Il seguente articolo riepiloga le regole essenziali per un corretto uso degli strumenti e delle risorse all’interno di un’azienda, in conformità con quanto stabilito dal Documento Programmatico sulla sicurezza (DPS) e con le buone norme di sicurezza aziendale.
Va premesso che ogni azienda ha le sue caratteristiche, esigenze, strutture, risorse e sistemi informativi, quindi ogni regola va considerata in relazione alla propria attività.
Le regole indicate vanno comunicate a tutto il personale o quanto meno, alle persone incaricate e a contattocon i sistemi informativi.
Le regole non seguono nessun ordine preciso, d’importanza o cronologico.
1. Ogni computer è una postazione che può contenere o accedere a dati sensibili, pertanto ogni dipendente o utilizzatore del PC è responsabile direttamente o indirettamente di essi. Deve applicare, rispettare e far applicare le regole necessarie per tutelare la riservatezza dei dati e le informazioni aziendali. Ogni postazione è identificata univocamente ed ogni accesso è controllato da una password che deve essere mantenuta segreta. Solo l’utilizzatore e il responsabile della privacy, la possono conoscere.
2. Se la password dovesse venire a conoscenza di terze persone, l’utilizzatore è tenuto a cambiarla e comunicarlo tempestivamente al responsabile della sicurezza, che provvederà o incaricherà ad effettuare le opportune operazioni.
3. Ogni terza persona (compreso gli incaricati) che effettua operazioni su un PC contenente dati sensibili, deve rilasciare un documento firmato con il giorno, luogo, l’ora di inizio e di fine dell’intervento, le operazioni effettuate e l’identificativo del PC.
4. Occorre aggiornare o far aggiornare il proprio sistema operativo, scaricando tutti gli ultimi aggiornamenti o applicando singoli aggiornamenti reperibili dal sito ufficiale del programma. Questo permette di diminuire le intrusioni o gli errori che spesso sono causa di attacchi al sistema.
5. Sul pc va installato e tenuto costantemente aggiornato un antivirus. Ne esistono diversi a licenza annuale ma ne esistono diversi gratuiti e comunque efficienti. Effettuare periodicamente scansioni dell’intero sistema operativo.
6. Altro elemento importante è il firewall, ovvero un programma o hardware (meglio quest’ultimo) che “blinda” il pc una volta collegato ad internet, evitando intrusioni esterne, gestendo il flusso di dati in uscita ed in entrata. Pertanto per evitare che malintenzionati possano accedere al vostro pc è bene installarne uno. Una volta installato e configurato (seguendo la procedura guidata), si può consentire o rifiutare l’accesso e/o l’ingresso alla rete a ciascun singolo programma, evitando operazioni non autorizzate.
7. Fare attenzione e seguire le buone regole nell’inviare e ricevere email, per evitare contagi di virus direttamente dalle email ricevute. Non aprire allegati sconosciuti soprattutto di persone che non conoscete. Diffidare di richieste di dati bancari, password di servizi collegati ai vostri soldi.
8. Effettuare scansioni e controlli periodici sulla vostra configurazione per essere certi di non essere a rischio virus ed intrusioni.
9. Effettuare copie di backup (salvataggio) del vostri dati e dei dati sensibili, almeno una volta a settimana. Le copie di backup devono essere conservate in luogo sicuro e riparato. E’ bene catalogare le copie, per poter risalire o accedere velocemente ai dati. Per le copie di dati sensibili, può essere utile criptarle o proteggere gli archivi con password, per un’ulteriore misura di sicurezza.
10. Prepararsi a ripristinare le copie di backup, effettuando delle esercitazioni o delle prove. In caso di perdita di dati è necessario poterle recuperare entro 7 giorni.
11. Assicurare la sicurezza fisica dei macchinari. Sembra banale ma è un aspetto da non sottovalutare. Ridurre al minimo questo rischio, installando allarmi, chiusure di cabinet o chiudere a chiave i locali contenenti i computer e archivi cartacei con dati sensibili.
12. Impostare la password di accesso al pc e archivi di file riservati di almeno 8 caratteri, meglio se è più lunga. E’ sconsigliato l’uso di password di facile identificazione o con termini di uso comune, come il proprio nome, data di nascita, nome della fidanzata, 1234, ecc. Usare caratteri speciali, maiuscole e minuscole è meglio. Buona norma cambiare le password almeno ogni 3 mesi e ricordarsi di comunicare al responsabile della privacy la data e la password modificata.
13. Navigare con prudenza in Internet ed evitare di lasciare i propri dati a siti inattendibili.
14. Non usare programmi di Istant Messaging o chat line per comunicare dati sensibili, inviare file non criptati contenenti informazioni private, numeri di carta di credito, ecc
15. Non usare programmi di File Sharing (Condivisione File) all’interno di reti aziendali. Questi programmi aprono delle porte che possono essere usate per intrusioni ed inoltre c’è il pericolo che, se non sono opportunamente configurati, possono condividere l’intero disco in rete, mettendo a rischio la privacy.
16. Per maggiori dettagli fare riferimento al DPS aziendale o chiedere maggiori informazioni al responsabile della privacy.