Esempi di criteri di sicurezza per i dispositivi mobili

Esempi di criteri di sicurezza per i dispositivi mobili

Esempi di criteri di sicurezza per i dispositivi mobili

Come utilizzare questi criteri Esempi di criteri di sicurezza per i dispositivi mobili

Origine di questi criteriEsempi di criteri di sicurezza per i dispositivi mobili

System Off Site Alessandro-Frigerio-300x300 Esempi di criteri di sicurezza per i dispositivi mobili Cybersecurity News Security  tablet smartphone reparti dispositivi mobili IT

Alessandro Frigerio

Direttore System Off Site

Condividi su facebook
Share
Condividi su twitter
Share
Condividi su linkedin
Share
Condividi su pinterest
Share
Condividi su tumblr
Share
Condividi su whatsapp
Share
Condividi su print
Share
Condividi su reddit
Share
Condividi su email
Share

Al giorno d’oggi, una delle maggiori sfide affrontate dai reparti IT è la protezione di dispositivi mobili quali smartphone e tablet, siano essi di proprietà dell’utente o aziendale, questi esempi di criteri vanno intesi come linee guida per le organizzazioni che desiderano implementare o aggiornare i propri criteri di sicurezza per i dispositivi mobili.
Potete adoperarli liberamente e adattarli alla vostra organizzazione.
Ove richiesto, modificare, rimuovere o aggiungere informazioni, a seconda delle vostre esigenze e approccio ai rischi.
Non sono criteri completi, bensì un modello pratico da usare come base per la creazione dei propri criteri.

Origine di questi criteri
La sfida più comune da affrontare è il fatto che gli utenti non sanno che i dispositivi mobili rappresentano una minaccia a sicurezza informatica.
Di conseguenza, non applicano lo stesso livello di sicurezza e protezione dei dati che utilizzerebbero su altri dispositivi, come ad es. i computer desktop.
Il secondo problema consiste nel fatto che, quando sono gli utenti a fornire il dispositivo, attribuiscono maggiore priorità alle proprie esigenze, piuttosto che al bisogno aziendale.
Questi criteri di massima forniscono una struttura per la protezione dei dispositivi mobili, e vanno adoperati insieme ad altri criteri che riflettano le vostre politiche aziendali relative a risorse informatiche e protezione dei dati.

Introduzione
I dispositivi mobili, come smartphone e tablet, sono strumenti aziendali importanti, e il loro utilizzo viene supportato al fine di raggiungere obiettivi.
I dispositivi mobili rappresentano però anche un rischio significativo alla sicurezza di dati e informazioni; se non vengono implementate le corrette applicazioni e procedure di sicurezza, possono infatti diventare un vettore per l’accesso non autorizzato ai dati e alla struttura informatica dell’azienda.
Le conseguenze di ciò possono essere fuga dei dati e attacco ai sistemi.
ha l’obbligo di difendere le proprie risorse informative, al fine di proteggere clienti, proprietà intellettuale e reputazione.
Questo documento illustra una serie di pratiche e requisiti per l’uso sicuro dei dispositivi mobili.

Ambito
Tutti i dispositivi mobili, siano essi di proprietà di oppure di un dipendente, aventi accesso a reti, dati e sistemi aziendali, esclusi i portatili forniti in dotazione dall’azienda e gestiti dal reparto IT. Sono inclusi smartphone e tablet.

Esenzioni: nel caso vi sia un’esigenza aziendale di esenzione da questi criteri (costi troppo elevati, troppa complessità, impatto negativo su altri requisiti aziendali), sarà necessario condurre una valutazione dei rischi, e l’eventuale autorizzazione verrà concessa dai responsabili alla sicurezza.

Criteri
Requisiti tecnici
I dispositivi devono utilizzare i seguenti sistemi operativi: Android 2.2 o successivo, IOS 4.x o successivo.
I dispositivi devono contenere tutte le password salvate dall’utente in un password store cifrato.
I dispositivi devono essere configurati con una password protetta, che sia conforme ai criteri della password.
Questa password deve essere diversa dalle altre credenziali utilizzate all’interno dell’azienda.
Ad eccezione dei dispositivi gestiti dal reparto IT, non è consentita la connessione diretta dei dispositivi alla rete aziendale interna.

