un miglior posizionamento nei motori di ricerca rispetto ai siti senza TLS.
È sorprendente vedere quanti siti web siano ancora oggi non protetti da crittografia dati HTTPS. Alcuni casi sono il sito del Ministero dell'Economia e delle Finanze o il sito del MIT - Massachusetts Institute of Technology.
2. Durata dei certificati digitali
È buona regola acquistare certificati con validità di 1 o 2 anni e rinnovarli periodicamente. Non si consiglia l’utilizzo di certificati con validità decennale o oltre.
3. Aggiornamento della Password di posta
Una password di posta elettronica, soprattutto, per chi utilizza servizi di posta in Cloud, deve rispondere a due criteri: in primis essere solida, ovvero avere una lunghezza di almeno 8 caratteri, non contenere parole di dizionario, alternare maiuscole e minuscole e, infine, avere un carattere speciale (@; #; $; %; ^; &). In secundis, si dovrebbe cambiare almeno una volta all’anno.
4. Aggiornamento del browser
Un browser non aggiornato nasconde falle di sicurezza. I cinque principali browser (Safari, Chrome, Edge, Explorer 11 e Firefox) rilasciano sempre aggiornamenti, che è consigliabile recepire continuamente.
Ad esempio, tutti i browser citati stanno dismettendo la cifratura dati con TLS 1.0 e 1.1 a favore della versione 1.2.
5. Utilizzo di un solo server FTP dotato di crittografia dati
Il servizio FTP (File Transfer Protocol) è il modo più economico con cui le organizzazioni condividono i file. Va, tuttavia, considerato che il tradizionale server FTP “non criptato” è del tutto insicuro e andrebbe dismesso.
L’utilizzo di un Firewall non è condizione sufficiente per garantire la sicurezza dei dati. È fondamentale usufruire solo di servizi FTP dotati di crittografia, quali FTPs o sFTP.
6. Utilizzo di certificati di crittografia rilasciati da Certification Authority
Spesso vengono utilizzati certificati auto generati o self-signed. La motivazione è principalmente di comodità (elaborazione semplice) ed economicità (servizio gratuito). Tuttavia, la tendenza a livello internazionale è quella di non accettare più certificati self-signed, ma solamente quelli rilasciati da Certification Authority, cioè enti terzi che autenticano l’identità del possessore del certificato.
Se state già utilizzando un certificato self-signed, continuate ad utilizzarlo fino alla scadenza e acquistate il successivo da una Certification Authority.
7. Utilizzo di algoritmi di crittografia aggiornati
Quando si cifrano i dati, si utilizza l’algoritmo SHA (Secure Hash Algorithm). La principale caratteristica che distingue gli algoritmi è la dimensione dell’Hash generato: maggiore è la lunghezza dell’Hash e maggiore è la sicurezza del dato. Se si stanno usando certificati SSL o TLS generati con un algoritmo SHA1, ricordate che questi potrebbero non essere più accettati, in quanto ritenuti vulnerabili.
È, quindi, necessario passare quanto prima ad un certificato generato con algoritmo di tipo SHA2. SHA 256 è il più noto.
Le minacce sono sempre più articolate e gli attacchi del Cybercrime non accennano a diminuire. Per questo motivo, le aziende sono chiamate a prestare maggiore attenzione in merito al tema della Cyber Security per la tutela dell’ente e dei clienti.