Fonte: In4mati Autore: Luigi Duraccio
Nella attuale situazione di confinamento, stiamo un po’ tutti scoprendo alcune delle reali possibilità che ci offre la tecnologia. Il c.d. “Smart Working” o lavoro agile è ormai un concetto ampiamente sdoganato.
Si trovano riferimenti ovunque, sul web, sui social, in tv: tutti ne parlano sia trattando della soluzione organizzativa che come soluzione tecnologica. Ovviamente si tratta di entrambe le cose ma, in questa sede, ci occuperemo, brevemente ed in modo semplice, dei rischi per la sicurezza.
Prenderei come punto di partenza le 11 raccomandazioni che l’Agenzia per l’Italia Digitale (AgID) ha elaborato per i dipendenti pubblici che hanno adottato la modalità di lavoro agile, per aiutarli a utilizzare al meglio e in sicurezza i propri dispositivi personali.
Le raccomandazioni sono le seguenti:
1. Segui prioritariamente le policy e le raccomandazioni dettate dalla tua Amministrazione.
2. Utilizza i sistemi operativi per i quali attualmente è garantito il supporto.
3. Effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo.
4. Assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc.) siano abilitati e costantemente aggiornati.
5. Assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua Amministrazione.
6. Non installare software proveniente da fonti/repository non ufficiali.
7. Blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro.
8. Non cliccare su link o allegati contenuti in email sospette.
9. Utilizza l’accesso a connessioni Wi-Fi adeguatamente protette.
10. Collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dalla tua Amministrazione).
11. Effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.
Si tratta di semplici raccomandazioni che, se da un lato sono di puro buon senso e, peraltro, già nella disponibilità della maggioranza di coloro che lavorano utilizzando tecnologie informatiche (praticamente chiunque usi un pc in ufficio), dall’altro vengono sistematicamente disattese, esponendo dati, informazioni, device a continui rischi di violazione della sicurezza.
Smart working si, purchè si garantiscano […] adeguati livelli di sicurezza e protezione della rete secondo le esigenze e le modalità definite […]
Quindi, il Lavoro agile non è una cosa affatto semplice o banale e presenta una serie di criticità e difficoltà legate anche all’utilizzo della tecnologia informatica.
Riprendo da un articolo di Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy, su Federprivacy.org, le raccomandazioni operative utili quando si vuole predisporre una postazione di lavoro da casa.
“In effetti il dipendente in smart working è tenuto innanzitutto a:
In ottemperanza alle disposizioni comunitarie e nazionali nonché di contratto, il dipendente è tenuto alla più̀ assoluta riservatezza sui dati e sulle informazioni in suo possesso e/o disponibili sul sistema informativo e conseguentemente dovrà̀ adottare, in relazione alla particolare modalità̀ della sua prestazione, ogni provvedimento idoneo a garantire tale riservatezza.
Inoltre, nella qualità̀ di “autorizzato” del trattamento dei dati personali, anche presso il proprio luogo di prestazione fuori sede, dovrà̀ osservare tutte le istruzioni e misure tecniche ed organizzative previste.
In particolare, con riferimento alle modalità̀ smart work, dovrà:
Nello specifico, quindi, il dipendente, dal punto di vista gestionale, in regime di smart working dovrà:
Consigli pratici
Infine, voglio qui sintetizzare alcuni suggerimenti pratici, per evitare di mettere a rischio i dati e le risorse dell’azienda e delle persone che ci lavorano.
Il primo suggerimento è di chiedere consiglio, un aiuto, a tecnici specializzati che sappiano fornirvi strumenti in fase di avviamento ed un sistema di controllo remoto per tenere sotto controllo il sistema e gestire eventuali problemi.
Secondo. Fin dove è possibile, non utilizzate i vostri sistemi personali, neanche per leggere posta elettronica. Ricordate che la quasi totalità dei problemi viene proprio dai vostri dispositivi domestici o personali. Esempio le connessioni ADSL e WiFi di casa, spesso, anzi quasi sempre senza protezzioni adeguate. Qui, per configurare una qualche protezione minima basta andare su Google e fare una ricerca.
