Samuel Wyss è responsabile dell’infrastruttura e della sicurezza IT di Stadler Form, PMI di Zugo. In questa intervista spiega in che modo sensibilizza i collaboratori della sua azienda alla sicurezza informatica. E come fa a rimanere sempre aggiornato in materia.
Stadler Form è una tipica PMI svizzera. L’azienda di Zugo sviluppa, produce e vende umidificatori di design e altri apparecchi che migliorano le condizioni climatiche all’interno degli ambienti. Ma non è tutto, di tipico l’azienda ha anche la struttura. Samuel Wyss è ufficialmente responsabile della trasformazione digitale, eppure, come accade spesso nelle PMI, ha molti altri incarichi. Ad esempio, è responsabile dell’infrastruttura informatica aziendale insieme a un fornitore di servizi informatici. Come racconta lui stesso: «A un certo punto mi sono ritrovato in questo ruolo».
Stadler Form, vincitrice del concorso Swisscom «Win a Hacker», ha ricevuto in premio una valutazione dettagliata e completa della sicurezza aziendale. Gli esperti di sicurezza IT hanno analizzato l’infrastruttura dell’azienda andando a caccia di eventuali lacune in termini di sicurezza. Il risultato? La conferma di ciò che gli esperti di sicurezza non si stancano mai di ripetere: molte lacune non sono di natura tecnica, bensì sono dovute alla pigrizia o alla carenza di informazioni per i collaboratori. L’esempio per eccellenza: gli utenti che lavorano al computer con diritti di amministratore e, come se non bastasse, usano anche una password facile da indovinare. Spianando la strada agli hacker. Abbiamo chiesto a Samuel Wyss in che modo sensibilizza i collaboratori della sua azienda alla problematica della sicurezza IT.
Samuel Wyss, qual è il suo timore più grande in qualità di responsabile dell’infrastruttura IT?
Non c’è dubbio: ho paura che un collaboratore riceva una mail di phishing e che faccia clic sul link o apra l’allegato. E che di conseguenza qualcuno installi software infetti: a questo punto l’utente malintenzionato ha la strada spianata. Il mio timore più grande è che in questo modo i ransomware penetrino nella nostra azienda e riescano a crittografare i nostri dati.
In che modo sensibilizza i collaboratori affinché non cadano vittima di un attacco di phishing?
Tengo corsi regolari sull’argomento. E due volte alla settimana abbiamo una riunione in cui parliamo, tra l’altro, di argomenti legati alla sicurezza; in questa occasione racconto anche ai collaboratori le ultime novità in materia. Quello che conta è trovare le parole giuste. Per questo motivo faccio spesso dei confronti con il mondo analogico, ad esempio: «Quando esci di casa, chiudi la porta, vero?» Oppure parlo insieme ai collaboratori di situazioni simili a quella in cui una persona scrive una password su un post-it e lo attacca al monitor. Ciononostante non tutti i collaboratori hanno la stessa sensibilità o prendono subito la situazione sul serio.
Come gestisce percezioni e atteggiamenti così diversi?
Innanzitutto offro un supporto personalizzato ai collaboratori che si sentono insicuri. Ad esempio, impostiamo insieme una nuova password. Va da sé che non la voglio conoscere, quella è responsabilità del collaboratore.
E poi, se si presenta un problema di sicurezza, i collaboratori hanno la garanzia di poterlo segnalare senza subire alcuna conseguenza. Così, se succede qualcosa, aumenta la possibilità che io venga a saperlo in tempo.
Abbiamo condotto un test e alcuni collaboratori hanno fatto clic sul link della mail di phishing.
Samuel Wyss, Stadler Form
Le minacce e la panoramica della sicurezza sono in continua evoluzione. Come fa a tenersi aggiornato in materia di sicurezza IT?
Partecipo a varie conferenze in cui scambio le mie esperienze con altri utenti e naturalmente uso diverse fonti di informazioni digitali quali podcast, whitepaper o newsletter. Ho scoperto che anche Twitter è uno strumento estremamente utile in fatto di notizie sulla sicurezza. In generale seguo gli specialisti più autorevoli. La raccolta di informazioni è scritta nero su bianco nel mio contratto di lavoro, per cui fa parte ufficialmente dei miei compiti: si tratta di un grande vantaggio.
Che cosa fa quando non riesce a venire a capo di un problema?
