Educare gli utenti a proteggere l'organizzazione

Obiettivi di apprendimento

Al completamento di questa unità, sarai in grado di:

Descrivere i criteri relativi alle password complesse.
Descrivere in che modo è possibile evitare di cadere nella trappola delle email di phishing.
Definire l'approccio basato sui privilegi minimi alle autorizzazioni utente.

Gli utenti hanno accesso a dati preziosi

Come abbiamo visto nell'unità precedente, oggi gli obiettivi più frequenti dei criminali informatici sono i dipendenti. I dipendenti che hanno accesso a dati sensibili, come quelli finanziari o sanitari, sono obiettivi preziosi per gli hacker. Ecco perché educare gli utenti di Salesforce a un comportamento sicuro può contribuire in modo significativo a proteggere la tua implementazione e a mantenere al sicuro i dati dei tuoi clienti.

Il singolo utente svolge un ruolo fondamentale nel mantenere i dati protetti. Informare gli utenti sul loro ruolo nel mantenere protetti i dati Salesforce darà i suoi frutti nel lungo periodo. Il bene più prezioso che un'azienda possa possedere è la fiducia dei clienti. È tua responsabilità mantenere i loro dati al sicuro per guadagnarti la loro fiducia ogni giorno.

Parla con i tuoi colleghi o con altri amministratori Salesforce di come hanno collaborato in modo creativo con gli utenti per renderli più consapevoli e motivati a fare la loro parte per mantenere i dati al sicuro. Trovare modi divertenti per educare gli utenti alla sicurezza, come organizzare gare o giochi per vedere chi riesce ad abilitare l'autenticazione a più fattori (MFA) più velocemente, renderà gli utenti più disponibili ad adottare comportamenti sicuri. Puoi anche adottare un approccio più sistematico e collaborare con i team IT o quelli responsabili della sicurezza informatica per condurre regolarmente test di phishing che insegnino agli utenti a stare in guardia contro le email di phishing inviate dagli hacker.

Prestare attenzione alle password

Le password sono la tua prima linea di difesa contro l'accesso non autorizzato all'implementazione di Salesforce. Per aumentare la protezione degli account utente, chiediamo anche ai clienti di usare l'autenticazione a più fattori (MFA, Multi-Factor Authentication) per accedere a Salesforce. MFA significa che per accedere è necessario disporre di più forme di autenticazione, di solito qualcosa che si conosce, come una password, e qualcosa che si possiede, come un codice in un'app mobile per l'autenticazione. Tuttavia, non tutte le piattaforme offrono questo metodo più sicuro per l'accesso degli utenti. Per migliorare la sicurezza delle password, è necessario almeno configurarne la cronologia, la lunghezza e la complessità e specificare cosa fare se gli utenti dimenticano la password.

Il National Institute of Standards and Technology (NIST) pubblica regolarmente delle linee guida per la gestione dell'autenticazione delle identità digitali e del ciclo di vita. Queste semplici best practice aiutano ad arginare le minacce connesse alle password, indipendentemente dal fatto che si utilizzino o meno tecnologie aggiuntive come la MFA e il Single Sign-On (SSO) per una maggiore protezione.

Usare password univoche

L'abbiamo fatto tutti: abbiamo usato la stessa password per più siti web (Rover123 per esempio?). Se da un lato si tratta di una password facile da ricordare, dall'altro, dato che lo schema è così comune, l'aggiunta di piccole variazioni è la prima cosa che gli aggressori cercano di fare quando tentano di decifrare una password. Utilizzare in questo modo password non sicure offre agli aggressori un metodo semplice per accedere a informazioni importanti quando un sito web o una piattaforma vengono compromessi (violati) e le credenziali degli utenti sono rese pubbliche o vendute online. Se la password usata per il sito web compromesso viene usata anche per qualcosa di importante, come l'online banking o l'accesso al database aziendale, questo può causare seri problemi. Se si usa la stessa password con variazioni anche minime, gli aggressori possono accedere a molti siti semplicemente provando le variazioni.

Usare password complesse

È opportuno richiedere che le password siano composte da almeno 10 caratteri, ma se sono più lunghe è meglio ancora. Incoraggia gli utenti a creare una passphrase (una stringa di parole reali) che sia più facile da ricordare ma combinata con almeno un numero e un carattere. Un esempio di password complessa può essere: "CouchEagle$Window9783Fan."

Cambiare le password ogni anno

Chiedi agli utenti di reimpostare le loro password ogni anno.

Mantenere la riservatezza delle password

Ricorda agli utenti di non condividere mai una password, compresa quella di Salesforce, con nessuno, né online né al telefono.

