ݺߣ

ݺߣShare a Scribd company logo

PROSPER - Modulo 1 - Unità 5_IT.pptx

Download as PPTX, PDF
C
caniceconsulting

Module 1 Unit 5

1 of 36
Download to read offline
post pandemic empowerment programme www.prosper-project.eu Sicurezza informatica digitale Modulo 1 / Unità 5
post pandemic empowerment programme Partners Finanziato dall'Unione europea. Le opinioni espresse appartengono, tuttavia, al solo o ai soli autori e non riflettono necessariamente le opinioni dell'Unione europea o dell’Agenzia esecutiva europea per l’istruzione e la cultura (EACEA). Né l'Unione europea né l'EACEA possono esserne ritenute responsabili. Post Pandemic Empowerment Programme © 2023 di Die Berater/ European E-Learning Institute/ BUPNET/ CATRO/ Momentum/ Smart Revolution/ Eurotraining è concesso con la seguente licenza CC BY-NC-SA 4.0
post pandemic empowerment programme Al fine di proteggere i dati sensibili da numerosi rischi sul posto di lavoro di oggi, la sicurezza informatica sta diventando sempre più cruciale. A seconda di come lavorano in loco o virtualmente, è essenziale formare il personale sulla sicurezza informatica. I leader possono assicurarsi che i loro dipendenti siano ben attrezzati per identificare e prevenire le minacce di rischio che possono mettere a repentaglio la sicurezza di tutti. Ciò che è fondamentale è salvaguardare efficacemente i processi di protezione da tali rischi, nonché fornire al personale la formazione adeguata su come riconoscere e segnalare attività sospette o possibili problemi di sicurezza. Garantire la sopravvivenza e la redditività a lungo termine di qualsiasi azienda richiede la promozione di una cultura della conoscenza e della responsabilità della sicurezza informatica all'interno del luogo di lavoro. Introduzione
post pandemic empowerment programme Indice 01 02 03 Aumentare la consapevolezza dei dipendenti Garantire la protezione dei dati Evitare le minacce informatiche
post pandemic empowerment programme CONOSCENZE: Obiettivi formativi COMPETENZE: COMPORTAMENTI: ATTITUDINI: L'importanza della formazione dei dipendenti sulla sicurezza informatica Garantire la protezione dei dati e riconoscere le minacce informatiche Formazione e sensibilizzazione dei dipendenti verso la sicurezza informatica Adozione di politiche di sicurezza informatica e iscrizione dei dipendenti a corsi di formazione sulla sicurezza informatica
post pandemic empowerment programme Aumentare la consapevolezza dei dipendenti 01
post pandemic empowerment programme Uno dei concetti più importanti da cogliere con la sicurezza informatica è che la manutenzione è un lavoro costante. I nuovi attacchi si sviluppano mensilmente, se non quotidianamente, e il tuo approccio per proteggerti da loro non può essere limitato alla formazione annuale. Devi assicurarti che i tuoi dipendenti siano consapevoli della politica di sicurezza informatica dell'azienda e si sentano abbastanza a proprio agio con i loro diritti e responsabilità come dipendenti. I dipendenti devono sapere che se sono testimoni o trovano qualcosa di sospettoso, devono segnalarlo immediatamente. 1. Aumentare la consapevolezza dei dipendenti Formazione dei dipendenti
post pandemic empowerment programme Quando si tratta di formazione del personale, assicurarsi che siano consapevoli del proprio ruolo nel mantenimento della sicurezza dei dati aziendali è ritenuta la prima priorità. Avere il software e gli strumenti di sicurezza appropriati sui propri computer, capire come funziona e fare tutti gli sforzi necessari sono fondamentali. I proprietari delle aziende devono stabilire le loro politiche ufficiali e distribuirle a tutti i dipendenti. Tuttavia, limitarsi a diffondere i materiali e contare sui membri del personale per leggerli dall'inizio alla fine e raccogliere tutte le loro informazioni è insufficiente. È una buona idea parlare con i dipendenti delle politiche sia durante il processo di formazione che mentre sono al lavoro. 1. Aumentare la consapevolezza dei dipendenti Formazione dei dipendenti
post pandemic empowerment programme ● Creare un programma di formazione: fornire un programma di formazione che includa regole aziendali, requisiti di conformità e best practice per la sicurezza informatica. Il programma di formazione dovrebbe essere personalizzato per soddisfare le esigenze specifiche dell'azienda e del suo personale. Rendere obbligatoria la formazione: la formazione sulla sicurezza informatica deve essere obbligatoria per tutti i dipendenti. Per assicurarsi che i membri del personale siano informati sui pericoli e le normative più recenti, questo può essere fatto sia durante l'onboarding che in maniera continua. Utilizzare tecniche di formazione interattive: coinvolgere il personale in tecniche di formazione partecipativa, tra cui giochi di ruolo, simulazioni e quiz per sottolineare idee importanti. Fornire aggiornamenti regolari: fornire aggiornamenti regolari sulle modifiche alle politiche aziendali e sulle minacce alla sicurezza informatica per garantire che i dipendenti siano consapevoli di eventuali modifiche che potrebbero influire sul loro lavoro. Monitorare l'efficienza della formazione: utilizzando valutazioni, sondaggi o altre forme di feedback, monitorare e valutare l'efficacia del programma di formazione. Questo può aiutare a individuare le aree problematiche e garantire che i lavoratori ricordino il materiale. Utilizzare esempi di vita reale: per evidenziare l'importanza della sicurezza informatica e della conformità normativa, è fondamentale portare esempi concreti. I dipendenti possono essere ispirati a praticare una condotta sicura e legale imparando gli effetti delle loro attività sull'azienda. 1. Formazione dei dipendenti sulle politiche esistenti Politiche interne di formazione
post pandemic empowerment programme ● Il regolamento generale sulla protezione dei dati (GDPR) richiede alle PMI di proteggere i dati degli utenti da furti, accessi non autorizzati e altre minacce alla sicurezza. La direttiva sulla sicurezza delle reti e dell'informazione (direttiva NIS) impone alle imprese di mantenere la sicurezza delle loro reti di dati e di segnalare eventuali preoccupazioni significative alle agenzie competenti. Il Cybersecurity Act crea un quadro per la certificazione di processi, servizi e beni ICT per assicurarsi che aderiscano a criteri di sicurezza informatica predeterminati. L'UE fornisce orientamenti e strumenti per aiutare le PMI a sviluppare le loro pratiche di cibersicurezza attraverso iniziative quali l'Agenzia dell'Unione europea per la cibersicurezza (ENISA) e il mese europeo della cibersicurezza. 1. Formazione dei dipendenti sulle politiche esistenti Politiche europee