Requisiti dell’utente
Agli utenti è consentito caricare sul o sui dispositivi solamente i dati essenziali allo svolgimento del proprio lavoro.
In caso di furto o smarrimento dei dispositivi, gli utenti hanno l’obbligo di avvisare immediatamente il reparto IT.
Se un utente sospetta che sia stato effettuato un accesso non autorizzato ai dati aziendali tramite un dispositivo, ha il dovere di riferirlo immediatamente, seguendo le procedure di gestione.
È proibito sottoporre i dispositivi a “jailbreaking”, o ad installazioni di software/firmware allo scopo di accedere a funzionalità il cui uso non è destinato.
È proibito scaricare sui dispositivi copie pirata di software, o contenuti illegali.
È consentito installare applicazioni solamente da fonti ufficiali e approvate dai vendor della piattaforma.
È severamente vietato installare codice proveniente da fonti non attendibili.
In caso di dubbio sull’attendibilità dell’origine di un’applicazione, contattare il reparto IT.
È necessario mantenere aggiornati i dispositivi con le patch fornite da produttori o rete. Le patch vanno come minimo controllate ogni settimana e applicate una volta al mese.
Non è consentito connettere un dispositivo a un PC privo di protezione antimalware aggiornata e abilitata, e on conforme ai criteri aziendali.
I dispositivi vanno cifrati seguendo gli standard di conformità.
Gli utenti devono adottare la massima cautela e separare sul dispositivo gli account e-mail personali da quelli lavorativi.
Nello specifico, hanno l’obbligo di accertarsi che i dati aziendali vengano inviati esclusivamente tramite il sistema di posta elettronica aziendale.
Se un utente sospetta che siano stati inviati dati aziendali da un account e-mail personale, nel corpo del messaggio o come allegato, ha il dovere di informare immediatamente il reparto IT.
(Se applicabile alla vostra organizzazione) Agli utenti non è consentito utilizzare le postazioni di lavoro aziendali per il backup o la sincronizzazione di contenuti del dispositivo come file multimediali, a meno che tali contenuti siano necessari per il legittimo svolgimento delle proprie mansioni lavorative.
Il jailbreaking di un dispositivo mobile è la rimozione dei limiti imposti dal produttore.
Questa operazione consente l’accesso al sistema operativo, sbloccando quindi tutte le funzionalità del dispositivo stesso e permettendo l’installazione di software non autorizzato.

Condividi su facebook
Share
Condividi su twitter
Share
Condividi su linkedin
Share
Condividi su pinterest
Share
Condividi su tumblr
Share
Condividi su whatsapp
Share
Condividi su print
Share
Condividi su reddit
Share
Condividi su email
Share
Leggi di più...

Consigli sicurezza informatica

Consigli sicurezza informatica

Cybercrime, attacchi hacker, ransomware, Wannacry

Formare i dipendenti nei principi di sicurezza

System Off Site Alessandro-Frigerio-300x300 Consigli sicurezza informatica Cybersecurity News Security  sicurezza informatica firewall cybersicurezza Cybersecurity cibersicurezza

Alessandro Frigerio

Direttore System Off Site

Condividi su facebook
Share
Condividi su twitter
Share
Condividi su linkedin
Share
Condividi su pinterest
Share
Condividi su tumblr
Share
Condividi su whatsapp
Share
Condividi su print
Share
Condividi su reddit
Share
Condividi su email
Share

1. Formare i dipendenti nei principi di sicurezza.
Stabilire le politiche e le pratiche di sicurezza di base per i dipendenti, ad esempio richiedendo password complesse e stabilire linee guida uso Internet appropriate che dettaglio sanzioni per violazione azienda cybersecurity politiche.
Stabilire regole di comportamento che descrive come gestire e proteggere le informazioni sui clienti e altri dati vitali.

