10 buone prassi per la sicurezza della posta elettronica aziendale

Cos'è la sicurezza delle e-mail per le aziende?

La sicurezza delle e-mail per le aziende è un termine dall'accezione piuttosto ampia, ma può essere definita come l'insieme di tutte le misure adottate da un'impresa per proteggere dalle minacce informatiche i propri sistemi di posta elettronica, reti e dati. Poiché le tecniche usate dagli hacker diventano giorno dopo giorno sempre più sofisticate, le aziende devono rimanere al passo con l'evoluzione della sicurezza informatica e modificare di conseguenza i propri strumenti e strategie di sicurezza.

La sicurezza delle e-mail nelle grandi imprese coinvolge una proporzione molto più ampia di e-mail di utenti, infrastrutture e dati rispetto alla sicurezza delle e-mail nelle piccole imprese. Sebbene le dimensioni specifiche di un'azienda richiedano soluzioni complesse, robuste e scalabili, i comportamenti legati alla sicurezza online sono universali e proteggono i dipendenti a prescindere dal luogo in cui lavorano.

Cos'è un attacco Business Email Compromise (BEC)?

Una compromissione della posta elettronica aziendale, conosciuta anche con l'acronimo BEC (Business Email Compromise), è un tipo di crimine informatico nel quale un malintenzionato finge di essere un contatto attendibile dell'azienda, come un amministratore delegato o un fornitore, al fine di indurre con l'inganno i dipendenti a trasferire denaro o rivelare informazioni sensibili. Queste truffe spesso derivano da accurate ricerche e sfruttano l'ingegneria sociale al fine di creare una messinscena convincente.

Secondo l'FBI, dal 2016 a oggi le frodi BEC sono costate alle aziende oltre 26 miliardi di dollari a livello globale, e la minaccia continua a crescere. Le piccole imprese sono particolarmente a rischio, dal momento che non sempre dispongono delle risorse o delle competenze necessarie per rilevare e prevenire questi attacchi.

Un esempio di truffa BEC è quello che ha coinvolto Ruben Rivera, direttore della Puerto Rico Industrial Development Company, il quale è stato indotto con l'inganno a effettuare una transazione di ben 2,6 milioni di dollari su un conto corrente fasullo. In un altro caso la Ubiquiti Networks Inc., una società californiana di San Jose che produce tecnologie di rete ad alte prestazioni, è stata vittima di un attacco BEC che ha comportato perdite per 46,7 milioni di dollari.

Poiché l'uso della posta elettronica rimane un aspetto imprescindibile delle comunicazioni aziendali, le imprese devono mantenere alta la guardia e adottare misure proattive per difendersi dalla minaccia degli attacchi BEC. Questo discorso vale per tutti i tipi di aziende: la sicurezza delle e-mail è fondamentale sia per le piccole che per le grandi imprese.

Perché la sicurezza delle e-mail è importante?

Le e-mail sono un aspetto essenziale delle nostre vite digitali, dal momento che sono paragonabili a carte di identità virtuali che ci permettono di autenticarci online e di registrarci a diversi servizi. Essendo uno dei metodi di comunicazione più usati su internet, le nostre e-mail contengono informazioni riservate su di noi. Se un malintenzionato riuscisse ad accedere all'e-mail di un utente, potrebbe acquisire il controllo di altri suoi account online, rubarne i dati riservati e metterne in grave pericolo sia le finanze che la reputazione. Non deve quindi stupire il fatto che le e-mail siano così spesso nel mirino dei criminali informatici: secondo il Data Breach Investigations Report di Verizon, il 94% dei malware viene veicolato proprio tramite la posta elettronica. Alla luce dei rischi e della frequenza degli attacchi malware basati su e-mail, garantire la sicurezza delle caselle di posta elettronica è fondamentale, soprattutto nei contesti aziendali.

Il phishing è la minaccia numero uno per la sicurezza delle e-mail

Il phishing è un tipo di truffa digitale particolarmente comune nelle e-mail. Si tratta di una forma di ingegneria sociale in cui un hacker cerca di ingannare un dipendente, facendogli credere che un'e-mail provenga da una fonte attendibile. Queste e-mail contengono di solito una CTA, o invito all'azione: potremmo paragonarle a una forma di marketing. La differenza consiste però nel fatto che le CTA usate nel phishing invitano, in genere, a cliccare su un collegamento dannoso o a rivelare dati aziendali sensibili a estranei.

Al pari degli esperti di marketing legittimi, gli hacker impiegano tecniche creative per migliorare i tassi di conversione delle loro truffe: più ingannevole è l'e-mail, maggiore sarà il tasso di conversione. Ecco perché, talvolta, può essere difficile riconoscere le e-mail di phishing. Ciò non fa altro che sottolineare l'importanza della sicurezza delle e-mail per le aziende. Ecco alcuni esempi di e-mail di phishing:

• Truffa della verifica dell'account. Potresti ricevere un'e-mail di phishing che recita più o meno così: "A causa di una recente minaccia di sicurezza, ti chiediamo di verificare il tuo account effettuando l'accesso attraverso il seguente link. La mancata verifica comporterà la disattivazione definitiva del tuo account".