post pandemic empowerment programme Garantire la protezione dei dati 02
post pandemic empowerment programme I dipendenti devono capire che i dati che creano e / o trattano appartengono all'azienda e che questi dati devono essere tenuti al sicuro. Se necessario, ci si deve assicurare che i dipendenti sappiano come eseguire il backup dei dati utilizzando i metodi descritte nelle policy aziendali. Quando i dipendenti lavorano in remoto, i deputati alla sicurezza dei dati e i professionisti IT hanno meno controllo e capacità di monitorare l'archiviazione e lo spostamento dei dati. I dipendenti che non lavorano dall’ufficio possono utilizzare una connessione Internet compromessa, software obsoleto o apparecchiature malfunzionanti. Poiché i dipendenti in remoto sono responsabili della manutenzione delle loro apparecchiature, spetta a loro eseguire aggiornamenti, installare software di sicurezza e seguire le best practice durante l'accesso ai dati senza l'assistenza in loco da parte dell'IT. 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali Protezione dei dati
post pandemic empowerment programme Fortunatamente, ci sono soluzioni abbastanza semplici che possono essere impiegate per proteggere e salvaguardare i dati per i dipendenti che lavorano in remoto. Alcune di queste soluzioni prevedono la ricerca di indicazioni o servizi da parte di specialisti IT o di protezione dei dati, mentre altre possono essere implementate dagli stessi lavoratori “fuori ufficio”. Ciò che potrebbe essere utile per le aziende è la condivisione di un elenco completo di misure che coinvolgono sia il loro team di gestione che il personale remoto, indipendentemente dal fatto che lavorino a tempo pieno o part-time da una posizione remota. Ciò aiuterebbe a informare tutti i dipendenti sulle misure che possono essere adottate per garantire la sicurezza dei dati aziendali e lavorare in modo collaborativo per implementarli. 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali
post pandemic empowerment programme 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali Strumenti ed azioni per la protezione dei dati Autenticazione a due fattori (2FA): Richiedendo una seconda forma di verifica oltre a una password, come un codice inviato a uno smartphone o l'autenticazione biometrica, 2FA fornisce un ulteriore livello di protezione ai dettagli di accesso. (Microsoft) Software di protezione degli endpoint: Questo software protegge i dispositivi distanti da attacchi di malware e virus identificandoli e bloccandoli. (Trellix, McAfee) Processi di backup e ripristino dei dati: In caso di violazione, avere frequenti backup dei dati aziendali garantisce che le informazioni cruciali non vadano perse. (Acronis, Google Drive) Firewall e sistemi di rilevamento delle intrusioni (IDS): Questi strumenti tengono sotto controllo l'accesso indesiderato alle reti e ai dati aziendali e lo prevengono. (CISCO, SonicWall) Aggiornamenti regolari del software e del sistema operativo: Il pericolo di hack e violazioni dei dati viene ridotto aggiornando i sistemi operativi e il software per affrontare e correggere eventuali difetti di sicurezza.
post pandemic empowerment programme La sicurezza informatica è una necessità, soprattutto se i manager reclutano personale che lavora da casa, dando loro un accesso inevitabile tramite una VPN o un servizio di crittografia per garantire che non vengano ottenute informazioni vitali sull'azienda. Il metodo di autenticazione più diffuso per confermare l'identità di un utente e concedere l'accesso alle risorse digitali, inclusi computer e account online, è una password. Una password debole o utilizzata frequentemente su diversi account aziendali potrebbe semplificare agli hacker l'accesso a materiale riservato, le password complesse possono aiutare a prevenire l'accesso indesiderato a queste risorse. Per offrire un ulteriore grado di protezione, le password possono anche essere utilizzate in associazione con altre tecniche di autenticazione come la biometria o l'autenticazione a più fattori. 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali Passwords
post pandemic empowerment programme 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali é abbastanza lunga utilizza più set di caratteri non usa parole complete è aggionrata regolarmente non è condivisa con altri account Una password complessa ha queste caratteristiche:
post pandemic empowerment programme Mantenere un dipendente al sicuro non è sufficiente. L'intera azienda deve essere protetta. Prima di configurare una soluzione VPN o di crittografia al lavoro, è necessario determinare la resilienza informatica dell'intera forza lavoro. È necessario disporre di una politica di sicurezza ferma, che includa la formazione e la garanzia che i dipendenti siano consapevoli dell'importanza della loro sicurezza informatica. Anche se i vantaggi del lavoro ibrido includono la capacità di flessibilità, ciò comporta rischi per la sicurezza. Le aziende devono utilizzare strumenti efficaci ed efficienti per proteggere le loro reti dalle minacce informatiche utilizzando una soluzione di sicurezza multilivello che offra una protezione su più fronti. 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali VPN e crittografia
post pandemic empowerment programme 2. Storing data, accounts and passwords, VPN, personal data protection Gli utenti possono accedere a una rete privata da remoto grazie a una Virtual Private Network (VPN), un software che stabilisce una connessione sicura e stabile tra i dispositivi su Internet. Le VPN sono utili per: • proteggere i dati personali e finanziari, criptando le comunicazioni tra l'utente e l'azienda; • fornire un accesso sicuro e ininterrotto ai dipendenti remoti, in modo che possano collegarsi alla rete aziendale come se fossero in ufficio; • nascondere l'indirizzo IP e la posizione del dispositivo, per aggirare le normative su Internet e le restrizioni geografiche; • salvaguardare i contenuti digitali e fornire un'interazione sicura tra i membri del personale e la rete aziendale. Nella scelta di un provider VPN è fondamentale prendere in considerazione aspetti quali la forza della crittografia, le pratiche di registrazione e l'ubicazione dei server. Le VPN possono essere impostate per limitare l'accesso a particolari applicazioni o risorse, aggiungendo un ulteriore livello di protezione. Crittografando le informazioni durante la trasmissione, le VPN possono contribuire a evitare attacchi e sorveglianza da parte di terzi.
