Rendere l’email sicura: consigli per piccole imprese

Come molti titolari di piccole imprese già sapranno, l’email è il mezzo principale con cui gli hacker possono ottenere accesso a dati e informazioni aziendali sensibili. Ma quello che forse non tutti sanno è che le piccole imprese sono particolarmente vulnerabili. Nello specifico, il numero complessivo di attacchi informatici contro le aziende con un massimo di 250 dipendenti è raddoppiato nel primo semestre dello scorso anno e, in media, la perdita economica per ogni attacco ha superato i 188.000 dollari. L’effetto degli attacchi informatici sull’economia americana nell’insieme è quantificabile in un costo di addirittura 100 miliardi di dollari all’anno, secondo il Center for Strategic and International Studies.

Questo è uno dei motivi per cui il massiccio attacco sferrato all’email di Sony nel 2014 ha avuto ampia risonanza e ha spinto ogni organizzazione a domandarsi come sia possibile evitare la stessa sorte. È ragionevole pensare che se un’azienda così grande, con più livelli di sicurezza, può cadere vittima degli hacker, le piccole imprese con meno risorse non avranno nessuna speranza.

Ma forse non è così. Esistono molti modi per assicurarsi che l’organizzazione sia protetta tramite l’email sicura. Poiché, come si suol dire, una catena è forte solo quanto il suo anello più debole, nelle organizzazioni il segreto è coinvolgere i dipendenti e responsabilizzarli nei confronti delle misure adottate per la sicurezza. Ecco sette suggerimenti per iniziare.

  1. Crea e implementa un piano di sicurezza informatica come priorità assoluta. Ovviamente, non basta semplicemente valutare come proteggere il servizio email, ma bisogna anche definire strategie per mantenere al sicuro il sito Web, le informazioni sui pagamenti e altri dati. In ogni caso, la sicurezza dell’email dovrebbe essere una componente principale del piano. La Federal Communications Commission ha sviluppato uno strumento utile, Small Biz Cyber Planner 2.0, per la creazione di un piano personalizzato.
  2. Valuta se adottare la crittografia dell’email. La crittografia dell’email aiuta a proteggere le informazioni personali dagli hacker consentendo solo a determinati utenti di accedere e leggere i messaggi. Esistono vari metodi di crittografia dell’email, a seconda del livello di sicurezza e praticità richiesto. Puoi ad esempio scaricare o acquistare altri prodotti software da collegare al tuo attuale client di email. Oppure, puoi installare un certificato dell’email, come PGP (Pretty Good Privacy), che consente ai dipendenti di condividere una chiave pubblica con qualunque mittente esterno e usare una chiave privata per decrittografare i messaggi che ricevono. Un’altra soluzione semplice consiste nell’usare un servizio di crittografia dell’email di terze parti.
  1. Verifica che le password siano sicure. Tutti i dipendenti dovrebbero avere una password personale per il computer di lavoro e il sistema email. Queste password dovrebbero essere reimpostate ogni tre mesi. Valuta anche se richiedere l'autenticazione a più fattori quando i dipendenti cambiano le password. Le password più complesse sono costituite da almeno 12 caratteri e da una combinazione di numeri, simboli, minuscole e maiuscole. Non devono essere ovvie, ad esempio compleanni, nomi dei figli, eccetera, ma devono essere facili da ricordare. In altri termini, i dipendenti dovrebbero evitare accuratamente le due password del 2014 più comuni (e peggiori), ossia "password" e "123456". Inoltre, non dovrebbero usare la stessa password per più account o siti Web. Valuta se consentire l'uso di un gestore delle password o una funzione Single Sign-On. Le soluzioni efficaci per le piccole imprese che cercano strumenti per archiviare codici, conti correnti bancari, account di email, PIN e altre informazioni sull'account in un unico posto includono CommonKey, LastPass e Password Genie. Come si fa a sapere se una password è stata compromessa? Iscriviti a servizi watchdog come PwnedList o Breach Alarm, che monitorano le password violate e segnalano automaticamente se uno dei tuoi indirizzi email è vulnerabile.
  2. Sviluppa un criterio appropriato per la conservazione dell'email. Chiedi ai dipendenti di eliminare le email che non supportano le iniziative aziendali e implementa un criterio per assicurare la conformità. Molte aziende istituiscono uno standard di 60-90 giorni, con i passaggi per l'archiviazione automatica e la rimozione permanente dopo un periodo di tempo definito. Per alcuni dipendenti, può essere difficile ricordarsi di eliminare le email non conformi agli standard, quindi è necessario inviare frequenti promemoria.
  3. Offri ai dipendenti un training sulla sicurezza email. I dipendenti svolgono un ruolo cruciale per mantenere la sicurezza dei dati tramite l'email. Dovrebbero seguire un training sui tipi di comportamento da cui astenersi e sui tipi di email da evitare. Purtroppo, secondo InfoSight, circa la metà di tutte le aziende dedica meno dell'1% del budget della sicurezza a programmi di training per responsabilizzare i dipendenti in tema di minacce per la sicurezza. Eppure, il 64% delle organizzazioni ha subito un certo livello di perdite finanziarie causate da violazioni dei computer e l'85% ha rilevato virus. Non varrebbe la pena assumersi il costo contenuto del training per prevenire i costi potenzialmente elevati di un attacco?