• Truffa della falsa fattura. Gli hacker potrebbero inviare e-mail con una richiesta di questo tipo: "Il pagamento per i nostri servizi non è ancora stato saldato. Utilizza il link sottostante per completare la transazione".

• Spear phishing. Si tratta di una forma di phishing più avanzata e personalizzata, che richiede agli hacker di svolgere ricerche preventive sulla tua azienda. Ad esempio, un dipendente potrebbe ricevere un'e-mail che sembra provenire da un suo effettivo collega, il quale lo invita a visitare un sito web o comunicare determinate informazioni.

Le buone prassi per la sicurezza della posta elettronica aziendale

Cadere nella trappola delle truffe di phishing può esporre la tua impresa a violazioni di dati e malware. Adottare le misure necessarie per garantire un'adeguata sicurezza delle e-mail ti aiuterà a proteggere l'azienda da phishing e altre tipologie di crimini informatici:

1. Forma il personale sul phishing

Di solito le violazioni delle e-mail sono imputabili alla negligenza e alla mancanza di conoscenze da parte dei dipendenti. Di conseguenza, il primo passo per migliorare la sicurezza informatica delle e-mail consiste nell'aumentare la consapevolezza nei confronti della minaccia principale: il phishing. Tutti i dipendenti dovrebbero ricevere una formazione approfondita su come proteggersi dalle minacce tramite e-mail, imparando a riconoscere ed evitare i tentativi di phishing. Ecco gli aspetti più importanti:

• Impara a conoscere i principali tipi di attacchi di phishing

• Diffida di richieste insolite

• Non cliccare mai su link di dubbia natura ricevuti tramite e-mail

Dopo che i dipendenti avranno acquisito dimestichezza con queste misure precauzionali, la vulnerabilità dell'azienda nei confronti delle e-mail di phishing diminuirà in modo significativo e la sicurezza generale della sua posta elettronica migliorerà.

2. Istruisci i dipendenti su come gestire allegati e link sospetti nelle e-mail

Gli allegati e i link sospetti nelle e-mail sono i metodi più comuni utilizzati dai criminali informatici per diffondere software pericolosi. Per fare in modo che la sicurezza della posta elettronica aziendale sia efficace, assicurati che i dipendenti conoscano queste pratiche subdole e siano addestrati a individuarle nella vita di tutti i giorni. Con il tempo e una buona dose di pratica, il personale svilupperà la capacità di riconoscere link e allegati sospetti nelle e-mail, il che dovrebbe ridurre nettamente le minacce e migliorare in modo significativo la sicurezza generale.

3. Attiva l'autenticazione a più fattori

Puoi proteggere ulteriormente il tuo account dai criminali informatici collegando lo smartphone alla tua e-mail. Anche in caso di violazione delle password dei tuoi account di posta elettronica, nessun estraneo potrà entrarvi, poiché non avrà accesso al dispositivo a cui sono connessi tali account. Per tutti gli account aziendali più importanti, e non solo per le caselle di posta elettronica, l'Autenticazione a più fattori dovrebbe essere abilitata.

4. Evita di usare la posta elettronica sulle reti Wi-Fi pubbliche

Un Wi-Fi pubblico può comportare enormi rischi per la sicurezza delle e-mail. Se la connessione non è crittografata (e questo capita di frequente), chiunque può connettersi alla stessa rete: e non puoi mai sapere se, tra queste persone, si nasconde un hacker.

Se un hacker dovesse intercettare la tua connessione su una rete Wi-Fi pubblica non crittografata, e ti sorprendesse ad accedere alla tua e-mail, potrebbe rubarne la password. La cosa migliore sarebbe evitare del tutto i Wi-Fi pubblici, ma se proprio non potessi farne a meno, non trasmettere mai dati importanti mentre li usi.

5. Non usare le e-mail aziendali per scopi personali e viceversa

Al giorno d'oggi, la maggior parte dei lavori d'ufficio prevede l'assegnazione di un indirizzo e-mail dedicato. Alcune persone potrebbero avere la tentazione di usare questo nuovo indirizzo e-mail per tutti i loro profili. Vuoi iscriverti a un servizio di streaming? Perché non farlo utilizzando la tua nuovissima e-mail aziendale? Tanto lo fanno tutti, no?

Sulle prime, potrebbe sembrare un'ottima idea. Ricorda però che l'utilizzo della posta elettronica aziendale per scopi privati (e viceversa) potrebbe causare notevoli problemi di sicurezza sia a te, a livello personale, che all'azienda.

In primo luogo, l'uso di un'e-mail aziendale per le proprie attività personali online consente una profilazione più facile e semplice: di conseguenza, ciò potrebbe spianare la strada allo spear phishing (una campagna di phishing mirata) o ad altri attacchi informatici con target precisi.

6. Crittografa le e-mail aziendali

Crittografare la posta elettronica aziendale, utilizzando uno apposito software di sicurezza, è un ottimo modo per tenere lontani gli hacker. La crittografia garantisce che le uniche persone in grado di visualizzare le e-mail siano il mittente e il destinatario. Anche se un hacker riuscisse a intercettare la connessione Wi-Fi o l'account di posta elettronica di un dipendente, non potrà comunque accedere ad alcun dato sensibile.

