Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021 Intervento di Michele Colajanni, Università di Bologna

1. Sicurezza informatica:
Non solo tecnologia
Michele Colajanni Università di Bologna

2. Società digitale → Mondo digitale
2

3. Situazione
3
Perdono i disposivi (chiavette USB, smartphone, tablet)
Usano i dispositivi personali e aziendali in modo inappropriato
Usano applicazioni e servizi IT nascosti
Condividono informazioni personali e aziendali sui social
Usano password deboli e ripetute
I dipendenti …
I fornitori garantiscono la massima sicurezza cyber? Chi li controlla?
Gli amministratori di sistema ricevono formazione cyber e budget sufficienti?
Non proteggono adeguatamente i dati cui hanno accesso

4. 4
Digital Economy and Society Index europeo

5. Problema ben noto
Si tendono a delegare le decisioni di cyber
security all’area tecnica (spesso con risorse
insufficienti)
Il settore tecnologico agisce dove può:
• acquisto e gestione di tecnologie e servizi di
sicurezza
• scarsa o nulla possibilità di impatto sulle
regole e sui comportamenti dei dipendenti
I dirigenti hanno già tanti problemi da affrontare
5

6. Obiettivi a 5 anni, per essere nel 2026 tra i paesi migliori:
1. Avere almeno il 70% della popolazione che usi regolarmente l’identità
digitale - più del doppio rispetto a oggi
2. Almeno il 70% della popolazione sia digitalmente abile
3. Portare circa il 75% delle PA italiane a utilizzare servizi cloud
4. Raggiungere almeno l’80% dei servizi pubblici erogati online.
5. In collaborazione con gli operatori di mercato e il MISE, vogliamo
raggiungere il 100% delle famiglie e delle imprese italiane con reti a
banda ultra-larga
6
Obiettivi Ministro Colao (Audizione parlamentare, 14/4/2021)

7. Conosciamo i princìpi
La sicurezza dell’azienda passa attraverso i comportamenti
sicuri di tutti i dipendenti e di tutti i fornitori
Il processo della sicurezza cyber deve essere compreso e
condiviso da tutti i middle manager e relativi dipartimenti
L’endorsement da parte dell’alta direzione è fondamentale
7

8. Conosciamo i passi da compiere
Priorità
e
Politiche
Procedure
Tecnologie
Controllo
Chi lo fa?
Competenze interne, Competenze esterne, Collaborazione, Cloud ?
8

9. La (solita) scusa sui limiti delle risorse
Le risorse non sono mai sufficienti, ma non è importante fare tutto subito
L’importante è cominciare …
9
… sapendo che è un processo
di miglioramento continuo

10. Qualche regola di autodifesa cyber

11. Anche se non ti fa piacere, sei in prima linea
11
Difendi i tuoi punti di ingresso
• Verso te stesso, i tuoi account, la tua organizzazione
La maggior parte delle truffe arrivano mediante 3 canali:
Posta elettronica (90%)
Social network
Telefono
Stessi motivi:
• Non sai mai chi ci sia
veramente dall’altra parte
• I truffatori sono persone in
gamba che usano esche
psicologiche

12. Impara a gestire i dispositivi mobili
12
• I dispositivi mobili sono usati per scopi:
• personali
• aziendali
• ricreativi
• I dispositivi mobili sono persi, rubati o
danneggiati con più facilità
• NON INSERIRE informazioni critiche nei
dispositivi mobili

13. Impara a gestire il PC
13
Il computer non è un elettrodomestico!
Ogni computer e smartphone cresce
con noi e con i nostri dati. E’ come una
“piantina” che richiede attenzioni
continue
• Dedica qualche minuto al giorno alla cura
• Se non hai tempo, usa il weekend
• Se non hai proprio tempo, chiedi aiuto a
qualcuno (almeno una volta a settimana)

14. Impara a gestire le password
14
Le password sono le serrature del nostro mondo digitale
Problemi noti:
• Password banali e brevi sono indovinate facilmente e
consentono agli attaccanti l’ingresso nel nostro mondo
• Password difficili e lunghe non si ricordano e si
scrivono e questo rappresenta un altro rischio enorme
• Abbiamo troppe password e quindi siamo costretti a
scriverle in un file e/o sul telefono
➔Differenzia l’importanza dei servizi e la relativa
robustezza delle password
➔Utilizza servizi di password management (es., LastPass,
1password)

15. Smartworking
15
• Usa un computer (aziendale o personale) per lavorare
• Usa un altro computer per tutto il resto
• Sul computer di lavoro:
1) Installa solo le applicazioni necessarie ed elimina le altre
2) Installa un buon antivirus
3) Tieni aggiornati: sistema operativo, antivirus, applicazioni,
4) Collegati ai server dell’organizzazione solo con comunicazioni cifrate
5) Stai molto attento a cosa arriva dalla posta elettronica se contiene link o allegati
6) Non usare le credenziali di amministratore per lavorare
7) Possibilmente, non usare chiavette USB per trasferire file
8) A fine giornata:
• Cancella le memorie temporanee
• Effettua un backup su disco esterno o su cloud (cifrato se ritieni di trattare
informazioni sensibili)