Elenco di controllo di sicurezza per piccole imprese (1-100 utenti)

Hai lavorato duramente per creare la tua attività. Non lasciare che i rischi relativi alla sicurezza ostacolino il tuo successo. Adotta queste misure di sicurezza per proteggere le informazioni aziendali.  

Se hai un'impresa molto piccola (1-20 utenti) o una piccola impresa (21-100 utenti), probabilmente non disponi di un amministratore IT dedicato, quindi ridurremo l'elenco al minimo.

Proteggere i tuoi account

Utilizza password univoche
Una buona password è la prima linea di difesa per proteggere gli account utente e amministratore. Le password univoche non sono facili da indovinare. Ad esempio, pensa a una lunga frase e utilizza la prima lettera di ogni parola come password.

Inoltre, cerca di non riutilizzare la password in diversi account, ad esempio email e conto bancario online.

Creare una password efficace e un account più sicuro

Chiedi agli amministratori e agli utenti principali di fornire ulteriore prova della loro identità
Se qualcuno riesce a rubare la tua password, la verifica in due passaggi (V2P) può impedirgli di accedere al tuo account.

La verifica in due passaggi richiede agli utenti di verificare la propria identità tramite qualcosa che conoscono (ad esempio la password) e qualcosa in loro possesso (come una chiave fisica o un codice di accesso) per poter accedere.

Consigliamo a tutti di utilizzare la verifica in due passaggi per la propria attività, ma è particolarmente importante per gli amministratori e gli utenti che lavorano con dati sensibili, come i documenti finanziari e le informazioni sui dipendenti. Dovresti applicare la verifica in due passaggi per gli amministratori e gli utenti principali.

Proteggere la tua attività con la verifica in due passaggi | Implementare la verifica in due passaggi

Gli amministratori dovrebbero aggiungere opzioni di recupero al proprio account
Se un amministratore dimentica la password, può fare clic sul link Hai bisogno di assistenza? nella pagina di accesso e Google invierà una nuova password via telefono, messaggio o email. A tale scopo, Google ha bisogno di un numero di telefono e di un indirizzo email di recupero dell'account.

Aggiungere opzioni di recupero agli account amministratore

Ottieni in anticipo i codici di backup
Se la tua attività applica la verifica in due passaggi e un utente o un amministratore perde l'accesso al suo metodo di verifica in due passaggi, non potrà accedere al proprio account. Esempi sono un utente che riceve i codici di verifica in due passaggi sul proprio telefono e perde il telefono o un utente che perde il proprio token di sicurezza.

In questo caso, possono utilizzare un codice di backup per la verifica in due passaggi. Gli amministratori e gli utenti che hanno attivato la verifica in due passaggi devono generare e stampare i codici di backup e conservarli in un luogo sicuro.

Generare e stampare codici di backup

Crea un account super amministratore aggiuntivo
Un'attività commerciale dovrebbe avere più di un account super amministratore, ciascuno gestito da una persona separata. Se un account viene perso o violato, il super amministratore di backup può eseguire attività critiche mentre l'altro account viene ripristinato.

Puoi creare un altro super amministratore per assegnare il ruolo di super amministratore a un altro utente.

Assegnare i ruoli di amministratore a un utente

Tieni a portata di mano le informazioni per il ripristino della password dei super amministratori
Se un super amministratore non è in grado di reimpostare la propria password tramite le opzioni di recupero via email o telefono e non è disponibile un altro super amministratore che possa farlo, può contattare l'Assistenza Google.

Per verificare l'identità dell'amministratore, Google gli porrà alcune domande sull'account dell'organizzazione. L'amministratore dovrà inoltre verificare la proprietà del dominio DNS. Consigliamo di conservare al sicuro le informazioni sull'account e le credenziali DNS in caso sia necessario fornirle.

Best practice per la protezione degli account amministratore

I super amministratori non devono rimanere collegati al proprio account
I super amministratori possono gestire ogni aspetto dell'account della tua azienda e possono accedere a tutti i dati aziendali e dei dipendenti. Se rimani collegato a un account super amministratore quando non esegui attività amministrative, puoi aumentare l'esposizione a potenziali attività dannose.

I super amministratori dovrebbero effettuare l'accesso per svolgere operazioni specifiche dettate dalle necessità, quindi uscire.