    In particolare, i dipendenti dovrebbero essere informati su come rispettare le seguenti regole:

    • Non aprire mai collegamenti o allegati provenienti da sconosciuti.
    • Non rispondere alle email che chiedono di cambiare una password o di divulgare informazioni personali, a prescindere da quanto sembri ufficiale la fonte.
    • Verificare che il software antivirus e anti-spia sia sempre aggiornato nel computer.
    • Crittografare tutte le email contenenti dati sensibili prima di inviarle.
    • Non usare l'indirizzo email aziendale per inviare e ricevere messaggi personali.
    • Non inoltrare automaticamente le email aziendali a un sistema di posta di terze parti.

    Inoltre, alcune aziende hanno avuto successo con l'istituzione di programmi che mettono alla prova i dipendenti con campagne di phishing, email di spear phishing e altre minacce per la sicurezza informatica e quindi premiano quelli che superano questi test.

  4. Mantieni standard rigorosi per l'utilizzo dei dispositivi mobili per motivi aziendali. Sia che usino dispositivi mobili distribuiti dall'azienda oppure quelli personali per inviare e ricevere email aziendali, i dipendenti dovrebbero crittografare i dati, proteggere i dispositivi con una password e installare le app di sicurezza approvate in modo da evitare l'accesso degli hacker tramite reti Wi-Fi condivise. Scegli soluzioni con funzionalità integrate di Mobile Device Management, che offrono opzioni per mantenere al sicuro i dati tramite accesso condizionale, gestione dei dispositivi e cancellazione selettiva dei dati aziendali.
  5. Evita gli errori più comuni per rendere le tue email sicure. Oltre a tutto quello che abbiamo già discusso, l'email può risultare non sicura anche in altri modi. Assicurati di valutare quanto segue:
    • La crittografia dell'email deve essere usata in tutti i computer, non solo in alcuni. Non ha senso crittografare l'email se lo stesso standard non viene applicato ovunque.
    • I computer sbloccati non devono mai essere lasciati non presidiati. Definisci un criterio aziendale per imporre ai dipendenti di bloccare i loro computer (che dovrebbero essere protetti da password all'accesso) prima di lasciare le scrivanie. Creando criteri mirati che riguardano l'email della tua piccola impresa, potrai prevenire numerosi problemi prima ancora che si verifichino. Coinvolgi i dipendenti e gratificali se contribuiscono a sviluppare un ambiente di sicurezza per le informazioni. Insieme è possibile mantenere dipendenti, clienti e dati aziendali al sicuro, un'email alla volta.

Informazioni sull'autore

The Microsoft 365 team is focused on sharing resources to help you start, run, and grow your business.

Inizia a usare Microsoft 365

È l'Office che già conosci, con in più gli strumenti che ti permettono di collaborare e migliorare la produttività, ovunque e in qualsiasi momento.

Acquista ora
Contenuti correlati
Business Tech

Cosa succede se le aziende non proteggono la loro proprietà intellettuale

Scopri di più
Business Tech

Invasione della privacy: evitarla con un’adeguata privacy policy

Scopri di più
Business Tech

Sicurezza dispositivi mobili: come proteggere i dati

Scopri di più

Il Growth Center non fornisce consulenza fiscale o finanziaria. Devi contattare il tuo consulente per discutere della tua situazione.