Articoli

Cosa vuole il consumatore digitale dal commercio online?

Ormai è chiaro a tutte le aziende: il consumatore digitale è estremamente diverso rispetto a quello tradizionale e sconnesso al quale si era abituati fino a qualche anno fa.

Il cambiamento del consumatore non è peraltro stato istantaneo: tutto è iniziato con l’introduzione di Internet, con l’evoluzione che è continuata anno dopo anno con il diffondersi della comunicazione mobile, degli e-commerce, dei social network e così via.

Si è ormai arrivati al punto in cui non esiste più una reale differenza tra il consumatore in-store e quello online: il potenziale cliente che si aggira tra gli scaffali di un negozio, infatti, è al tempo stesso connesso.

Di fronte a questo nuovo paradigma, è necessario capire cosa cerca il consumatore oggi, quali sono le sue caratteristiche, e quali sono gli strumenti che le aziende devono usare per soddisfarlo, come ad esempio un moderno software CRM per gestire in modo efficiente il cliente online così come quello fisico.

Consumatori digitali: un’istantanea

Il motore di ricerca Google conta in media più di 60.00 ricerche al secondo. Molte di esse partono da dispositivi mobili, e quindi da persone che, nel momento stesso in cui sentono una necessità, si rivolgono alla rete per trovare una soluzione immediata, in qualunque momento, in qualsiasi situazione.

Non ci si può certo stupire che questo meccanismo sia particolarmente frequente nel momento in cui i consumatori sono chiamati a fare delle decisioni di acquisto. E non deve meravigliare nemmeno il fatto che abbiamo a che fare con consumatori digitali sempre meno fedeli a un determinato marchio: le possibilità sono tantissime e sono tutte raggiungibili attraverso pochi gesti su uno schermo.

Per questo fidelizzare davvero e a lungo un cliente è molto più difficile oggi che in passato, avendo a che fare con un pubblico molto informato, che vuole tutto e subito e che ricerca un’esperienza d’acquisto perfetta, unica e personalizzata.

Per perdere un cliente basta pochissimo: un servizio di customer service lacunoso o un tempo di attesa di 2 secondi per il caricamento di una pagina web sono solo piccoli esempi di eventi che possono mettere in crisi una strategia di fidelizzazione.

Cosa cerca il consumatore oggi?

In poche parole, un’esperienza di acquisto personalizzata e progettata sulla propria clientela, ecco quello che vuole il consumatore digitale del 2020.

Le aziende devono dunque impostare una comunicazione personalizzata, devono essere in grado di realizzare delle offerte ad hoc, in quanto i clienti sono pronti a premiare i retailer che capiscono e interpretano le loro preferenze. Da qui, per esempio, l’importanza di poter contare su delle chatbot di qualità, partendo da presupposto che per una fetta crescente di persone non c’è differenza – in termini di servizio – tra una chatbot e una persona reale.

Il consumatore digitale, abituato a confrontarsi con i brand sui social network, cerca inoltre autenticità e umanità: viene raddoppiata, quindi, l’importanza di impostare una comunicazione efficace e continua con la propria audience.

Cosa devono fare le aziende per fidelizzare il cliente digitale?

Per interpretare le esigenze peculiari del consumatore digitale, le aziende devono poter contare su degli strumenti di supporto di ultima generazione, per raccogliere e gestire tutte le informazioni sul proprio pubblico.

Tutto parte, ovviamente, dalla scelta di un efficace software di Customer Relationship Management: senza un CRM, governare tutti i dati relativi ai contatti per potenziare l’attività di marketing e di vendita è ormai praticamente impossibile, vista la mole di informazioni che le aziende sono chiamate a dover gestire per aumentare e soddisfare la clientela.

 

Fonte: AziendaDigitale.it

Worm informatico, il malware che si autoreplica: i più pericolosi e i metodi di diffusione

Il worm informatico è un codice malevolo (malware) che, dopo aver compromesso un PC, è in grado di autoreplicarsi e diffondersi all’interno di una rete locale per infettare tutte le altre macchine connesse.

L’infezione mediante worm, inoltre, avviene senza richiedere alcuna interazione alla potenziale vittima: è sufficiente che il suo codice malevolo venga in qualche modo attivato sul sistema infetto per avviarne il processo di clonazione e diffusione che viene eseguito sfruttando le risorse di rete del sistema stesso.

