In passato, lo scambio di mail in azienda era considerato in via definitiva non autenticato e inaffidabile. Nessuno avrebbe sperato di poter contare su un elenco di best practice e consigli per migliorarlo. Oggi la situazione è cambiata e, in futuro, può ancora evolvere in meglio. Ci sono alcuni accorgimenti per la sicurezza delle mail per i dipendenti risalenti al 1989 che sono ancora validi. Lo scegliere password forti, il bloccare gli spammer, il diffidare da offerte “troppo belle per essere vere” e il verificare le richieste, anche se provengono da entità fidate, sono tutti atti doverosi da compiere ogni giorno. Data però l’importanza che la posta elettronica ha assunto per il successo aziendale, anche in virtù di un sensibile aumento dello smart working, le organizzazioni hanno il dovere di implementare best practice per la sicurezza della posta elettronica più rigorose. Eccone 15 essenziali per iniziare il 2024 con il piede giusto:
- Formare i dipendenti sulla sicurezza della posta elettronica.
- Creare password forti.
- Non riutilizzare le password tra gli account.
- Cambiare le password regolarmente.
- Utilizzare l’autenticazione a più fattori (MFA).
- Salvaguardarsi dal phishing.
- Diffidare degli allegati alle mail.
- Non cliccare sui link inseriti nelle mail.
- Non utilizzare le mail aziendali per uso personale e viceversa.
- Aprire la posta elettronica aziendale solo su dispositivi approvati.
- Crittografare mail, comunicazioni e allegati.
- Evitare il Wi-Fi pubblico
- Utilizzare i protocolli di sicurezza.
- Sfruttare tutti gli strumenti di sicurezza per le mail.
- Effettuare il logout.
1. Formare i dipendenti sulle best practice di sicurezza per le mail
Programmare corsi di formazione sulla sicurezza in modo regolare è un ottimo modo per informare i dipendenti sulle best practice. Sono l’occasione anche per mantenerli aggiornati sulle policy di sicurezza aziendali, sul loro contributo nel mantenere la sicurezza dell’organizzazione e sulle minacce che potrebbero incontrare.
In questi momenti è importante parlare a fondo della posta elettronica e illustrare la policy aziendale sulla sicurezza, i pericoli più comuni e le best practice raccomandate
2. Creare password forti
Una delle più importanti best practice è l’utilizzo di password forti, tenendo però presente che, negli ultimi anni, i criteri per valutarle sono cambiati. In passato si pensava che complesso equivalesse a forte e si costringevano i dipendenti a utilizzare sequenze come “}m}{4p#P@R9w”. Il problema era che le scrivevano per non scordarle, le segnavano su un foglietto adesivo o le salvavano in un file insicuro sul desktop, vanificando l’effetto di ogni precauzione presa nella fase di creazione.
Oggi il NIST sostiene che la lunghezza delle password, e non la complessità, è il loro punto di forza. Le passphrase, ovvero la combinazione di alcune parole, come “kittEnsarEadorablE”, sono un metodo per creare password più lunghe, facili da ricordare ma difficili da indovinare, che aiutano a difendersi dagli aggressori.
Se si inseriscono questi due esempi nello strumento “How Secure Is My Password?” di Security.org, si scopre che “}m}{4p#P@R9w” richiederebbe 400.000 anni per essere decifrata da un computer, mentre “kittEnsarEadorablE” richiederebbe 6.000 miliardi di anni. Le passphrase più forti includono una stringa di parole non correlate tra loro. Secondo Security.org, infatti, la passphrase “kittEnsmErryvisitortrEE” richiederebbe 2 sestilioni di anni per essere indovinata da un computer. Diventa oggi necessario creare una policy aziendale sulle password, per comunicare i requisiti e le aspettative in materia.
3. Non riutilizzare le password tra i vari account
Il “riciclo” delle password è una delle principali minacce alla sicurezza delle mail. Se un aggressore compromette un account che utilizza le stesse credenziali di altri, può facilmente accedere anche a questi ultimi. Gli aggressori sanno che provare una password associata all’account di una persona su un sistema violato spesso ne sblocca altri. Il riutilizzo delle password è particolarmente pericoloso quando i dipendenti utilizzano le stesse password anche per gli account aziendali e personali. È quindi opportuno invitarli a seguire le migliori pratiche di igiene delle password, per esempio utilizzandone di forti e uniche per ogni account. Questo è un punto dolente per molti, soprattutto per quelli che hanno decine o centinaia di accessi da ricordare. L’utilizzo di single sign-on o di un password manager può contribuire ad alleviare la sfida.
