Elenco di controllo di sicurezza per piccole imprese (1-100 utenti)

Hai lavorato duramente per creare la tua attività. Non lasciare che i rischi relativi alla sicurezza ostacolino il tuo successo. Adotta queste misure di sicurezza per proteggere le informazioni aziendali.  

Se hai un'impresa molto piccola (1-20 utenti) o una piccola impresa (21-100 utenti), probabilmente non hai un dipendente che si occupa esclusivamente dell'amministrazione IT, quindi ridurremo l'elenco al minimo.

Proteggere i tuoi account

Utilizza password univoche
Una buona password è la prima linea di difesa per proteggere gli account utente e amministratore. Le password univoche non sono facili da indovinare. Ad esempio, pensa a una lunga frase e utilizza la prima lettera di ogni parola come password.

Inoltre, cerca di scoraggiare l'uso della stessa password in diversi account, ad esempio email e online banking.

Creare una password efficace e un account più sicuro

Chiedi agli amministratori e agli utenti principali di fornire ulteriore prova della loro identità
Se qualcuno riesce a rubare la tua password, la verifica in due passaggi (V2P) può impedirgli di accedere al tuo account.

La verifica in due passaggi richiede agli utenti di verificare la propria identità tramite qualcosa che conoscono (ad esempio la password) e qualcosa in loro possesso (come una chiave fisica o un codice di accesso) per poter accedere.

Consigliamo a tutti di utilizzare la verifica in due passaggi per la propria attività, ma è particolarmente importante per gli amministratori e gli utenti che lavorano con dati sensibili, come i documenti finanziari e le informazioni sui dipendenti. Devi applicare la verifica in due passaggi per gli amministratori e gli utenti principali.

Proteggere la tua attività con la verifica in due passaggi | Eseguire il deployment della verifica in due passaggi

Gli amministratori devono aggiungere informazioni di recupero al proprio account
Se l'amministratore dimentica la password, può fare clic sul link Hai bisogno di assistenza? nella pagina di accesso e Google invierà una nuova password via telefono, SMS o email. Per farlo, Google ha bisogno di un numero di telefono e un indirizzo email di recupero dell'account.

Aggiungere opzioni di recupero agli account amministratore

Procurati in anticipo i codici di backup
Se la tua azienda applica la verifica in due passaggi e un utente o un amministratore perde l'accesso al proprio metodo di verifica in due passaggi, non potrà accedere al proprio account. Citiamo come esempio il caso di un utente che riceve i codici della verifica in due passaggi sul proprio telefono e perde il telefono o di un utente che perde il proprio token di sicurezza.

In questi casi, gli utenti possono utilizzare un codice di backup per la verifica in due passaggi. Gli amministratori e gli utenti che hanno attivato la verifica in due passaggi devono generare e stampare i codici di backup e conservarli in un luogo sicuro.

Generare e stampare codici di backup

Crea un ulteriore account super amministratore
Un'attività dovrebbe avere più di un account super amministratore, ciascuno gestito da una persona diversa. Se un account viene perso o violato, il super amministratore di backup può eseguire attività critiche mentre l'altro account viene ripristinato.

Puoi creare un altro super amministratore assegnando il ruolo a un altro utente.

Assegnare i ruoli di amministratore a un utente

Tieni a portata di mano le informazioni per la reimpostazione della password del super amministratore
Se un super amministratore non è in grado di reimpostare la propria password tramite le opzioni di recupero via email o telefono e non è disponibile un altro super amministratore che possa farlo, può contattare l'Assistenza Google

Per verificare l'identità, Google pone alcune domande sull'account dell'organizzazione. L'amministratore deve anche verificare la proprietà del dominio DNS. Consigliamo di conservare al sicuro le informazioni sull'account e le credenziali DNS in caso sia necessario fornirle.

Best practice per la sicurezza degli account amministratore

I super amministratori non devono rimanere collegati al proprio account
I super amministratori possono gestire ogni aspetto dell'account della tua azienda e possono accedere a tutti i dati aziendali e dei dipendenti. Se rimani collegato a un account super amministratore quando non esegui attività amministrative, puoi aumentare l'esposizione a potenziali attività dannose.