post pandemic empowerment programme 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali I dati trasmessi vengono crittografati convertendoli in un messaggio codificato per impedire l'accesso non autorizzato. Per garantire che solo le persone con le chiavi di decrittografia appropriate possano accedere ai dati, questi vengono codificati e tradotti utilizzando algoritmi e credenziali. Viene utilizzato in una vasta gamma di tecnologie come e-mail sicure, VPN, dispositivi di archiviazione crittografati e programmi di chat sicuri. Può essere utilizzato per proteggere le comunicazioni private tra individui o gruppi di persone insieme a dati commerciali, finanziari e personali. La crittografia è disponibile in due tipi principali: simmetrica e asimmetrica. Mentre la simmetrica utilizza una singola chiave sia per la crittografia che per la decrittografia, quella asimmetrica richiede una coppia di chiavi pubbliche e private. Vi è poi la crittografia end-to-end (E2EE) usata nelle telecomunicazioni. Solo il destinatario e il mittente hanno accesso al materiale decrittografato.
post pandemic empowerment programme Evitare le minacce informatiche 03
post pandemic empowerment programme Le minacce informatiche più comuni per le PMI includono: Phishing: messaggi sospetti che inducono i dipendenti a fornire informazioni sensibili o a scaricare malware. Le PMI dovrebbero fornire l'autenticazione a più fattori e utilizzare il filtraggio della posta elettronica. Ransomware: software destinato a danneggiare o fornire accesso non autorizzato a un sistema tramite download, siti Web dannosi e allegati. Le PMI dovrebbero eseguire il backup dei dati e implementare la protezione degli endpoint. Malware: software progettato per danneggiare o ottenere l'accesso non autorizzato ai sistemi informatici tramite allegati, download e siti Web dannosi. Le PMI dovrebbero utilizzare software di protezione degli endpoint, aggiornare il loro software e implementare strumenti di posta elettronica e filtro. (continua nella diapositiva successiva) 3. Evitare le minacce informatiche Minacce tipiche
post pandemic empowerment programme Minacce interne: responsabilità presentata da dipendenti attuali o precedenti, appaltatori indipendenti o fornitori che hanno accesso a sistemi e dati con autorizzazione. Le PMI dovrebbero attuare controlli di accesso, controlli dei precedenti personali dei dipendenti e monitorare l'attività degli utenti. Violazioni di terze parti: un attacco che compromette i dati sensibili contro un'azienda o un fornitore partner. Le PMI dovrebbero monitorare l'attività dei fornitori, sviluppare accordi di condivisione dei dati e misure di sicurezza e fare due diligence sui fornitori. 3. Evitare le minacce informatiche
post pandemic empowerment programme ● Strumenti di phishing simulati: consentono ai manager di creare attacchi di phishing simulati per testare la consapevolezza e la risposta dei propri dipendenti ai tentativi di phishing. Questo può aiutare a identificare le aree in cui è necessaria una formazione aggiuntiva. (PhishMe, KnowBe4, GoPhish, IronScales, Barracuda) Strumenti di scansione delle vulnerabilità: possono essere utilizzati per eseguire la scansione di una rete o di un sistema alla ricerca di vulnerabilità, che possono aiutare i manager a identificare potenziali punti deboli della sicurezza e intraprendere azioni correttive. (Nessus, Qualys, OpenVAS, Rapid7 Nexpose, Acunetix) Piattaforme di formazione sulla consapevolezza della sicurezza: queste piattaforme offrono moduli di formazione interattivi e coinvolgenti incentrati su aree specifiche della sicurezza informatica, come phishing, sicurezza delle password e ingegneria sociale. (KnowBe4, SANS Security Awareness, Infosec IQ, Wombat Security, PhishMe) Modelli di criteri di sicurezza: questi modelli forniscono un framework per la creazione di criteri di sicurezza completi che coprono varie aree della sicurezza digitale, tra cui il controllo degli accessi, la protezione dei dati e la risposta agli incidenti. (SANS Institute, NIST) Strumenti di pianificazione della risposta agli incidenti: questi strumenti possono aiutare i manager a sviluppare e implementare un piano completo di risposta agli incidenti, che delinea le misure da adottare in caso di violazione della sicurezza o altro incidente. 3. Evitare le minacce informatiche Strumenti per i manager
post pandemic empowerment programme Vantaggi 1) identificazione di comportamenti pericolosi; rilevamento del traffico di rete in tempo reale; riconoscimento di probabili frodi, attacchi di ingegneria sociale e attacchi di phishing; filtraggio e rilevamento dei messaggi spam; automazione delle procedure. 3. Evitare le minacce informatiche Svantaggi 1) sviluppo di potenti tecniche generate dall'IA; inefficacia dei mezzi di rilevamento compatibili; sfide di comunicazione sotto forma di inganni e falsi allarmi. L'uso sempre crescente di strumenti di intelligenza artificiale ha dimostrato la necessità di garantire la sicurezza aziendale. Strumenti di intelligenza artificiale
post pandemic empowerment programme 3. Evitare le minacce informatiche Misure chiave per le PMI 1) sviluppo di sistemi di antintrusione come firewall e software antivirus; 2) adeguata formazione del personale; 3) istituzione di “tattiche di sicurezza” con l'assistenza di professionisti della sicurezza informatica; 4) aggiornamenti regolari del software.