4. Cambiare regolarmente le password
Negli ultimi anni si è discusso molto sulla frequenza di modifica delle password. Un tempo la norma indicava un intervallo di tempo di 90 giorni. Si pensava che i cambi frequenti di password aiutassero a mantenere i sistemi sicuri, ma spesso portavano alla frustrazione degli utenti e all’uso di password meno sicure. Il più delle volte, la Password1 si trasforma in Password2 dopo 90 giorni.
Per questo, il NIST raccomanda di non forzare le modifiche periodiche delle password tranne che in caso di sospetta compromissione o violazione dei dati. Oppure se ci si imbatte in normative di compliance, come la PCI DSS, che richiede modifiche frequenti delle password. Serve quindi soppesare i vantaggi di un cambio regolare delle password con la tendenza degli utenti a utilizzarne di sempre più deboli, più facili da ricordare e quindi più facili da sfruttare per gli aggressori.
5. Utilizzare l’autenticazione a più fattori
L’autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza alle mail e può prevenire gli attacchi di compromissione degli account.
Questa procedura prevede l’utilizzo di più di un metodo per autenticare l’identità di un utente. Per esempio, un nome utente e una password, in combinazione con una one-time password o un‘impronta digitale biometrica. L’aggiunta di un secondo, o terzo, o più fattori al processo di autenticazione aggiunge un ulteriore livello di protezione e difende dalle minacce comuni alle mail, come gli attacchi brute forcing e il cracking delle password. Secondo Microsoft, l’uso di MFA può bloccare il 99,9% degli attacchi di compromissione degli account. Sarebbe quindi vantaggioso imporne l’uso e anche i dipendenti dovrebbero proteggere i propri account personali utilizzando l’MFA, laddove disponibile.
6. Salvaguardarsi dal phishing
Sebbene i prodotti per la sicurezza della posta elettronica impediscano a molte mail di spam di raggiungere la casella di posta dell’utente, una buona quantità riesce comunque a passare e può contenere schemi di phishing sempre più sofisticati. Si passa da mail di phishing standard ad attacchi di spear phishing o whaling.
Gli utenti devono stare attenti alle truffe di phishing e prestare attenzione all’apertura di qualsiasi mail potenzialmente dannosa. Non rispondere, non cliccare mai sui link e non aprire gli allegati di mail sospette.
Un numero sempre maggiore di organizzazioni include la formazione sul phishing nei propri programmi di formazione sulla sicurezza, per aiutare i dipendenti a identificare i messaggi critici e insegnare loro come evitare di cliccare sui link o aprire gli allegati sbagliati.
7. Diffidare degli allegati alle mail
Molti attacchi via mail si basano sulla possibilità di inviare e ricevere allegati contenenti codice eseguibile dannoso. I gateway di sicurezza mail e i software anti-malware sono in grado di rilevare le fonti pericolose e di bloccare la maggior parte degli allegati sospetti. Questi allegati, tuttavia, possono anche provenire da fonti affidabili che sono state sfruttate dagli aggressori.
A prescindere dalla fonte, i dipendenti devono quindi essere prudenti, anche quando l’organizzazione utilizza software di scansione della posta elettronica e di blocco del malware. In particolare, va tenuta alta l’attenzione se un allegato presenta un’estensione associata a un programma eseguibile, come EXE (file eseguibile), JAR (file di applicazione Java) o MSI (Windows Installer). Anche i file come i documenti Word, i fogli di calcolo e i PDF possono però contenere codice dannoso, quindi bisogna fare attenzione a qualsiasi tipo di file allegato ed eseguire una scansione dei file con un programma anti-malware, oppure evitare del tutto di aprirli.
8. Non cliccare sui link delle mail
I collegamenti ipertestuali nelle mail possono spesso collegarsi a un dominio Web diverso da quello che sembrano rappresentare. Alcuni link possono visualizzare un nome di dominio riconoscibile, come www.amazon.com, ma in realtà indirizzano l’utente a un dominio diverso e dannoso. Gli aggressori utilizzano anche set di caratteri internazionali o errori ortografici per creare domini malevoli che sembrano essere quelli di marchi noti.
Meglio quindi verificare sempre il contenuto dei link passandovi sopra il puntatore del mouse, per vedere se il link reale è diverso da quello visualizzato. Anche questo può essere falsificato, ma la maggior parte dei programmi di posta elettronica moderni dovrebbe riconoscerli. In caso di dubbio, si possono digitare i domini direttamente nel browser per evitare di cliccare sui link nelle mail.