Terzo. Installate o fatevi installare, sempre da un tecnico, un buon sistema antivirus. Un buon sistema non costa molto (qualche decina di euro); non utilizzate antivirus gratuiti (equivale a non avere un antivirus), meglio se utilizzate sistemi di protezione gestiti (chiedete sempre al famoso tecnico).
Quarto. Se possibile, sempre col supporto di un tecnico che potrà operare da remoto, con semplicità ed in totale sicurezza, fatevi configurare una connessione VPN ovvero quel canale di comunicazione “sicuro” tra il dispositivo remoto e l’azienda, attraverso il quale si accede direttamente agli applicativi ed ai dati aziendali.
Infine quinto. Non ultimo per importanza, anzi, molto delicato, il sistema di autenticazione, il login con user name e password. Se non si usano adeguati sistemi di protezione e buone pratiche di comportamento, è molto facile violare o carpire i dati di login. Utilizzate, allora, sistemi di autenticazione a due o tre fattori, dove possibile, o aumentate al massimo la complessità delle password ed abituatevi a cambiarle con frequenza maggiore del solito, anche una volta ogni 15 gg o una volta a settimana.
Il rispetto del GDPR - Conclusioni
Immagino, e non temo di essere smentito, che le istruzioni da parte del titolare del trattamento, non siano state date in modo così chiaro o, addirittura, non saranno state date affatto.
Allora, spetta ad ognuno di noi farsi carico del rispetto della normativa sulla privacy, soprattutto, ripeto, al fine di proteggere i propri dati, i propri dispositivi. Le conseguenze saranno la protezione dei dati aziendali e dei propri colleghi, ad esempio. In base all’approccio basato sulla valutazione del rischio ed ai principi di privacy by design e by default (non è importante adesso capire o sapere esattamente cosa sono) fatevi sempre e continuamente una domanda, ogni volta che state per fare qualche azione od operazione sul PC o da remoto: quali sono i probabili rischi che posso correre? Spesso, il solo fatto di porci una domanda alla quale non sappiamo rispondere è indicativo del fatto che stiamo andando incontro a rischi e conseguenze potenzialmente disastrose.
Se avete un minimo dubbio chiedete ad un tecnico qualificato, fate una ricerca su Google, oppure scrivete a: info@informatoreinformatico.it: potrebbe salvarvi!
Microsoft ha rilasciato un aggiornamento ma non è sufficiente scaricarlo per risolvere il problema con PrintNightmare. E' necessario seguire una procedura manuale. Ecco come fare. Questo articolo è un aggiornamento del precedernte (potete trovarlo cliccando qui), dato che la situazione è in continua evoluzione: aggiornamenti non ufficiali o che non funzionano, nuove patch rilasciate da Microsoft, istruzioni complicate per gli utenti, ecc. Cos'è PrintNightmare? La vulnerabilità PrintNightmare, che sta causando parecchi problemi agli utenti di Windows 10 ed ai reparti IT di supporto, è...
Scritto da: Luigi DuraccioAnche a causa della pandemia che ci ha indistintamente colpiti l'anno passato, questa estate le vacanze sono qualcosa a cui ciascuno di noi ambisce ancora con più intensità. Un periodo in cui "staccare la spina", scollegarsi dall'ufficio, dai colleghi, per tuffarsi in ciò che amiamo di più fare: dedicare tempo alla famiglia, sport, un viaggio (qualcosa di impensabile l'anno scorso!!), leggere uno o più libri, insomma, fare ciò che ci piace fare. Il periodo quindi che si avvicina in fretta porterà tutte le...