post pandemic empowerment programme Vantaggi 1) disponibilità di competenze: il rilevamento e la risposta alle minacce sono gestiti da specialisti risparmio sui costi: le aziende possono evitare di investire in nuovi lavoratori e attrezzature; escalation: i servizi possono essere regolabili a seconda delle esigenze dell'azienda; monitoraggio costante: fornitura di sicurezza continua; rischio ridotto: le risorse di competenza vengono esternalizzate. 3. Evitare le minacce informatiche Svantaggi 1) perdita di controllo: l'azienda dipende dal fornitore; 2) sfide di comunicazione: incomprensioni riguardanti i processi; dipendenza: in caso di compromissione della sicurezza potrebbe sorgere un rischio potenziale; sfide di integrazione: le terze parti e i team esistenti hanno bisogno di coordinamento; rischi di conformità: incomprensioni degli standard di conformità possono comportare pericoli. L’esternalizzazione richiede l'assunzione di una società di sicurezza informatica esterna per amministrare le esigenze di sicurezza dell'azienda. Fornisce accesso illimitato a competenze e tecnologie elevate. Tuttavia, può comportare rischi che hanno a che fare con la privacy dei dati e la gestione dei fornitori. Esternalizzazione del servizio di Cybersecurity
post pandemic empowerment programme Risoluzione dei problemi del sistema La risoluzione dei problemi è un approccio sistematico alla risoluzione dei problemi che viene spesso utilizzato per individuare e correggere problemi con macchine, elettronica, computer e sistemi software complessi. Le metodologie di risoluzione dei problemi di solito cercano di isolare un problema in modo che possa essere esaminato. Esempio Quando un laptop non si avvia, un primo passo ovvio è verificare se il cavo di alimentazione funziona. Una volta esclusi i problemi comuni, gli strumenti di risoluzione dei problemi devono eseguire un elenco di controllo dei componenti per identificare dove si sta verificando l'errore. Buone pratiche ed esempi Procedura di risoluzione dei problem 1) raccogliere informazioni; 2) descrivere il problema; 3) determinare la causa più probabile; 4) creare un piano d'azione e testare una soluzione; 5) implementare la soluzione; 6) analizzare i risultati; 7) documentare il processo.
post pandemic empowerment programme ● Gli attacchi di phishing sono stati il tipo più comune di incidente riscontrato dalle PMI, seguiti da infezioni da malware e attacchi ransomware (ENISA, 2021). Il 60% delle piccole imprese nell'Unione europea ha subito almeno un incidente informatico nel 2020 (ENISA, 2021). Il 26% delle PMI del Regno Unito non dispone di misure di sicurezza informatica e solo il 16% dispone di un piano di gestione degli incidenti di sicurezza informatica (National Cyber Security Centre del Regno Unito, 2020). Il 43% delle PMI europee ha subito un incidente informatico nell'ultimo anno e il 67% di questi incidenti ha avuto un impatto materiale sull'impresa (AE, 2021). Il 49% delle PMI europee ritiene che la sicurezza informatica sia una priorità, ma solo il 37% dispone di un piano di risposta agli incidenti (EY, 2021) Fatti e cifre
post pandemic empowerment programme ● Si fanno valutazioni del rischio? Si mmplementano politiche di sicurezza informatica? Si utilizzano password sicure e autenticazione a più fattori? Si aggiornarnano regolarmente software e patch di sicurezza? Si fornisce una formazione regolare sulla sicurezza informatica? Si usa la crittografia? Si eseguino regolarmente il backup dei dati? Si implementano i controlli di accesso? Si monitorano sistemi e reti? Adottando queste buone pratiche le PMI possono significativamente aumentare la loro “prontezza” alla cybersecurity ridurre il rischio di cyber-attacks. Lista di controllo: in azienda…?
post pandemic empowerment programme La sicurezza informatica è il nuovo ordine mondiale per le aziende e deve avere una grande importanza anche per i dipendenti in remoto di oggi. I datori di lavoro devono garantire che i dipendenti siano consapevoli e formati sulla politica di sicurezza informatica dell'azienda. Aspetti importanti di queste politiche dovrebbero essere la memorizzazione di dati, account e password, VPN e protezione dei dati personali. I datori di lavoro e i dipendenti dovrebbero essere in grado di evitare le minacce informatiche più comuni. RIASSUNTO UNITA’ 5
post pandemic empowerment programme Ti offriamo un breve questionario per l'autovalutazione della misura in cui hai compreso il contenuto. L'obiettivo è rafforzare ciò che hai imparato. Puoi fare il quiz tutte le volte che vuoi. Ricorda, il quiz è solo una parte del processo di apprendimento di cose nuove! QUESTIONARIO AUTOVALUTATIVO
post pandemic empowerment programme Sitografia Cybersecurity training best practices for Employees, 2018 https://www.nationwide.com/business/solutions-center/cybersecurity/train- employees The Importance of Cybersecurity For Remote Employees, 2022 https://www.linkedin.com/pulse/importance-cybersecurity-remote- employees-ark-solvers/ 8 Tips and Best Practices on How to Train Employees for Cyber Security https://www.coxblue.com/8-tips-and-best-practices-on-how-to-train- employees-for-cyber-security/
post pandemic empowerment programme Sitografia Cybersecurity in the Workplace https://my.pennhighlands.edu/ICS/IT_Services/Cyber_Security_Awaren ess_Materials.jnz?portlet=Free-form_Content_2017-10-06T15-24-11- 858 Why Cybersecurity In The Workplace Is Everyone's Responsibility, 2022 https://www.stickmancyber.com/cybersecurity-blog/why- cybersecurity-in-the-workplace-is-everyones-responsibility SME Troubleshooting https://shorturl.at/lISX7 The NCSC Annual Review, 2020 https://www.ncsc.gov.uk/news/annual-review-2020
post pandemic empowerment programme Federal Trade Commission, Cybersecurity for Small Business, https://www.ftc.gov/tips-advice/business-center/small- businesses/cybersecurity ENISA ,2021, Cybersecurity for SMEs https://www.enisa.europa.eu/publications/enisa-report-cybersecurity- for-smes SBA, Strengthen your cybersecurity https://www.sba.gov/business- guide/manage-your-business/strengthen-your-cybersecurity#section- header-6 Sitografia
post pandemic empowerment programme The 2021 Security Outcomes Study – Small and Midsize Business Edition, Cisco https://shorturl.at/mzNT4 Sitografia
post pandemic empowerment programme Puoi trovarci su: ● https://prosper-project.eu/ ● https://www.facebook.com/Workplace.SMEs.EU ● https://www.linkedin.com/company/workplace-smes/ Grazie per aver imparato con noi! www.prosper-project.eu

