Dalla scarsa attenzione nelle prenotazioni online all’uso di reti non protette, tutti gli errori che si possono commettere durante i viaggi di lavoro

Business travel

A cura di Luca Maiocchi, Regional Sales Manager Italy di Proofpoint

Anche se le vacanze estive sono ormai alle nostre spalle, i viaggi di lavoro iniziano a intensificarsi a mano a mano che le agende si riempiono di appuntamenti e riunioni. È quindi un buon momento per le imprese di ricordare che i dipendenti che viaggiano — soprattutto gli executive — possono rappresentare un ulteriore rischio cyber per l’azienda. Dalla scarsa attenzione quando effettuano prenotazioni online alla mancata applicazione delle best practice legate alla sicurezza, i viaggiatori spesso tralasciano le procedure di security.

E questo approccio può esporre le imprese in modo significativo: basta infatti una sola vittima affinché il cybercriminale possa sferrare il suo attacco all’impresa, e i malviventi spesso mirano ai dipendenti quando sono fuori ufficio. Per questo motivo è importante che le aziende spieghino al personale che le best practice di sicurezza sono “portatili” e che dovrebbero essere applicate su tutti i dispositivi – lavorativi e personali – in orario d’ufficio e di svago. Un programma di cybersecurity awareness dovrebbe evidenziare questi aspetti e cercare di rendere i comportamenti security-conscious automatici per gli utenti piuttosto che occasionali.

Ecco alcune best practice per i dipendenti quando si trovano fuori ufficio.

Prenotare i viaggi sempre tramite fonti fidate

In molte organizzazioni il personale si occupa dei propri spostamenti, chiedendo il rimborso delle spese di viaggio in un secondo momento. I malviventi sanno che gli utenti sono tentati da offerte e sconti su hotel, voli e noleggi auto e si fingeranno operatori turistici creando siti web apparentemente legittimi.

Ecco come proteggersi:

  • Definire insieme ai team HR policy e procedure per le prenotazioni di viaggi, compresa l’identificazione di una lista autorizzata di siti e travel agent, e potenzialmente non consentire il rimborso se le prenotazioni vengono fatte tramite canali non autorizzati.
  • Istruire il personale a non accogliere proposte scontate ricevute spontaneamente via email. Invece di cliccare su link o telefonare ai numeri indicati in questi messaggi, gli utenti dovrebbero visitare i siti fidati o chiamare numeri verificati per accertarsi che l’offerta sia legittima.
  • Far presente ai dipendenti che le carte di credito rappresentano la miglior opzione di pagamento online perché offrono uno strato di protezione e isolamento che bonifici e carte di debito non hanno. I viaggiatori dovrebbero utilizzare sempre la carta di credito quando prenotano, anche se viene loro promesso uno sconto se si avvalgono di un metodo di pagamento alternativo.

Partiamo dalle basi

Molti viaggiatori hanno un approccio ‘light’ quando si tratta di mettere in valigia abbigliamento e articoli personali. Lo stesso dovrebbe valere per device mobili e dati personali. Suggerite, ove possibile, di lasciare a casa i dispositivi pieni di dati e di limitare il numero di carte di credito e di oggetti di identificazione personali. Se in azienda spesso si trovano a viaggiare manager di alto livello, che hanno accesso a dati particolarmente sensibili, potrebbe valere la pena esplorare la possibilità di offrire telefoni e laptop ‘usa e getta’ che possono ridurre l’esposizione quando si è in viaggio.

L’importanza del ‘fisico’

Sottolineate l’importanza della sicurezza fisica a tutti i dipendenti, non solo a quelli che viaggiano. I dispositivi aziendali devono essere tenuti al sicuro sempre, e questo comprende anche gli oggetti lasciati nella stanza d’albergo ad esempio. Un device rubato può portare alla diffusione di dati sensibili, con conseguenze onerose – sia in termini monetari che di reputazione.

Condividere

È importante che il personale sia attento ai dettagli che rende pubblici relativi ai propri spostamenti. Comunicare la propria assenza sui social equivale ad annunciare alla radio che la loro casa sarà vuota per una settimana. Anche il riconoscimento delle location dovrebbe essere disattivato e i ‘check-in’ mantenuti al minimo. I viaggiatori che dichiarano dove sono, dichiarano anche dove NON sono e queste sono informazioni preziose per i cybercriminali interessati a scoprire abitudini e comportamenti. Anche le connessioni Bluetooth devono essere evitate perché possono lasciare tracce.

Attenti alle WiFi aperte

Lo abbiamo fatto tutti: connettersi a una rete WiFi in un hotel o bar prima di un meeting per scaricare una presentazione o file Excel. Assicuratevi che il personale conosca i potenziali rischi correlati alle reti WiFi aperte. Ecco alcuni suggerimenti:

  • Evitare di effettuare il log in ad account protetti da password o completare transazioni finanziarie.
  • Assicurarsi che la rete WiFi sia legittima prima di collegarsi. Gli scammer possono configurare reti ‘evil twin’ con nomi che sembrano affidabili – ‘Airport WiFi’ per esempio.
  • Disabilitare connessioni automatiche alle reti WiFi perché rendono i dispositivi più vulnerabili ad eventuali attacchi.
  • Usare una virtual private network (VPN) se connessi a un WiFi aperto per aggiungere uno strato di cifratura e sicurezza.
  • Se in dubbio, optare per dati mobile su uno smartphone o usare lo smartphone come hotspot per il laptop o altro device.

Conosci i tuoi VAP (very attacked people)

I dipendenti più senior sono quelli che hanno accesso ai dati e ai contatti più sensibili e business-critical dell’azienda, il che li rende VAP (very attacked people), o target primari da parte dei cybercriminali.

La natura umana è quella di fidarsi e i malviventi lo sanno fin troppo bene: faranno sì che i dipendenti aprano un allegato malevolo o clicchino su un web link dubbio. Impersoneranno il CEO chiedendo al finance department di fare un bonifico. E inducono il personale a condividere credenziali di login. E non c’è nulla di meglio che ‘beccarli’ quando sono in viaggio…