Per completezza di informazione è utile ricordare che, prima della diffusione di Internet e delle tecnologie di rete, i worm informatici si tramettevano sfruttando esclusivamente supporti di archiviazione come i floppy disk e successivamente le chiavette USB che, se montati su un sistema, consentivano di infettare le altre unità di memoria collegate al sistema target.

Worm informatico: il malware capace di autoreplicarsi

Anche se apparentemente simili da un punto di vista tecnico, in quanto entrambi accomunati da un meccanismo di replica, è bene distinguere i worm dai virus in senso stretto del termine.

Un virus è un programma che crea copie di sé stesso in maniera fittizia, collegandosi ad un terzo elemento che funge da mezzo di propagazione, il quale gli concede la possibilità di attivarsi. Uno degli elementi di distinzione tra virus e worm è la necessità da parte dei primi di copiarsi in altri file dello stesso computer, non potendo avviarsi separatamente da un programma ospite. Ad esempio, potrebbe essere nascosto in un documento di Word, in un aggiornamento di Acrobat Reader o integrarsi in un qualsiasi altro codice eseguibile o anche sistema operativo della vittima.

I worm rientrano in un particolare tipologia di virus informatici, anche se differiscono da questi per alcune specificità. In genere si replicano senza infettare altri file dello stesso computer; una volta installati sulla macchina di una vittima, questi cambiano obiettivo, cercando immediatamente di spostarsi lateralmente su altri computer attraverso varie modalità di diffusione. Oltre che a un differente scopo, questi differiscono anche nella struttura del codice: i worm sono a sé stanti – i cosiddetti “standalone files” – mentre i virus sono porzioni di codice che si integrano in file esistenti di programmi legittimi.

Worm informatici: diffusione e pericolosità

Come tutti i malware di oggi, anche i worm attualmente in circolazione possiedono numerose proprietà in aggiunta a quelle appena descritte, tra cui un’estrema facilità di replicazione e il relativo perimetro di impatto.

Non avendo la necessità di essere avviati manualmente da un individuo, differentemente dai virus i worm si muovono liberamente nel sistema informatico della vittima, portando avanti l’enumeration del sistema.

Queste procedure sono finalizzate alla scoperta di nuovi bersagli: contatti in rubrica, indirizzi e-mail da programmi locali e da qualsiasi file (tramite uno scanning del file system), indirizzi IP direttamente collegati alla macchina e vulnerabili (con tecniche di network scanning), e molto altro.

Identificate queste nuove destinazioni, repliche del worm vengono spedite per compiere poi le stesse azioni, diffondendosi ancora e poi ancora. Tra i vettori d’attacco più utilizzati per la diffusione dei worm, oltre a mail di phishing e tecniche di ingegneria sociale, troviamo l’utilizzo di mezzi di propagazione quali reti P2P (peer-to-peer), chat e notifiche dei comuni social network, e in alcuni casi persino backdoor, quando si tratta di malware complessi e strutturati.

Oltre a diffondersi a macchia d’olio, l’innumerevole numero di copie che vengono spedite ad ancora più destinatari crea problemi di compromissione della memoria sia sulle macchine infettate che sui server remoti. Entrano in gioco, così, anche tecniche di buffer overflow e sfruttamento di vulnerabilità note per acquisire vantaggi sulle vittime.

 

Fonte: CyberSecurity360

Metamorfo, il malware col keylogger che ruba credenziali di accesso ai servizi di home banking

Si chiama Metamorfo la pericolosa famiglia di malware che mira a colpire i fruitori di servizi di home banking inducendoli a fornire nuovamente le loro credenziali di accesso che ruba sfruttando il modulo keylogger integrato.

In un recente comunicato, i ricercatori di sicurezza hanno pubblicato un’analisi di un’ultima variante di Metamorfo che, a differenza della precedente che ha interessato solo istituti brasiliani, si sta diffondendo tramite malspam anche in altri paesi, tra cui l’Italia, aggiungendo un nuovo stratagemma: una volta insidiato nei sistemi Windows costringe la vittima a digitare nuovamente le credenziali di acceso o degli estremi di pagamento, tracciandoli attraverso la sua componete keylogger.

Metamorfo: come avviene il contagio?