More Related Content

PROSPER - Modulo 1 - Unità 5_IT.pptx

  • 2. post pandemic empowerment programme Partners Finanziato dall'Unione europea. Le opinioni espresse appartengono, tuttavia, al solo o ai soli autori e non riflettono necessariamente le opinioni dell'Unione europea o dell’Agenzia esecutiva europea per l’istruzione e la cultura (EACEA). Né l'Unione europea né l'EACEA possono esserne ritenute responsabili. Post Pandemic Empowerment Programme © 2023 di Die Berater/ European E-Learning Institute/ BUPNET/ CATRO/ Momentum/ Smart Revolution/ Eurotraining è concesso con la seguente licenza CC BY-NC-SA 4.0
  • 3. post pandemic empowerment programme Al fine di proteggere i dati sensibili da numerosi rischi sul posto di lavoro di oggi, la sicurezza informatica sta diventando sempre più cruciale. A seconda di come lavorano in loco o virtualmente, è essenziale formare il personale sulla sicurezza informatica. I leader possono assicurarsi che i loro dipendenti siano ben attrezzati per identificare e prevenire le minacce di rischio che possono mettere a repentaglio la sicurezza di tutti. Ciò che è fondamentale è salvaguardare efficacemente i processi di protezione da tali rischi, nonché fornire al personale la formazione adeguata su come riconoscere e segnalare attività sospette o possibili problemi di sicurezza. Garantire la sopravvivenza e la redditività a lungo termine di qualsiasi azienda richiede la promozione di una cultura della conoscenza e della responsabilità della sicurezza informatica all'interno del luogo di lavoro. Introduzione
  • 4. post pandemic empowerment programme Indice 01 02 03 Aumentare la consapevolezza dei dipendenti Garantire la protezione dei dati Evitare le minacce informatiche
  • 5. post pandemic empowerment programme CONOSCENZE: Obiettivi formativi COMPETENZE: COMPORTAMENTI: ATTITUDINI: L'importanza della formazione dei dipendenti sulla sicurezza informatica Garantire la protezione dei dati e riconoscere le minacce informatiche Formazione e sensibilizzazione dei dipendenti verso la sicurezza informatica Adozione di politiche di sicurezza informatica e iscrizione dei dipendenti a corsi di formazione sulla sicurezza informatica
  • 7. post pandemic empowerment programme Uno dei concetti più importanti da cogliere con la sicurezza informatica è che la manutenzione è un lavoro costante. I nuovi attacchi si sviluppano mensilmente, se non quotidianamente, e il tuo approccio per proteggerti da loro non può essere limitato alla formazione annuale. Devi assicurarti che i tuoi dipendenti siano consapevoli della politica di sicurezza informatica dell'azienda e si sentano abbastanza a proprio agio con i loro diritti e responsabilità come dipendenti. I dipendenti devono sapere che se sono testimoni o trovano qualcosa di sospettoso, devono segnalarlo immediatamente. 1. Aumentare la consapevolezza dei dipendenti Formazione dei dipendenti
  • 8. post pandemic empowerment programme Quando si tratta di formazione del personale, assicurarsi che siano consapevoli del proprio ruolo nel mantenimento della sicurezza dei dati aziendali è ritenuta la prima priorità. Avere il software e gli strumenti di sicurezza appropriati sui propri computer, capire come funziona e fare tutti gli sforzi necessari sono fondamentali. I proprietari delle aziende devono stabilire le loro politiche ufficiali e distribuirle a tutti i dipendenti. Tuttavia, limitarsi a diffondere i materiali e contare sui membri del personale per leggerli dall'inizio alla fine e raccogliere tutte le loro informazioni è insufficiente. È una buona idea parlare con i dipendenti delle politiche sia durante il processo di formazione che mentre sono al lavoro. 1. Aumentare la consapevolezza dei dipendenti Formazione dei dipendenti
  • 9. post pandemic empowerment programme ● Creare un programma di formazione: fornire un programma di formazione che includa regole aziendali, requisiti di conformità e best practice per la sicurezza informatica. Il programma di formazione dovrebbe essere personalizzato per soddisfare le esigenze specifiche dell'azienda e del suo personale. Rendere obbligatoria la formazione: la formazione sulla sicurezza informatica deve essere obbligatoria per tutti i dipendenti. Per assicurarsi che i membri del personale siano informati sui pericoli e le normative più recenti, questo può essere fatto sia durante l'onboarding che in maniera continua. Utilizzare tecniche di formazione interattive: coinvolgere il personale in tecniche di formazione partecipativa, tra cui giochi di ruolo, simulazioni e quiz per sottolineare idee importanti. Fornire aggiornamenti regolari: fornire aggiornamenti regolari sulle modifiche alle politiche aziendali e sulle minacce alla sicurezza informatica per garantire che i dipendenti siano consapevoli di eventuali modifiche che potrebbero influire sul loro lavoro. Monitorare l'efficienza della formazione: utilizzando valutazioni, sondaggi o altre forme di feedback, monitorare e valutare l'efficacia del programma di formazione. Questo può aiutare a individuare le aree problematiche e garantire che i lavoratori ricordino il materiale. Utilizzare esempi di vita reale: per evidenziare l'importanza della sicurezza informatica e della conformità normativa, è fondamentale portare esempi concreti. I dipendenti possono essere ispirati a praticare una condotta sicura e legale imparando gli effetti delle loro attività sull'azienda. 1. Formazione dei dipendenti sulle politiche esistenti Politiche interne di formazione
  • 10. post pandemic empowerment programme ● Il regolamento generale sulla protezione dei dati (GDPR) richiede alle PMI di proteggere i dati degli utenti da furti, accessi non autorizzati e altre minacce alla sicurezza. La direttiva sulla sicurezza delle reti e dell'informazione (direttiva NIS) impone alle imprese di mantenere la sicurezza delle loro reti di dati e di segnalare eventuali preoccupazioni significative alle agenzie competenti. Il Cybersecurity Act crea un quadro per la certificazione di processi, servizi e beni ICT per assicurarsi che aderiscano a criteri di sicurezza informatica predeterminati. L'UE fornisce orientamenti e strumenti per aiutare le PMI a sviluppare le loro pratiche di cibersicurezza attraverso iniziative quali l'Agenzia dell'Unione europea per la cibersicurezza (ENISA) e il mese europeo della cibersicurezza. 1. Formazione dei dipendenti sulle politiche esistenti Politiche europee