9. Non utilizzare le mail aziendali per uso personale e viceversa
Sebbene possa essere allettante e comodo utilizzare un account di posta elettronica aziendale per questioni personali, una best practice per la sicurezza della posta elettronica aziendale è vietare questo doppio impiego. Allo stesso modo, meglio non inviare mail relative al lavoro da account personali. Mescolare affari e questioni personali può portare a minacce come lo spear phishing.
10. Utilizzare la posta elettronica aziendale solo su dispositivi approvati
Oggi le persone possono accedere alle mail praticamente da qualsiasi luogo e su qualsiasi dispositivo connesso a Internet. Sebbene sia comodo per i dipendenti, questo potrebbe diventare un disastro per la sicurezza di un’organizzazione. Se la mail aziendale viene aperta su dispositivi che non dispongono di controlli di sicurezza adeguati, gli aggressori possono infiltrarsi nelle credenziali, nelle mail e nei dati degli utenti. Si può chiedere ai dipendenti di accedere alla posta elettronica solo su dispositivi approvati e fidati dall’azienda.
11. Crittografare le mail, le comunicazioni e gli allegati
È stato detto che la mail è come una cartolina: ogni persona e sistema con cui entra in contatto può vedere ciò che viene scritto. Ecco perché la crittografia delle mail è così importante. La crittografia, il processo di conversione del testo in chiaro in testo cifrato, garantisce che chiunque intercetti la mail non possa leggerne il contenuto. Questo aiuta a prevenire molti problemi di sicurezza delle mail, come gli attacchi man-in-the-middle e gli attacchi di compromissione delle mail aziendali. La maggior parte dei principali servizi di posta elettronica dispone di funzionalità di crittografia. Tuttavia, la crittografia del messaggio non è sufficiente da sola, va applicata anche alle comunicazioni tra l’organizzazione e il provider di posta elettronica e agli allegati, anche se la mail a cui sono allegati è già crittografata.
12. Evitare il Wi-Fi pubblico
I dipendenti potrebbero vedere il Wi-Fi pubblico come una benedizione, ma queste connessioni sono molto a rischio di attacchi. Se i dipendenti accedono alla posta elettronica aziendale su una rete Wi-Fi pubblica, chiunque potrebbe accedere alla loro posta elettronica. I malintenzionati possono utilizzare sniffer di pacchetti open source, come Wireshark, per monitorare e ottenere l’accesso alle informazioni personali via mail. Anche se gli utenti non controllano attivamente la posta elettronica sul Wi-Fi pubblico, quasi tutti i sistemi sono impostati per aggiornare automaticamente le caselle di posta quando un dispositivo si connette a una rete. Se gli utenti sono in Wi-Fi, lo sono anche le loro mail, mettendo a rischio le credenziali degli account.
13. Utilizzare i protocolli di sicurezza per le mail
I seguenti tre standard di sicurezza delle mail sono fondamentali per filtrare i messaggi di spam:
- DomainKeys Identified Mail. Lo standard DKIM utilizza la crittografia asimmetrica per prevenire lo spoofing delle mail. Una firma digitale aggiunta a un’mail verifica che il messaggio non sia stato alterato dopo l’invio. Se la firma non corrisponde alla chiave pubblica del dominio mail, il messaggio viene bloccato. Se invece corrisponde, il messaggio viene consegnato.
- Sender Policy Framework. SPF verifica che una mail provenga dalla sua fonte e che sia autorizzata a inviare un messaggio da quel dominio. Se è verificata, la mail viene consegnata. In caso contrario, viene bloccata.
- Autenticazione, segnalazione e conformità dei messaggi basati sul dominio. Il protocollo DMARC estende DKIM e SPF. Utilizzando il DMARC, i proprietari dei domini possono pubblicare i propri requisiti DKIM e SPF e specificare cosa succede quando un’mail non soddisfa tali requisiti, come ad esempio la segnalazione al dominio mittente.
Si noti che questi controlli tecnici prevengono le mail di spoofing, ma non bloccano tutti i messaggi indesiderati.
14. Utilizzare strumenti di sicurezza per le mail
Oltre all’implementazione dei protocolli appropriati, le strategie di sicurezza per le mail dovrebbero includere molti altri diversi strumenti. Occorre prendere in considerazione, per esempio, anti-malware, anti-spam, antivirus, filtri mail, gateway di sicurezza mail, sistemi di monitoraggio mail, firewall e protezione degli endpoint.
15. Disconnettersi
Si dovrebbe chiedere ai dipendenti di disconnettersi dalla posta elettronica quando non la usano e quando hanno finito la giornata. Lasciare le mail aperte su dispositivi accessibili ad altri può causare problemi di sicurezza.