Il campione della nuova variante di Metamorfo analizzato dagli analisti viene diffuso tramite e-mail di phishing che presentano in allegato un archivio in formato ZIP contenente un pacchetto di Microsoft installer.

Ovviamente il file MSI non contiene alcun avviso per l’utente come il nome lascerebbe intuire, ma del codice Javascript offuscato che, una volta estratto ed eseguito, effettua una serie di operazioni:

1. innanzitutto avvia il download di un ulteriore file ZIP aggiungendo un elemento al gruppo di esecuzione automatica nel registro di sistema infetto;
2. successivamente scompatta i tre file contenuti nello ZIP in una cartella locale generando dei nomi alfanumerici in maniera random;
3. infine effettua il running del file EXE per l’esecuzione di uno script sulla base dei parametri imposti dagli altri due file.

Secondo gli stessi analisti, il linguaggio di programmazione supportato da Microsoft Windows viene adoperato per raggirare i sistemi di protezione antivirus spacciando l’eseguibile come programma legittimo.

La funzione principale della variante Metamorfo

Come già accennato, il corpo principale della variante è contenuto all’interno del file DLL che impone le direttive da seguire. Un’ulteriore conferma che questa libreria rappresenti il cuore del payload è che risulta essere protetta tramite il packer VMProtect v3.00-3.3.1 solitamente utilizzato dagli sviluppatori in ambito commerciale per scoraggiare le creazioni di versioni “craccate” dei prodotti originali, ma che in tal caso è usato dagli attaccanti per contrastare lo studio degli analisti.

I ricercatori comunque sono riusciti ad estrarre il codice macchina Assembler e individuare la funzione principale FormCreate() mostrandone le operazioni principali.

Una prima operazione ha lo scopo di imporre alla vittima l’inserimento manuale dei dati (URL e credenziali di accesso al servizio di home banking) senza il completamento automatico per consentire alla componente keylogger la relativa registrazione.

Pertanto termina i processi che interessano i browser in esecuzione (Microsoft IE, Mozilla Firefox, Google Chrome, Microsoft Edge e Opera) e modifica i relativi valori delle chiavi di registro per disabilitare le funzioni di completamento/suggerimento automatico.

Una seconda operazione ha invece il compito di raccogliere tutte le informazioni relative alla versione del sistema operativo, al nome del computer e all’antivirus installato.

Una terza operazione si occupa di notificare al server di comando e controllo mediante un pacchetto POST l’avvenuta infezione.

Come accadeva per la variante precedente, anche quest’ultima versione di Metamorfo al termine della funzione FormCreate () avvia due timer per eseguire determinati compiti.

Il primo timer viene utilizzato per monitorare l’indirizzo di un portafoglio Bitcoin negli Appunti di sistema (durante le usuali operazioni di taglia incolla di un indirizzo Bitcoin da parte degli utenti, Metamorfo rileva e sovrascrive il portafoglio di destinazione con l’indirizzo bitcoin dell’attaccante dirottandone la transazione).

L’altro viene utilizzato per rilevare se la vittima sta accedendo o meno ad un sito Web di un istituto finanziario (sono previste 32 keyword riferite a più di venti istituti finanziari target sparsi in diversi paesi).

Come proteggersi?

Contro questa tipologia di malware è consigliabile adottare alcune precise misure di sicurezza:

• una protezione antivirus adeguata al proprio parco macchine, aggiornando periodicamente le definizioni delle minacce ed i motori di scansione all’ultima versione disponibile;
• un Web filtering, impedendo agli utenti di visualizzare determinati URL e siti Web impostando sui browser dei filtri che impediscano di caricare pagine da questi siti;
• un Intrusion Protection System (IPS), controllando ad esempio i pacchetti in transito sulla rete e confrontandoli con gli ultimi schemi di attacco preconfigurati noti e disponibili.

È sempre utile, infine, adottare alcune best practice per prevenire attacchi di tipo phishing simili a quelli che stanno diffondendo la nuova variante del malware Metamorfo:

• controlliamo sempre i link e il mittente della mail prima di cliccare qualunque indirizzo. Meglio sarebbe se non cliccassimo affatto sul link, ma lo copiassimo invece nella barra indirizzi del browser senza ovviamente collegarci al sito corrispondente;
• prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice: passando il mouse sopra il link stesso;
• è bene, inoltre, attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo.
• evitare, infine, di aprire gli allegati dei messaggi di posta elettronica sospetti e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

 

Fonte: CyberSecurity360

Nuovo credito d’imposta: come funziona l’iperammortamento 2020

Addio iperammortamento 2019 e addio anche superammortamento: con il nuovo anno, e dunque con la nuova Legge di Bilancio, entra in gioco il nuovo credito d’imposta 2020.