Scritto da: Luigi DuraccioPrintNightmare è una grave falla nella sicurezza di windows. Per gli utenti sta diventando un incubo. In attesa che Microsoft risolva vi dico cosa fare. Questo articolo è un po’ lungo ma, vista la pericolosità della minaccia, ho ritenuto necessario dare una informazione più completa possibile e soffermarmi su concetti che non sono proprio facili. Inoltre qui è in gioco la sopravvivenza della tua azienda! Dedica allora 5 minuti alla lettura dell’articolo fino in fondo: non te ne pentirai! Qualche giorno fa è emersa...
Scritto da: Luigi DuraccioNei codici QR si nascondono dei pericoli che i sistemi di protezione non rilevano. E i cyber criminali li usano per gli attacchi informatici. Con l’arrivo del green pass oramai tutti conosciamo i Codici QR. Per la verità vengono usati già da tempo, in molte occasioni, perché in un piccolo quadratino si possono inserire una grande quantità di informazioni. Inoltre è molto facile da usare: basta inquadrarlo con la fotocamera del cellulare ed automaticamente abbiamo accesso alle informazioni che contiene. Grazie alla versatilità e velocità con cui si possono trasmettere una...
Scritto da: Luigi DuraccioDi Marco Govoni Quotidianamente, per la mia attività lavorativa, mi trovo nel "maneggiare" una mole importante di informazioni che reperisco da fonti pubbliche o semi-pubbliche. In particolare sono dati figli di ricerche OSINT svolte su social network, forum, deep, dark e clear web: lo faccio per monitorare cosa accade nel mondo del cybercrime, analizzare cosa viene estratto (in maniera illecita) dalle aziende e ragionare quindi su quali siano i migliori approcci per una protezione e difesa efficace. Questo mi impone di trattare queste informazioni con cura, soprattutto quando...
Scritto da: Luigi DuraccioDi Marco Govoni E' un tema attuale quello del Green Pass, ovvero il certificato digitale emesso dal Ministero della Salute che raccoglie informazioni sul nostro stato di vaccinazione e ci permette quindi di muoverci in determinate aree o paesi. Questo certificato è composto principalmente da un QR Code, ovvero una immagine digitale che contiene determinate informazioni e che può essere letta con apposite applicazioni. In sintesi è un modo per concentrare tanti dati in un piccolo spazio :-) Il QR Code del Green...
Scritto da: Luigi DuraccioArrivano i primi green pass e subito vengono postate le immagini del codice QR sui social. E’ una pessima idea, parola del Garante Privacy. A lanciare l’allarme attraverso un videoclip diffuso online è Guido Scorza, componente dell’Autorità Garante per la protezione dei dati personali, a lanciare l’allarme, e lo ha fatto con un videoclip diffuso sui social: guardate la clip in fondo all’articolo! Il codice contiene infatti moltissimi dati personali e sensibili, non visibili ad occhio nudo, ma leggibili con un semplice scanner QR: chi siamo, se ci...
Scritto da: Luigi DuraccioI messaggi che il Ministero sta inviando ai vaccinati via sms sono diventati veicolo di phishing. Vi mostro come riconoscere quelli veri da quelli truffa. Era fin troppo facile immaginarlo: l’Sms che il Ministero della Salute sta inviando ai vaccinati per ricevere il Green Pass è diventato un perfetto veicolo di truffe on line. Il primo allarme in questo senso ha iniziato a suonare nello scorso fine settimana. Anche la polizia postale ha lanciato l'allarme e possiamo immaginare che non sarà neanche l'ultimo. Tutti siete invitati a prestare la...
Scritto da: Luigi DuraccioLa troviamo in quasi tutte le email, un messaggio, posto in calce, che fa riferimento alla privacy. Ma è davvero obbligatorio? E come deve essere redatto? Articolo originale su Informatore Informatico Vi sarà sicuramente capitato di trovare, in calce alle email, un messaggio in cui si avverte il destinatario della natura personale e riservata delle informazioni inviate. Tale messaggio coincide con il più noto termine disclaimer, tratto dal dizionario anglosassone. La prima cosa da sapere è che nessuna norma menziona esplicitamente il disclaimer, tantomeno ne impone un...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.