Sicurezza

Impara le basi della terminologia relativa alla cibersicurezza

La consapevolezza è l’arma più efficace contro gli attacchi informatici. Apprendi i rudimenti della cibersicurezza in modo da garantire maggiore protezione sia a te stesso che alla tua azienda.

La domanda non è se la tua azienda può subire una violazione, ma quando

Oltre alla tua vita digitale, nel corso degli ultimi anni sono cresciuti in maniera esponenziale anche i rischi per la sicurezza IT.

82%

Il tasso di violazioni dovute a un errore umano, legato ad esempio al phishing o al furto di credenziali.¹

10

I trilioni di dollari stimati come costo minimo dei danni causati dalla criminalità informatica entro il 2025.²

Stai un passo avanti promuovendo una cultura aziendale orientata alla cibersicurezza

Esistono quattro fattori critici che possono favorire l’accesso abusivo alla tua azienda: credenziali, phishing, vulnerabilità e botnet.¹ Tutti e quattro sono diffusi in modo capillare in ogni ambito preso in esame dal DBIR e nessuna organizzazione è al sicuro senza un piano per gestirli a dovere.

Per un’azienda e il suo organico, è importante comprendere le basi della terminologia relativa agli attacchi informatici e alle violazioni di dati. Ciò consente sia di riconoscere i campanelli d’allarme di una violazione sia di raccomandare agli altri quali rischi sono da evitare. Queste conoscenze possono inoltre aiutare le aziende a comunicare con i clienti in modo chiaro e tempestivo, nel caso si dovesse effettivamente verificare una violazione dei dati.

Comprendere le comunicazioni sugli attacchi

Sei un consumatore confuso su cosa stia cercando di comunicarti un’azienda riguardo a una violazione subita? Sei un imprenditore che vuole comunicare alla clientela nel modo più opportuno che i dati dell’azienda sono stati compromessi?

Le persone tendono a descrivere gli incidenti di sicurezza come attacchi informatici, dunque bisogna tenere a mente che questi termini vengono solitamente usati in modo improprio. In linea generale, un approccio ottimale consiste nel reperire sempre le informazioni da una fonte attendibile, valutando attentamente i dettagli da comunicare agli altri.

Suggerimento: prima di ogni altra cosa, la tua fonte di informazioni deve essere l’azienda o l’organizzazione coinvolta, quindi consultane i comunicati stampa, i post di blog e ogni altro avviso messo a disposizione del pubblico.


I termini più comuni relativi agli attacchi:

Hacker/utente malintenzionato

Un utente che prova ad accedere senza autorizzazione a un sistema di informazione (la rete usata dagli utenti per creare, condividere e distribuire le informazioni dai propri dispositivi).

Attacco

Qualsiasi attività dannosa finalizzata a ottenere, perturbare, negare, corrompere oppure distruggere i dati o le risorse presenti nei sistemi di informazione.

Pirateria informatica

Ogni attività volta a sfruttare sistemi di informazione, sistemi di elaborazione dati, reti private o dispositivi utilizzando credenziali trafugate.


Forme comuni di attacchi informatici

  • Credential stuffing: attività successiva a un attacco di forza bruta, durante la quale chi è già entrato in possesso della combinazione nome utente/password di un account la sfrutta per ottenere l’accesso al maggior numero possibile di siti, applicazioni e via dicendo. Riutilizzare una password comporta proprio questo rischio: se uno degli account per cui la usi viene compromesso, anche tutti gli altri diventano vulnerabili.
  • Attacchi alle applicazioni Web di base: attacchi che prendono di mira i componenti più esposti di un’infrastruttura aziendale, come i server Web.
  • Phishing: un tentativo di frode perpetrato da un utente malintenzionato che finge di essere una persona affidabile o di lavorare per un ente rispettabile tramite e-mail o un’altra forma di comunicazione, nel qual caso può prendere il nome di smishing (SMS/messaggi) o vishing (chiamate vocali).
  • Ransomware: una forma di malware concepito per crittografare il contenuto di un dispositivo, in modo da rendere inutilizzabili i file e i sistemi che vi fanno affidamento. I ransomware continuano a confermare un andamento in crescita con un aumento pari a quasi il 13%, equivalente a quello registrato nell’arco dei cinque anni precedenti.¹
  • Ingegneria sociale: la pratica di socializzare con una persona in modo ingannevole per conquistarne la fiducia in modo da indurla a rivelare informazioni sensibili con il fine di ottenere illecitamente l’accesso o commettere frodi.
  • Attacco alla catena di approvvigionamento: un attacco perpetrato da un utente malintenzionato sfruttando inserti o altre vulnerabilità presenti prima dell’installazione per accedere abusivamente ai dati o manipolare i componenti hardware/software, i sistemi operativi, le periferiche (prodotti IT) o i servizi in qualsiasi momento del ciclo di vita produttivo e distributivo di un’azienda.