  • 12. post pandemic empowerment programme I dipendenti devono capire che i dati che creano e / o trattano appartengono all'azienda e che questi dati devono essere tenuti al sicuro. Se necessario, ci si deve assicurare che i dipendenti sappiano come eseguire il backup dei dati utilizzando i metodi descritte nelle policy aziendali. Quando i dipendenti lavorano in remoto, i deputati alla sicurezza dei dati e i professionisti IT hanno meno controllo e capacità di monitorare l'archiviazione e lo spostamento dei dati. I dipendenti che non lavorano dall’ufficio possono utilizzare una connessione Internet compromessa, software obsoleto o apparecchiature malfunzionanti. Poiché i dipendenti in remoto sono responsabili della manutenzione delle loro apparecchiature, spetta a loro eseguire aggiornamenti, installare software di sicurezza e seguire le best practice durante l'accesso ai dati senza l'assistenza in loco da parte dell'IT. 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali Protezione dei dati
  • 13. post pandemic empowerment programme Fortunatamente, ci sono soluzioni abbastanza semplici che possono essere impiegate per proteggere e salvaguardare i dati per i dipendenti che lavorano in remoto. Alcune di queste soluzioni prevedono la ricerca di indicazioni o servizi da parte di specialisti IT o di protezione dei dati, mentre altre possono essere implementate dagli stessi lavoratori “fuori ufficio”. Ciò che potrebbe essere utile per le aziende è la condivisione di un elenco completo di misure che coinvolgono sia il loro team di gestione che il personale remoto, indipendentemente dal fatto che lavorino a tempo pieno o part-time da una posizione remota. Ciò aiuterebbe a informare tutti i dipendenti sulle misure che possono essere adottate per garantire la sicurezza dei dati aziendali e lavorare in modo collaborativo per implementarli. 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali
  • 14. post pandemic empowerment programme 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali Strumenti ed azioni per la protezione dei dati Autenticazione a due fattori (2FA): Richiedendo una seconda forma di verifica oltre a una password, come un codice inviato a uno smartphone o l'autenticazione biometrica, 2FA fornisce un ulteriore livello di protezione ai dettagli di accesso. (Microsoft) Software di protezione degli endpoint: Questo software protegge i dispositivi distanti da attacchi di malware e virus identificandoli e bloccandoli. (Trellix, McAfee) Processi di backup e ripristino dei dati: In caso di violazione, avere frequenti backup dei dati aziendali garantisce che le informazioni cruciali non vadano perse. (Acronis, Google Drive) Firewall e sistemi di rilevamento delle intrusioni (IDS): Questi strumenti tengono sotto controllo l'accesso indesiderato alle reti e ai dati aziendali e lo prevengono. (CISCO, SonicWall) Aggiornamenti regolari del software e del sistema operativo: Il pericolo di hack e violazioni dei dati viene ridotto aggiornando i sistemi operativi e il software per affrontare e correggere eventuali difetti di sicurezza.
  • 15. post pandemic empowerment programme La sicurezza informatica è una necessità, soprattutto se i manager reclutano personale che lavora da casa, dando loro un accesso inevitabile tramite una VPN o un servizio di crittografia per garantire che non vengano ottenute informazioni vitali sull'azienda. Il metodo di autenticazione più diffuso per confermare l'identità di un utente e concedere l'accesso alle risorse digitali, inclusi computer e account online, è una password. Una password debole o utilizzata frequentemente su diversi account aziendali potrebbe semplificare agli hacker l'accesso a materiale riservato, le password complesse possono aiutare a prevenire l'accesso indesiderato a queste risorse. Per offrire un ulteriore grado di protezione, le password possono anche essere utilizzate in associazione con altre tecniche di autenticazione come la biometria o l'autenticazione a più fattori. 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali Passwords
  • 16. post pandemic empowerment programme 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali é abbastanza lunga utilizza più set di caratteri non usa parole complete è aggionrata regolarmente non è condivisa con altri account Una password complessa ha queste caratteristiche:
  • 17. post pandemic empowerment programme Mantenere un dipendente al sicuro non è sufficiente. L'intera azienda deve essere protetta. Prima di configurare una soluzione VPN o di crittografia al lavoro, è necessario determinare la resilienza informatica dell'intera forza lavoro. È necessario disporre di una politica di sicurezza ferma, che includa la formazione e la garanzia che i dipendenti siano consapevoli dell'importanza della loro sicurezza informatica. Anche se i vantaggi del lavoro ibrido includono la capacità di flessibilità, ciò comporta rischi per la sicurezza. Le aziende devono utilizzare strumenti efficaci ed efficienti per proteggere le loro reti dalle minacce informatiche utilizzando una soluzione di sicurezza multilivello che offra una protezione su più fronti. 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali VPN e crittografia
  • 18. post pandemic empowerment programme 2. Storing data, accounts and passwords, VPN, personal data protection Gli utenti possono accedere a una rete privata da remoto grazie a una Virtual Private Network (VPN), un software che stabilisce una connessione sicura e stabile tra i dispositivi su Internet. Le VPN sono utili per: • proteggere i dati personali e finanziari, criptando le comunicazioni tra l'utente e l'azienda; • fornire un accesso sicuro e ininterrotto ai dipendenti remoti, in modo che possano collegarsi alla rete aziendale come se fossero in ufficio; • nascondere l'indirizzo IP e la posizione del dispositivo, per aggirare le normative su Internet e le restrizioni geografiche; • salvaguardare i contenuti digitali e fornire un'interazione sicura tra i membri del personale e la rete aziendale. Nella scelta di un provider VPN è fondamentale prendere in considerazione aspetti quali la forza della crittografia, le pratiche di registrazione e l'ubicazione dei server. Le VPN possono essere impostate per limitare l'accesso a particolari applicazioni o risorse, aggiungendo un ulteriore livello di protezione. Crittografando le informazioni durante la trasmissione, le VPN possono contribuire a evitare attacchi e sorveglianza da parte di terzi.