7. Configura protocolli di sicurezza della posta elettronica

I protocolli di sicurezza delle e-mail sono estremamente importanti, perché forniscono un ulteriore livello di protezione alle comunicazioni digitali. Questi protocolli sono progettati per garantire la sicurezza delle comunicazioni quando passano attraverso i servizi di webmail su internet. Senza l'aiuto dei protocolli di sicurezza per le e-mail, i malintenzionati possono intercettare le comunicazioni in modo relativamente semplice. Di seguito sono elencati i tre protocolli più diffusi per la sicurezza delle e-mail: impara a conoscerli e abilitali per proteggere le comunicazioni.

• Transport Layer Security (TLS): il TLS, ovvero il successore del protocollo SSL (Secure Sockets Layer), crittografa i messaggi e-mail quando vengono trasmessi da un server di posta all'altro. In questo modo, per gli hacker è molto più difficile spiare e intercettare le comunicazioni.

• Domain Keys Identified Mail (DKIM): il metodo DKIM aggiunge una firma digitale alle e-mail, consentendo ai server di posta riceventi di verificare l'autenticità dei messaggi. Protegge i server aziendali da tentativi di phishing e manomissione delle e-mail.

• Sender Policy Framework (SPF): il protocollo SPF consente ai proprietari di domini di creare un elenco di server di posta autorizzati a inviare e-mail per conto del proprio dominio. Quando un server aziendale riceve il messaggio, può autenticare il mittente confrontando il suo indirizzo e-mail con i record SPF.

8. Migliora la sicurezza degli endpoint

Per rafforzare ulteriormente le tue difese, adotta misure opportune per migliorare la sicurezza degli endpoint. Spesso il modo più semplice ed efficace per farlo consiste nell'implementare appositi strumenti di sicurezza su scala aziendale.

Valuta la possibilità di adottare una VPN come NordLayer, ovvero uno strumento che crittografa la connessione internet e i dati trasferiti sulla rete aziendale. Un software antivirus è un ulteriore strumento che dovrebbe essere utilizzato su tutte le postazioni di lavoro aziendali, al fine di garantire una difesa proattiva.

9. Non cambiare le password troppo spesso

Il cosiddetto affaticamento da password è un dato di fatto: si calcola che, al giorno d'oggi, un utente medio di internet possieda all'incirca 100 password. Ricordarsele tutte è una vera e propria impresa.

Per quanto riguarda la sicurezza delle password, è opinione comune che queste debbano essere cambiate ogni 90 giorni. Anche se potrebbe sembrare una misura di sicurezza ragionevole, può portare all'utilizzo di password più semplici e facili da violare.

Se sai che i tuoi dipendenti prendono sul serio la questione della sicurezza delle password e che ne creano di difficili da indovinare, al punto che nessuna di queste è mai stata violata, allora che continuino pure a utilizzare le stesse. Se una password (indipendentemente dalla sua complessità) trapelasse o venisse violata, la modifica deve essere immediata.

10. Utilizza password complesse per gli account di posta elettronica

Le password complesse rappresentano la colonna portante della sicurezza degli account. Eppure, spesso le imprese non proteggono le proprie e-mail con password sicure. Se ciò avviene anche nella tua azienda, ricorda questo semplice fatto: più una password è semplice e più è facile violarla, soprattutto attraverso attacchi di forza bruta. Gli attacchi di forza bruta si verificano quando gli hacker cercano di indovinare una password bersagliando un account con migliaia di tentativi.

Per tutelare le e-mail aziendali da questi attacchi, assicurati che tutti i membri della tua organizzazione proteggano le proprie password. Le password di posta elettronica sicure sono:

• Lunghe

• Complicate

• Costituite da diversi tipi di caratteri

• Univoche (mai riutilizzate per altri account)

Questi aspetti sono cruciali se vuoi garantire la sicurezza della tua impresa. Tuttavia, le password difficili da violare sono generalmente anche difficili da ricordare: e l'ultima cosa che una persona vorrebbe è proteggere il proprio account talmente bene da rischiare di non potervi più nemmeno accedere.

La buona notizia è che il gestore di password per aziende e il gestore di password per imprese di NordPass possono aiutarti in modo concreto. Se tutte le persone che lavorano in azienda utilizzeranno questo strumento per i propri account, le loro e-mail saranno al sicuro e non avranno più bisogno di spremersi le meningi cercando di ricordare le password.

In conclusione

Non bisogna mai dare per scontata la sicurezza della posta elettronica aziendale. Anche se piattaforme come Gmail o Outlook fanno del loro meglio per garantire la sicurezza degli utenti, puoi facilmente cadere vittima degli hacker se non proteggi attivamente il tuo account. Seguendo queste 10 buone pratiche sulla sicurezza delle email, le possibilità che le tue email aziendali vengano hackerate saranno molto più scarse, poiché gli hacker vireranno molto probabilmente su prede più vulnerabili.