Per fortuna posso rivolgermi agli specialisti del nostro fornitore di servizi informatici. Siamo abituati a lavorare fianco a fianco. E, va da sé, anche la valutazione della sicurezza mi è stata di grande aiuto. Gli esperti hanno messo a nostra disposizione un know-how fenomenale. È un’esperienza che ripeterei subito. Certo, un audit di questo genere è assai costoso. Ma se un hacker mette in ginocchio l’azienda, si finisce per spendere molto di più.
Ritorniamo alla domanda iniziale: secondo lei, quanto è reale il rischio che qualcuno apra davvero una mail di phishing?
Abbiamo fatto un test con una finta mail di phishing. Alcuni collaboratori hanno fatto clic sul link. E a quel punto si sono anche accorti che qualcosa non quadrava. La sensibilizzazione dei collaboratori non finisce mai.
Samuel Wyss
Samuel Wyss, diplomato in economia aziendale, lavora per Stadler Form dal 2008. Oggi è responsabile della trasformazione digitale dell’azienda. Ciò significa che si occupa di digitalizzare i processi, mettendo al bando i documenti su carta e le interruzioni nel flusso delle informazioni. Samuel Wyss si occupa di informatica dagli anni Ottanta, ha iniziato con un Commodore 64.
Cinque consigli molto efficaci per la sicurezza IT
Questi consigli permettono agli utenti di utilizzare l’infrastruttura informatica in tutta sicurezza e aumentano la sicurezza IT dell’azienda.
1. Utilizzare password sicure
Le password rappresentano il problema numero uno in fatto di sicurezza. Per pigrizia molte persone utilizzano una password standard, facile da memorizzare, per tutti i propri account. Si tratta di un’abitudine comprensibile, ma altrettanto pericolosa in quanto facilita l’accesso a più account da parte degli utenti malintenzionati. Create regole chiare per le password:
- Le password degli utenti devono contenere almeno 12 caratteri, le password degli amministratori che gestiscono il sistema almeno 16 caratteri.
- Le password devono essere composte almeno da lettere maiuscole, lettere minuscole e numeri.
- Ogni account – per accedere al computer, al cloud storage, a ERP, CRM ecc. – richiede la propria password.
Utilizzate un password manager. Questo strumento consente ai collaboratori di salvare tutte le password, non solo quelle degli account basati sul web. Inoltre, permette di generare password casuali e sicure. Così i collaboratori devono memorizzare solo due password: quella per l’accesso al computer e quella per il password manager.
2. Sensibilizzare i collaboratori alla sicurezza IT e offrire loro corsi di formazione
Se vengono imposte dall’alto, le regole per le password sono destinate a venire ignorate. Spiegate ai collaboratori che si tratta di una misura necessaria ai fini della sicurezza IT e che è indispensabile per proteggere l’intera azienda. Sensibilizzate e supportate i collaboratori, soprattutto quelli che hanno maggiori difficoltà. È un lavoro dispendioso in termini di tempo, ma necessario.
Nessuna chance agli cybercriminali
Il breve e-learning fornisce tre consigli di comportamento basilari per i collaboratori, ad esempio per proteggersi dagli attacchi di phishing e creare password sicure. E di conseguenza contribuire a migliorare la sicurezza dell’intera azienda.
3. Sensibilizzare i collaboratori ai pericoli delle mail di phishing
Purtroppo le mail di phishing, che cercano di ottenere dati di accesso o installare malware, sono ormai un fenomeno quotidiano. Sensibilizzate i collaboratori ad adottare un atteggiamento critico: meglio chiedere troppo che troppo poco. Insegnate al personale dell’azienda a riconoscere le mail di phishing.
4. Non assegnare diritti di amministratore locale
Per le operazioni quotidiane i collaboratori devono lavorare con un account utente standard e non avere diritti di amministratore. In questo modo garantite una protezione aggiuntiva nel caso in cui un virus attacchi un computer: infatti, un malware deve ottenere i diritti di amministratore per poter annidarsi nel sistema.
5. Diritti di accesso minimi ai dati archiviati nella rete locale e nei cloud
Impostate i diritti di accesso ai file negli archivi comuni in modo che i collaboratori possano accedere solo ai dati di cui hanno bisogno per le operazioni quotidiane. A tal fine utilizzate gruppi e create directory per produzione, vendite, amministrazione, contabilità ecc. Limitate l’accesso dei gruppi alle rispettive cartelle e create dati di backup e archiviazione in un’altra ubicazione. Così si impedisce anche al ransomware di crittografare tutti i dati.