I super amministratori dovrebbero effettuare l'accesso per svolgere operazioni specifiche necessarie, per poi uscire dall'account.

Ruoli di amministratore predefiniti | Best practice per la sicurezza degli account amministratore

Attiva l'aggiornamento automatico per le app e i browser Internet
Per ricevere gli aggiornamenti di sicurezza più recenti, assicurati che i tuoi utenti attivino gli aggiornamenti automatici delle app e dei browser Internet. Se gli utenti utilizzano Chrome, puoi configurare l'aggiornamento automatico per l'intera organizzazione.

Gestire gli aggiornamenti di Chrome

Se utilizzi Gmail, Calendar, Drive, Documenti

Configura Gmail in modo che esegua ulteriori controlli per le email sospette

Attiva la scansione avanzata dei messaggi prima della consegna

Il phishing è un'attività dannosa che prevede l'invio di email che cercano di ingannare gli utenti perché rivelino informazioni sensibili, ad esempio password, numeri di conto o altre informazioni personali.

Google esegue la scansione dei messaggi in arrivo per proteggere gli utenti dal phishing. Quando Gmail individua un'email che potrebbe essere di phishing, può mostrare un avviso o spostare l'email nella cartella Spam. La scansione avanzata dei messaggi prima della consegna consente a Gmail di individuare email che altrimenti potrebbero non essere identificate come sospette.

Utilizzare la scansione avanzata dei messaggi prima della consegna

Attiva i controlli di sicurezza aggiuntivi in Gmail
Google esegue la scansione dei messaggi in arrivo per proteggere da programmi dannosi, come i virus. Attiva i controlli di sicurezza aggiuntivi per allegati, link e immagini esterne e per individuare email che in precedenza potrebbero non essere state identificate come dannose.

Rafforzare la protezione da phishing e malware

Assicurati che i destinatari delle email non contrassegnino le tue email come spam
Le email di spam sono messaggi email collettivi non richiesti. Sono generalmente utilizzate da inserzionisti senza scrupoli perché non comportano costi operativi, ad eccezione della gestione delle mailing list.

Sender Policy Framework (SPF) è un metodo di sicurezza dell'email che consente di autorizzare le email legittime inviate da utenti della tua azienda. Il record SPF identifica i server di posta autorizzati a inviare email per conto del tuo dominio.

Se non configuri SPF per il tuo dominio, i messaggi potrebbero non essere recapitati o essere contrassegnati come spam.

Autorizzare i mittenti di messaggi email con SPF

Limita la condivisione del calendario con persone esterne all'azienda
I calendari degli utenti possono contenere informazioni riservate. Dovresti limitare la possibilità per gli utenti di condividere i propri calendari con utenti esterni. Limita la condivisione esterna del calendario alle sole informazioni disponibile/occupato.

Impostare le opzioni di visibilità e condivisione del calendario

Limita gli utenti che possono visualizzare i file appena creati
Puoi specificare chi può visualizzare i file creati dagli utenti. Assicurati che solo l'utente che crea un file possa visualizzarlo finché non lo condivide esplicitamente. Puoi farlo disattivando la condivisione tramite link.

Impostare le autorizzazioni di condivisione di Drive degli utenti

Avvisa gli utenti quando condividono un file con persone esterne all'azienda
Se consenti agli utenti di condividere file con persone esterne, assicurati che ricevano un avviso quando tentano di farlo. L'avviso chiede di confermare che si vuole condividere il file con persone all'esterno dell'azienda.

Impostare le autorizzazioni di condivisione di Drive degli utenti

La tua azienda ha requisiti di sicurezza speciali?

La tua azienda potrebbe avere meno di 10 persone, ma gli stessi requisiti di sicurezza di un'azienda molto più grande.

Ad esempio, le piccole aziende che si dedicano a investimento e pianificazione finanziaria e qualsiasi attività che utilizza informazioni sanitarie potrebbero avere particolari requisiti normativi e di privacy e sicurezza. Queste aziende potrebbero avere amministratori IT dedicati che si occupano di questi requisiti aggiuntivi.

Se hai un'azienda di questo tipo, segui le best practice dell'elenco di controllo di sicurezza per aziende di medie e grandi dimensioni (oltre 100 utenti).

 

È stato utile?
Come possiamo migliorare l'articolo?