Le soluzioni su cloud per l’archiviazione dei file e la gestione dei documenti o dei progetti di sicuro hanno i loro vantaggi, ma possono causare anche molti problemi. Le piccole imprese raramente infatti investono in strumenti di collaborazione dai costi importanti, optando invece per utility più economiche o, meglio ancora, gratuite. Nel bene e nel male, la scelta è vasta. Tuttavia, se non si tengono in considerazione le implicazioni di queste scelte a livello di sicurezza, il costo per le PMI può essere molto più alto del previsto, e non solo in termini economici. Di fronte a questa tendenza Kaspersky fornisce alcuni consigli su come comportarsi nel gestire la sicurezza di questi strumenti.

Strumenti di collaborazione per documenti

Molti servizi consentono ai team composti da poche persone di modificare documenti in contemporanea. Tuttavia, non si tratta di semplici strumenti di testo: i membri del team possono sviluppare insieme interfacce grafiche, diagrammi, codici sorgente e altro ancora. Tuttavia, prima di utilizzare un servizio di questo tipo, vale la pena di capire esattamente come funziona: in che modo memorizza le informazioni, chi vi ha accesso, quali impostazioni di sicurezza sono disponibili etc. Lasciare i file di lavoro accessibili a tutti è sempre una cattiva idea. Anche se non si è preoccupati della fuga di informazioni, un intruso potrebbe avere accesso e apportare modifiche alla documentazione del progetto.

Google Docs è l’esempio più palese. Spesso le persone condividono documenti attraverso Google, utilizzando un link diretto senza indicare alcun tipo di restrizione. Ciò significa che i motori di ricerca possono indicizzare questi documenti e quindi praticamente chiunque può vederli. È così che perfetti sconosciuti hanno trovato ogni tipo di informazione riservata: dati personali dei dipendenti, elenchi dei clienti (dati di contatto compresi) e persino buste paga.

Cosa fare: utilizzate solo servizi in cui è possibile nascondere i documenti da occhi indiscreti, o che almeno forniscano una chiara spiegazione di come vengono custoditi i documenti. Non dimenticate di configurare le autorizzazioni di accesso: avere questa possibilità è fondamentale. Se utilizzate Google Docs per motivi di lavoro, limitatene l’accesso, concedendolo solo alle persone con cui dovete condividere questi documenti, e non dimenticate di revocare queste autorizzazioni a chi non ne ha più bisogno.

Archiviazione dei file su cloud

Un altro tipo di operazione da gestire con cautela è il salvataggio dei file sul cloud. Avete bisogno di trasferire una grande quantità di informazioni? Nessun problema, basta caricarle su cloud e inviare un link al destinatario affinché possa ottenerle. In questo modo non dovrete preoccuparvi dei limiti di spazio imposti nelle e-mail. Tuttavia, molti servizi di file sharing non hanno alcuna protezione e, ancora una volta, i file possono apparire tra i risultati di ricerca, alla mercé di sconosciuti.

Anche se il servizio è dotato di protezione, è necessario configurare le impostazioni di sicurezza il più possibile. Spesso le persone si iscrivono a un certo servizio, caricano i dati su cloud e se ne dimenticano. Invece, il pericolo di fughe di dati è sempre in agguato. Un hacker, ad esempio, è riuscito a rubare delle password da Dropbox: immaginate cosa si può fare su servizi meno conosciuti.

Cosa fare: scegliete un servizio di file sharing affidabile che supporti l’autenticazione a due fattori. Una volta caricati i dati su cloud, non dimenticatevene e, se non usate più un file per motivi di lavoro, eliminatelo. Accontentatevi di un solo servizio per la condivisione dei file: l’utilizzo di più di uno invita alla confusione.

Cyber Protect Cloud

Ambienti di gestione dei progetti

Nel complesso, queste piattaforme consentono alle persone coinvolte nel workflow di comunicare, condividere file e organizzare i progetti. Se ne utilizzate una per parlare di strategie aziendali o per trasferire file, è importante sapere non solo chi può visualizzare questi materiali oggi, ma anche chi potrebbe farlo in un futuro. Alcune piattaforme su cloud di default consentono a tutti di visualizzare tutto quanto presente sulla piattaforma.

Gli utenti hanno la possibilità di nascondere alcuni elementi ma il più delle volte è facile dimenticarsi di utilizzare questa opzione e l’impostazione predefinita di solito rimane invariata. Inoltre, se qualcuno ottiene l’accesso a un progetto, è probabile che otterrà l’accesso anche a tutti i dati riguardanti il progetto, il che non è sempre auspicabile.

Le aziende spesso concedono l’accesso anche a contractor o freelance, che potrebbero lavorare oggi per voi e domani per la concorrenza. Per non parlare dei dipendenti licenziati, che potrebbero avere il tempo di scaricare un file importante prima che venga revocato loro l’accesso.

Cosa fare: gestite attentamente le autorizzazioni di accesso ai progetti, limitando la visualizzazione dei file di lavoro a seconda delle parti coinvolte. Utilizzate ambienti di comunicazione separati per i dipendenti e per esterni (contractor, clienti). E non dimenticate di revocare tempestivamente l’accesso agli ex dipendenti e ai freelance.

Ulteriori suggerimenti

Ricordate che tutti i servizi possono contenere delle vulnerabilità (che potrebbero non essere state scoperte quando avete iniziato a lavorarci). Inoltre, molti servizi hanno applicazioni client che, a loro volta, possono avere problemi. Pertanto, vi consigliamo di seguire queste indicazioni:

  • Prima di iniziare a utilizzare un servizio di collaborazione, analizzate attentamente le impostazioni e le regole di elaborazione dei dati. Inoltre, leggete le recensioni di altri utenti che riguardano la sicurezza di questi servizi
  • Il vostro esperto o team IT, se ne avete uno, deve sapere sempre quali servizi utilizzate, come sono stati configurati e chi si occupa della loro gestione
  • Se in ufficio non è presente uno specialista IT, nominate un responsabile per ogni servizio in uso, che si occupi dell’aggiornamento tempestivo dell’app client ogniqualvolta venga rilevata una vulnerabilità, dell’aggiornamento delle password in caso di fughe di dati e della revoca o del rilascio delle autorizzazioni di accesso quando richiesto
  • Qualsiasi servizio utilizzato per condividere un link o un file può potenzialmente essere un canale di distribuzione di malware. Pertanto ogni dispositivo che viene utilizzato per l’accesso a questi strumenti ha bisogno di una soluzione di sicurezza affidabile