Usare un gestore password

L'utilizzo di un gestore delle password, come LastPass o 1Password, è uno dei modi migliori per assicurare l'efficacia e la sicurezza delle password. La tua organizzazione potrebbe fornire un gestore delle password, ma se non lo fa, potrai comunque sceglierne uno. I gestori delle password consentono di salvare le informazioni di accesso a qualsiasi sito web, di generare password sicure e di archiviarle in un database protetto, in modo che non sia necessario memorizzare password complesse per ogni servizio utilizzato. Ti consigliamo inoltre di abilitare la MFA per il gestore delle password in modo da renderlo ancora più sicuro.

Salesforce non contatterà mai né te né altri utenti tramite email o telefono per chiedere la password. Se qualcuno ti contatta spacciandosi per Salesforce e ti chiede la password o qualsiasi altra informazione sensibile (ad esempio, il codice fiscale), segnala immediatamente l'incidente a security@salesforce.com.

Evitare le trappole del phishing

La maggior parte degli attacchi di phishing utilizza malware (software dannoso) per infettare un computer con codice progettato per rubare password o dati o per interrompere il funzionamento di un computer o una rete. Fortunatamente, non è necessario che tu e i tuoi utenti siate esperti di sicurezza per riconoscere un'email di phishing.

Tre immagini: un pescatore con una canna da pesca che attira qualcuno con un computer portatile aperto e lo dirotta su un falso sito web.

Cercare l'oggetto o l'email del mittente utilizzando un motore di ricerca

Ricorda che le email di phishing sono progettate per sfruttare il normale comportamento umano e indurre l'utente a fare clic su un link dannoso o a scaricare un allegato. Possono essere molto credibili e basarsi su una premessa legittima, come affermare che un pacco sta per esserti consegnato o che il tuo stipendio è pronto. Spesso, l'indirizzo email del mittente può far scattare l'allarme perché non corrisponde al nome dell'azienda del mittente stesso. Se non sai con sicurezza se un'email è legittima, prova a digitare l'oggetto o l'indirizzo email del mittente in un motore di ricerca e verifica se altri hanno segnalato che si tratta di un tentativo di phishing.

Considerare la fonte e verificare i link prima di fare clic

Non fare mai clic su un link e non aprire mai un allegato in un'email dall'aspetto sospetto o proveniente da un mittente sconosciuto. Chiedi agli utenti di aspettare e valutare attentamente le email provenienti da mittenti sconosciuti prima di fare clic. Un altro buon trucco per verificare se i link all'interno delle email sono legittimi è passarci sopra il mouse per verificare dove vengono indirizzati. Ad esempio, se in un'email si chiede di fare clic su un link a un whitepaper di marketing di Salesforce, passaci sopra per vedere se l'URL termina con salesforce.com.

Verificare con Salesforce

Se non sai con sicurezza se un'email proviene da Salesforce, avverti il team IT o quello responsabile per la sicurezza informatica della tua azienda. Poiché il team per la sicurezza avrà bisogno delle intestazioni delle email, è importante inoltrare una copia dell'email sospetta come allegato all'indirizzo security@salesforce.com. Includi le parole "phish" o "malware" nell'oggetto per indicare che sospetti che si tratti di un'email di phishing.

Il team responsabile per la sicurezza della tua azienda probabilmente lavora a stretto contatto con il team per la sicurezza di Salesforce per identificare le email dannose. Puoi anche consultare security.salesforce.com per un elenco delle minacce più recenti recapitate via email di cui il team per la sicurezza di Salesforce è a conoscenza.

Responsabilizzare gli utenti in merito alla sicurezza

Piccoli cambiamenti nel comportamento degli utenti possono avere un impatto notevole. Quando il team per la sicurezza di Salesforce invia email di phishing ai propri dipendenti, abbiamo rilevato che le probabilità che coloro che hanno seguito il nostro corso di formazione sulla sicurezza facciano clic sui link di phishing sono la metà rispetto ai dipendenti che non sono stati formati, mentre le probabilità che li segnalino sono il doppio. Prendi in considerazione la possibilità di eseguire test di phishing nella tua azienda e ricorda regolarmente agli utenti di seguire le best practice relative alla sicurezza.

Assegnare i diritti con parsimonia

Una procedura essenziale per la sicurezza è concedere agli utenti il livello di accesso minimo di cui hanno bisogno per svolgere il proprio lavoro, applicando il cosiddetto principio del privilegio minimo.

Ad esempio, un business analyst non ha bisogno di vedere le informazioni relative alla fatturazione dei clienti. Una importante best practice consiste nel limitare il numero di utenti con diritti di amministratore (in genere si consiglia di non superare i cinque) e nel verificare periodicamente che queste stesse persone debbano continuare a disporre di autorizzazioni amministrative. È anche possibile limitare la visibilità e le autorizzazioni a livello di campo. Con il tempo, gli utenti che hanno bisogno di determinati accessi possono cambiare, quindi è importante attivare un meccanismo che prevede il controllo periodico dei privilegi di accesso.