Ruoli amministrativi predefiniti | Best practice per la protezione degli account amministratore

Attiva l'aggiornamento automatico delle applicazioni e dei browser Internet
Per ricevere gli aggiornamenti di sicurezza più recenti, assicurati che i tuoi utenti attivino gli aggiornamenti automatici delle applicazioni e dei browser Internet. Se utilizzano Chrome, puoi configurare l'aggiornamento automatico per l'intera organizzazione.

Gestire gli aggiornamenti di Chrome

Se utilizzi Gmail, Calendar, Drive, Documenti

Configura Gmail in modo che esegua ulteriori verifiche in caso di email sospette

Attiva la scansione avanzata dei messaggi prima della consegna

Il phishing è un'attività dannosa che prevede l'invio di email che cercano di ingannare gli utenti perché rivelino informazioni sensibili, ad esempio password, numeri di conto o altre informazioni personali.

Google esegue la scansione dei messaggi in arrivo per aiutare a proteggere dal phishing. Quando Gmail individua un'email che potrebbe essere di phishing, può mostrare un avviso o spostare l'email nella cartella Spam. La scansione avanzata dei messaggi prima della consegna consente a Gmail di individuare email che altrimenti potrebbero non essere identificate come sospette.

Utilizzare la scansione avanzata dei messaggi prima della consegna

Attiva i controlli di sicurezza aggiuntivi in Gmail
Google esegue la scansione dei messaggi in arrivo per proteggere da programmi dannosi, come i virus. Attiva i controlli di sicurezza aggiuntivi per allegati, link e immagini esterne e per individuare email che in precedenza potrebbero non essere state identificate come dannose.

Migliorare la protezione da phishing e malware

Assicurati che i destinatari email non contrassegnino le tue email come spam
Le email di spam sono messaggi email collettivi non richiesti. Sono generalmente utilizzate da inserzionisti senza scrupoli perché non comportano costi operativi, ad eccezione della gestione delle mailing list.

Sender Policy Framework (SPF) è un metodo di sicurezza dell'email per autorizzare le email legittime inviate da utenti della tua azienda. Il record SPF identifica i server di posta autorizzati a inviare email per conto del tuo dominio.

Se non imposti SPF per il tuo dominio, i messaggi potrebbero rimbalzare o essere contrassegnati come spam.

Autorizzare i mittenti di messaggi email con SPF

Limita la condivisione del calendario con persone esterne all'azienda
I calendari degli utenti possono contenere informazioni riservate. Dovresti limitare la possibilità per gli utenti di condividere i propri calendari con utenti esterni. Limita la condivisione esterna del calendario alle sole informazioni disponibile/occupato.

Impostare le opzioni di visibilità e condivisione del calendario

Limita gli utenti che possono visualizzare i file appena creati
Puoi specificare chi può visualizzare i file creati dagli utenti. Assicurati che solo l'utente che crea un file possa visualizzarlo finché non lo condivide esplicitamente. Puoi farlo disattivando la condivisione tramite link.

Impostare le autorizzazioni di condivisione di Drive degli utenti

Avvisa gli utenti quando hanno condiviso un file con persone esterne all'azienda
Se consenti agli utenti di condividere file con persone esterne, assicurati che ricevano un avviso quando tentano di farlo. L'avviso chiede di confermare che si vuole condividere il file con altre persone all'esterno dell'azienda.

Impostare le autorizzazioni di condivisione di Drive degli utenti

La tua azienda ha requisiti di sicurezza speciali?

La tua azienda potrebbe avere meno di dieci persone, ma gli stessi requisiti di sicurezza di un'azienda molto più grande.

Ad esempio, le piccole aziende che si dedicano a investimento e pianificazione finanziaria e qualsiasi attività che utilizza informazioni sanitarie potrebbero avere particolari requisiti normativi e di privacy e sicurezza. Queste aziende potrebbero avere amministratori IT dedicati che si occupano di questi requisiti aggiuntivi.

Se hai un'azienda di questo tipo, segui le best practice dell'elenco di controllo di sicurezza per aziende di medie e grandi dimensioni (oltre 100 utenti).

 

È stato utile?
Come possiamo migliorare l'articolo?