2. Proteggere informazioni, computer e reti da attacchi informatici.
Mantenere puliti macchine: avendo la protezione più recenti software, browser web e sistema operativo sono le migliori difese contro virus, malware e altre minacce online.
Impostare software antivirus per eseguire una scansione dopo ogni aggiornamento.
Installare altri aggiornamenti software chiave, non appena sono disponibili.

3. Fornire la protezione firewall per la connessione a Internet.
Un firewall è un insieme di programmi correlati che impedire agli stranieri l’accesso ai dati su una rete privata.
Assicurarsi che sia attivato il firewall del sistema operativo o installare firewall gratuito software disponibile online.
Se i dipendenti lavorano da casa, garantire che la loro casa o sui sistemi è protetti da un firewall.

4. Creare un piano di azione del dispositivo mobile.
Dispositivi mobili possono creare notevole sicurezza e sfide di gestione, soprattutto se contengono informazioni riservate o può accedere alla rete aziendale.
Richiede agli utenti di password proteggono loro dispositivi, crittografare i dati e installare applicazioni di sicurezza per impedire ai criminali di rubare le informazioni mentre il telefono è acceso reti pubbliche.
Assicurarsi di impostare le procedure per attrezzature smarrite o rubate.

5. Fare copie di backup dei dati aziendali importanti e informazioni.
Effettuare regolarmente il backup i dati su tutti i computer.
Dati critici includono documenti di elaborazione testi, fogli elettronici, database, file finanziari, risorse umane file e file di conti attivi e passivi. Backup dei dati automaticamente, se possibile, o almeno settimanale e archiviare le copie entrambi fuori sede o nel cloud.

6. Controllare l’accesso fisico ai computer e creare account utente per ogni dipendente.
Impedire l’accesso o uso di computer aziendali da parte di persone non autorizzate.
Computer portatili possono essere particolarmente facili bersagli per furto o può essere perso, quindi bloccare il li incustodito.
Assicurarsi che viene creato un account utente separato per ogni dipendente e richiedono password complesse.
Privilegi amministrativi solo occorre fiducia personale IT e di personale chiave.

7. Proteggere le reti Wi-Fi.
Se hai una rete Wi-Fi per il vostro ambiente di lavoro, assicurarsi che è sicuro, criptato, e nascosto.
Per nascondere la rete Wi-Fi, impostare il tuo punto di accesso wireless o router in modo che non trasmettano il nome di rete, conosciuto come il Service Set Identifier (SSID).
Proteggere con password l’accesso al router.

8. Utilizzano le procedure sulle carte di pagamento.
Lavorare con le banche o processori per garantire la più attendibile e validato vengono utilizzati strumenti e servizi antifrode.
Si possono anche avere obblighi di protezione aggiuntive derivanti da accordi con la banca o il processore.
Isolare i sistemi di pagamento dai programmi di altri, meno sicuri e non utilizzano lo stesso computer per elaborare i pagamenti e navigare in Internet.

9. Limitare l’accesso dei dipendenti ai dati e informazioni e limite di autorizzazione per installare il software.
Non forniscono uno qualsiasi dipendente con accesso a tutti i sistemi di dati.
Dipendenti devono solo avere accesso ai sistemi di dati specifici che essi bisogno per il loro lavoro e non dovrebbe essere in grado di installare qualsiasi software senza autorizzazione.

10. Password e autenticazione.
Richiedono ai dipendenti di utilizzare password univoche e cambiare password ogni tre mesi.
Si consiglia di implementare l’autenticazione a più fattori che richiede informazioni aggiuntive oltre una password per ottenere voce.
Verifica con i fornitori che gestiscono dati sensibili, soprattutto le istituzioni finanziarie, per vedere se essi offrono multifactor autenticazione per l’account.

Condividi su facebook
Share
Condividi su twitter
Share
Condividi su linkedin
Share
Condividi su pinterest
Share
Condividi su tumblr
Share
Condividi su whatsapp
Share
Condividi su print
Share
Condividi su reddit
Share
Condividi su email
Share
Leggi di più...