  • 19. post pandemic empowerment programme 2. Memorizzazione di dati, account e password, VPN, protezione dei dati personali I dati trasmessi vengono crittografati convertendoli in un messaggio codificato per impedire l'accesso non autorizzato. Per garantire che solo le persone con le chiavi di decrittografia appropriate possano accedere ai dati, questi vengono codificati e tradotti utilizzando algoritmi e credenziali. Viene utilizzato in una vasta gamma di tecnologie come e-mail sicure, VPN, dispositivi di archiviazione crittografati e programmi di chat sicuri. Può essere utilizzato per proteggere le comunicazioni private tra individui o gruppi di persone insieme a dati commerciali, finanziari e personali. La crittografia è disponibile in due tipi principali: simmetrica e asimmetrica. Mentre la simmetrica utilizza una singola chiave sia per la crittografia che per la decrittografia, quella asimmetrica richiede una coppia di chiavi pubbliche e private. Vi è poi la crittografia end-to-end (E2EE) usata nelle telecomunicazioni. Solo il destinatario e il mittente hanno accesso al materiale decrittografato.
  • 21. post pandemic empowerment programme Le minacce informatiche più comuni per le PMI includono: Phishing: messaggi sospetti che inducono i dipendenti a fornire informazioni sensibili o a scaricare malware. Le PMI dovrebbero fornire l'autenticazione a più fattori e utilizzare il filtraggio della posta elettronica. Ransomware: software destinato a danneggiare o fornire accesso non autorizzato a un sistema tramite download, siti Web dannosi e allegati. Le PMI dovrebbero eseguire il backup dei dati e implementare la protezione degli endpoint. Malware: software progettato per danneggiare o ottenere l'accesso non autorizzato ai sistemi informatici tramite allegati, download e siti Web dannosi. Le PMI dovrebbero utilizzare software di protezione degli endpoint, aggiornare il loro software e implementare strumenti di posta elettronica e filtro. (continua nella diapositiva successiva) 3. Evitare le minacce informatiche Minacce tipiche
  • 22. post pandemic empowerment programme Minacce interne: responsabilità presentata da dipendenti attuali o precedenti, appaltatori indipendenti o fornitori che hanno accesso a sistemi e dati con autorizzazione. Le PMI dovrebbero attuare controlli di accesso, controlli dei precedenti personali dei dipendenti e monitorare l'attività degli utenti. Violazioni di terze parti: un attacco che compromette i dati sensibili contro un'azienda o un fornitore partner. Le PMI dovrebbero monitorare l'attività dei fornitori, sviluppare accordi di condivisione dei dati e misure di sicurezza e fare due diligence sui fornitori. 3. Evitare le minacce informatiche
  • 23. post pandemic empowerment programme ● Strumenti di phishing simulati: consentono ai manager di creare attacchi di phishing simulati per testare la consapevolezza e la risposta dei propri dipendenti ai tentativi di phishing. Questo può aiutare a identificare le aree in cui è necessaria una formazione aggiuntiva. (PhishMe, KnowBe4, GoPhish, IronScales, Barracuda) Strumenti di scansione delle vulnerabilità: possono essere utilizzati per eseguire la scansione di una rete o di un sistema alla ricerca di vulnerabilità, che possono aiutare i manager a identificare potenziali punti deboli della sicurezza e intraprendere azioni correttive. (Nessus, Qualys, OpenVAS, Rapid7 Nexpose, Acunetix) Piattaforme di formazione sulla consapevolezza della sicurezza: queste piattaforme offrono moduli di formazione interattivi e coinvolgenti incentrati su aree specifiche della sicurezza informatica, come phishing, sicurezza delle password e ingegneria sociale. (KnowBe4, SANS Security Awareness, Infosec IQ, Wombat Security, PhishMe) Modelli di criteri di sicurezza: questi modelli forniscono un framework per la creazione di criteri di sicurezza completi che coprono varie aree della sicurezza digitale, tra cui il controllo degli accessi, la protezione dei dati e la risposta agli incidenti. (SANS Institute, NIST) Strumenti di pianificazione della risposta agli incidenti: questi strumenti possono aiutare i manager a sviluppare e implementare un piano completo di risposta agli incidenti, che delinea le misure da adottare in caso di violazione della sicurezza o altro incidente. 3. Evitare le minacce informatiche Strumenti per i manager
  • 24. post pandemic empowerment programme Vantaggi 1) identificazione di comportamenti pericolosi; rilevamento del traffico di rete in tempo reale; riconoscimento di probabili frodi, attacchi di ingegneria sociale e attacchi di phishing; filtraggio e rilevamento dei messaggi spam; automazione delle procedure. 3. Evitare le minacce informatiche Svantaggi 1) sviluppo di potenti tecniche generate dall'IA; inefficacia dei mezzi di rilevamento compatibili; sfide di comunicazione sotto forma di inganni e falsi allarmi. L'uso sempre crescente di strumenti di intelligenza artificiale ha dimostrato la necessità di garantire la sicurezza aziendale. Strumenti di intelligenza artificiale
  • 25. post pandemic empowerment programme 3. Evitare le minacce informatiche Misure chiave per le PMI 1) sviluppo di sistemi di antintrusione come firewall e software antivirus; 2) adeguata formazione del personale; 3) istituzione di “tattiche di sicurezza” con l'assistenza di professionisti della sicurezza informatica; 4) aggiornamenti regolari del software.