Gli attacchi informatici possono essere fonte di panico, ma conoscere la terminologia corretta e imparare a usarla e comprenderla aiutano a procurarsi una potente arma di difesa.³

Sviluppa una strategia di cibersicurezza

Ma avere consapevolezza della sicurezza informatica non basta: bisogna metterla in pratica con un opportuno piano proattivo. Puoi iniziare implementando alcune delle misure di sicurezza che seguono:

  • Crea una password diversa, unica e complessa per ogni account.
  • Usa un gestore di password per generare, custodire, condividere e gestire credenziali e dati sensibili.
  • Attiva l’autenticazione a più fattori (MFA) per tutti i servizi che la supportano, incluso posta elettronica, social media, banking online, applicazioni di lavoro e così via.
  • Sfrutta il monitoraggio delle violazioni di dati per tenere sotto controllo le tue credenziali online, essere avvisato se alcune vengono compromesse e avere la possibilità di cambiarle tempestivamente in modo da evitare ulteriori incidenti di sicurezza.
  • Adotta un approccio proattivo di fronte ai segni più comuni che indicano un tentativo di attacco IT: non cliccare sui link condivisi da persone che non conosci, non aprire siti con indirizzi che presentano refusi e non interagire con e-mail scritte male o che provengono da indirizzi sconosciuti.
  • Implementa software per la sicurezza degli endpoint e la protezione contro i virus/malware.
  • Mantieni software e sistemi operativi sempre aggiornati. 
  • Esegui regolarmente il backup dei tuoi dati più importanti – in un ambiente cloud o locale – per custodirne una copia in un luogo sicuro.

Fonti usate in questo articolo

  1. Data Breach Investigations Report (DBIR), Verizon, 2022
  2. Boardroom Cybersecurity Report, Secureworks
  3. Computer Security Resource Center, NIST

Scopri come LastPass garantisce protezione ai tuoi dati da malintenzionati, approcci sbagliati alle password e tanto altro

Che cosa succede se LastPass è coinvolto in un incidente di sicurezza o subisce un attacco hacker?

LastPass opera sulla base di un modello di sicurezza basato sul principio della conoscenza zero. Con “conoscenza zero” si intende che nessuno tranne te ha accesso alla tua password principale decrittografata, alla tua cassaforte o ai dati della tua cassaforte. Per garantire l’accesso alla tua cassaforte solo da parte di utenti autorizzati, ci affidiamo a meccanismi standard di settore, come la crittografia AES-256 e l’hash PBKDF2 con salt, per garantire che la tua password principale sia al sicuro.

LastPass protegge anche la propria infrastruttura aggiornando regolarmente i sistemi e utilizzando data center ridondanti in tutto il mondo per ridurre il rischio di downtime o di singoli punti di errore. LastPass è sottoposto a una costante verifica di mercato ed è stato scelto da oltre 100.000 aziende, tra cui Fortune 500 e imprese tecnologiche all’avanguardia.

Come faccio a sapere se LastPass ha subito un attacco hacker o se si è verificato un incidente?

LastPass attribuisce grande importanza alla trasparenza nelle sue procedure di risposta agli incidenti, assicurando comunicazioni veritiere e tempestive. La comunicazione con gli utenti dipenderà dall’incidente e le informazioni con priorità massima verranno divulgate anche tramite e-mail e post su blog e social. La capacità di comunicare in modo efficace è alla base della fiducia della nostra community.

Cosa fate per evitare che LastPass subisca un attacco hacker, garantendo così la sicurezza dei miei dati?

I clienti LastPass sono protetti dal modello di sicurezza basato sul principio della conoscenza zero che impedisce, di proposito, a LastPass di accedere alla password principale, alla cassaforte o ai dati della cassaforte dei propri clienti. Si tratta di uno standard di settore a cui tutti i gestori di password dovrebbero aderire. Inoltre, LastPass implementa diverse best practice per proteggere ulteriormente te e i tuoi dati, tra cui, ad esempio:

  • Certificazione di conformità, come SOC 2 Tipo II, SOC 3, BSI C5, certificazioni CBPR e PRP dell’APEC in materia di privacy, certificazione TRUSTe Enterprise in materia di privacy, RGPD e ISO/IEC 27001:2013.
  • Test di penetrazione e controlli: LastPass si avvale dei servizi affidabili e di livello mondiale offerti da aziende terze operanti nel settore della sicurezza per effettuare test e controlli di routine del servizio e dell’infrastruttura di LastPass.
  • Programma di bug bounty: LastPass accoglie e collabora con i ricercatori di sicurezza per garantire un miglioramento continuo.

Trust Center

Il punto di riferimento per le informazioni più recenti su sicurezza, privacy, conformità e prestazioni dei sistemi.

Visita il Trust Center

Modello crittografico di LastPass

Nessuno può conoscere i tuoi dati – neanche noi. Scopri come LastPass protegge le tue informazioni con un modello di crittografia solo locale.

Scopri di più sulla crittografia

Libro bianco tecnico

Scopri come abbiamo progettato i servizi di LastPass per assicurare protezione e riservatezza ai tuoi dati.

Leggi il libro bianco

Risorse del Trust Center

Consulta la documentazione sulle misure tecniche, organizzative e di conformità specifiche per i prodotti.

Visualizza le risorse

Rigorose misure di sicurezza e standard globali di conformità: con LastPass, hai tutto questo e tanto altro!

Prova LastPass Business gratis per 14 giorni. Non è necessaria una carta di credito.