  • 26. post pandemic empowerment programme Vantaggi 1) disponibilità di competenze: il rilevamento e la risposta alle minacce sono gestiti da specialisti risparmio sui costi: le aziende possono evitare di investire in nuovi lavoratori e attrezzature; escalation: i servizi possono essere regolabili a seconda delle esigenze dell'azienda; monitoraggio costante: fornitura di sicurezza continua; rischio ridotto: le risorse di competenza vengono esternalizzate. 3. Evitare le minacce informatiche Svantaggi 1) perdita di controllo: l'azienda dipende dal fornitore; 2) sfide di comunicazione: incomprensioni riguardanti i processi; dipendenza: in caso di compromissione della sicurezza potrebbe sorgere un rischio potenziale; sfide di integrazione: le terze parti e i team esistenti hanno bisogno di coordinamento; rischi di conformità: incomprensioni degli standard di conformità possono comportare pericoli. L’esternalizzazione richiede l'assunzione di una società di sicurezza informatica esterna per amministrare le esigenze di sicurezza dell'azienda. Fornisce accesso illimitato a competenze e tecnologie elevate. Tuttavia, può comportare rischi che hanno a che fare con la privacy dei dati e la gestione dei fornitori. Esternalizzazione del servizio di Cybersecurity
  • 27. post pandemic empowerment programme Risoluzione dei problemi del sistema La risoluzione dei problemi è un approccio sistematico alla risoluzione dei problemi che viene spesso utilizzato per individuare e correggere problemi con macchine, elettronica, computer e sistemi software complessi. Le metodologie di risoluzione dei problemi di solito cercano di isolare un problema in modo che possa essere esaminato. Esempio Quando un laptop non si avvia, un primo passo ovvio è verificare se il cavo di alimentazione funziona. Una volta esclusi i problemi comuni, gli strumenti di risoluzione dei problemi devono eseguire un elenco di controllo dei componenti per identificare dove si sta verificando l'errore. Buone pratiche ed esempi Procedura di risoluzione dei problem 1) raccogliere informazioni; 2) descrivere il problema; 3) determinare la causa più probabile; 4) creare un piano d'azione e testare una soluzione; 5) implementare la soluzione; 6) analizzare i risultati; 7) documentare il processo.
  • 28. post pandemic empowerment programme ● Gli attacchi di phishing sono stati il tipo più comune di incidente riscontrato dalle PMI, seguiti da infezioni da malware e attacchi ransomware (ENISA, 2021). Il 60% delle piccole imprese nell'Unione europea ha subito almeno un incidente informatico nel 2020 (ENISA, 2021). Il 26% delle PMI del Regno Unito non dispone di misure di sicurezza informatica e solo il 16% dispone di un piano di gestione degli incidenti di sicurezza informatica (National Cyber Security Centre del Regno Unito, 2020). Il 43% delle PMI europee ha subito un incidente informatico nell'ultimo anno e il 67% di questi incidenti ha avuto un impatto materiale sull'impresa (AE, 2021). Il 49% delle PMI europee ritiene che la sicurezza informatica sia una priorità, ma solo il 37% dispone di un piano di risposta agli incidenti (EY, 2021) Fatti e cifre
  • 29. post pandemic empowerment programme ● Si fanno valutazioni del rischio? Si mmplementano politiche di sicurezza informatica? Si utilizzano password sicure e autenticazione a più fattori? Si aggiornarnano regolarmente software e patch di sicurezza? Si fornisce una formazione regolare sulla sicurezza informatica? Si usa la crittografia? Si eseguino regolarmente il backup dei dati? Si implementano i controlli di accesso? Si monitorano sistemi e reti? Adottando queste buone pratiche le PMI possono significativamente aumentare la loro “prontezza” alla cybersecurity ridurre il rischio di cyber-attacks. Lista di controllo: in azienda…?
  • 30. post pandemic empowerment programme La sicurezza informatica è il nuovo ordine mondiale per le aziende e deve avere una grande importanza anche per i dipendenti in remoto di oggi. I datori di lavoro devono garantire che i dipendenti siano consapevoli e formati sulla politica di sicurezza informatica dell'azienda. Aspetti importanti di queste politiche dovrebbero essere la memorizzazione di dati, account e password, VPN e protezione dei dati personali. I datori di lavoro e i dipendenti dovrebbero essere in grado di evitare le minacce informatiche più comuni. RIASSUNTO UNITA’ 5
  • 31. post pandemic empowerment programme Ti offriamo un breve questionario per l'autovalutazione della misura in cui hai compreso il contenuto. L'obiettivo è rafforzare ciò che hai imparato. Puoi fare il quiz tutte le volte che vuoi. Ricorda, il quiz è solo una parte del processo di apprendimento di cose nuove! QUESTIONARIO AUTOVALUTATIVO
  • 32. post pandemic empowerment programme Sitografia Cybersecurity training best practices for Employees, 2018 https://www.nationwide.com/business/solutions-center/cybersecurity/train- employees The Importance of Cybersecurity For Remote Employees, 2022 https://www.linkedin.com/pulse/importance-cybersecurity-remote- employees-ark-solvers/ 8 Tips and Best Practices on How to Train Employees for Cyber Security https://www.coxblue.com/8-tips-and-best-practices-on-how-to-train- employees-for-cyber-security/
  • 33. post pandemic empowerment programme Sitografia Cybersecurity in the Workplace https://my.pennhighlands.edu/ICS/IT_Services/Cyber_Security_Awaren ess_Materials.jnz?portlet=Free-form_Content_2017-10-06T15-24-11- 858 Why Cybersecurity In The Workplace Is Everyone's Responsibility, 2022 https://www.stickmancyber.com/cybersecurity-blog/why- cybersecurity-in-the-workplace-is-everyones-responsibility SME Troubleshooting https://shorturl.at/lISX7 The NCSC Annual Review, 2020 https://www.ncsc.gov.uk/news/annual-review-2020
  • 34. post pandemic empowerment programme Federal Trade Commission, Cybersecurity for Small Business, https://www.ftc.gov/tips-advice/business-center/small- businesses/cybersecurity ENISA ,2021, Cybersecurity for SMEs https://www.enisa.europa.eu/publications/enisa-report-cybersecurity- for-smes SBA, Strengthen your cybersecurity https://www.sba.gov/business- guide/manage-your-business/strengthen-your-cybersecurity#section- header-6 Sitografia
  • 35. post pandemic empowerment programme The 2021 Security Outcomes Study – Small and Midsize Business Edition, Cisco https://shorturl.at/mzNT4 Sitografia
  • 36. post pandemic empowerment programme Puoi trovarci su: ● https://prosper-project.eu/ ● https://www.facebook.com/Workplace.SMEs.EU ● https://www.linkedin.com/company/workplace-smes/ Grazie per aver imparato con noi! www.prosper-project.eu