Ma cos’è questo credito d’imposta e in cosa differisce questa nuova agevolazione rispetto all’accoppiata iperammortamento e superammortamento? E ancora, come si calcola il credito?

Iperammortamento o credito d’imposta

Quale metodo di agevolazione per gli investimenti per il 2020?

La Legge di Bilancio prevede che le imprese che effettuano degli acquisti in beni strumentali dal 1° gennaio 2020 al 31 dicembre 2020 possano accedere all’agevolazione del credito d’imposta.

A esser precisi, questo incentivo sarà applicabile fino al giugno del 2021, a patto che entro fine anno l’ordine venga accettato dal venditore, a fronte di un acconto minimo del 20%.

Cosa succede, invece, se l’ordine in questione è stato già accettato dal venditore nel 2019? In questo caso, se è già stato pagato un acconto del 20%, non si avrà diritto al credito d’imposta, quanto invece all’iperammortamento (o eventualmente al superammortamento nel caso in cui il bene non compaia tra quelli relativi al Piano Industria 4.0)

 

Le percentuali del nuovo credito d’imposta 2020: cosa cambia?

Il nuovo credito d’imposta 2020 – o l’iperammortamento 2020, come alcuni hanno deciso di chiamarlo per continuità con le norme precedenti – prevede tre agevolazioni differenti, in base alla tipologia di investimento fatto.

Gli investimenti relativi a Industria 4.0 – e quindi quelli che rientrerebbero nell’ipotetico iperammortamento 2020 – possono accedere al credito d’imposta 4.0 al 40% o al 20%. Più nello specifico, gli investimenti fino a 2,5 milioni di euro hanno diritto a un credito del 40%, mentre quelli tra i 2,5 e i 1 milioni di euro possono accedere a un credito d’imposta del 20%. Per investimenti superiori, invece, il credito d’imposta è a zero.

La seconda tipologia di credito d’imposta è riservata agli investimenti in software: in questo caso la percentuale è pari al 15%, con un limite massimo fissato a 700.000 euro. Va sottolineato che, differentemente da quanto accadeva con il regime superammortamento – iperammortamento, gli investimenti in software sono agevolabili a prescindere dalla presenza di acquisti di beni materiali.

Infine, c’è la terza tipologia di agevolazione, con un credito d’imposta del 6% per l’acquisto di beni strumentali. Restano però esclusi i mezzi di trasporto, i beni con coefficiente di ammortamento inferiore al 6,5%, i beni gratuitamente devolvibili e, infine, i beni a tariffa relativi a settori dell’energia, dell’acqua, dei trasporti e via dicendo.

 

Nuove opportunità per le aziende di industria e manifattura

Queste nuove agevolazioni per gli investimenti in beni strumentali danno linfa vitale alle imprese italiane, soprattutto per quelle attive nell’industria e nella manifattura, settori in cui la digitalizzazione è ormai un processo inarrestabile quanto indispensabile.

Per rimanere competitive e per salvaguardare la produttività, queste imprese devono muoversi in due direzioni: da una parte, devono far leva sul proprio know-how distintivo e sulla propria lunga esperienza – senza dimenticare che l’Italia è la seconda potenza industriale in Europa; dall’altra, devono sfruttare al meglio le agevolazioni calate dall’alto, per aggiornarsi e restare dinamiche, confermando ancora una volta la propria eccellenza.

 

Fonte: AziendaDigitale.it

Coronavirus, il malware arriva nelle mail e su siti: l’allarme

Si sta diffondendo velocemente nel mondo una campagna di mail con malware Emotet che sfrutta la paura di massa sul Coronavirus. I primi rapporti (Ibm, Kaspersky, Mimecast, KnowBe) ne segnalano la presenza in Giappone e, da qualche ora, anche nel Regno Unito e negli Stati Uniti.

Al contempo, dice l’informatico forense Paolo dal Checco, “riscontro la nascita di molti siti che dicono di avere informazioni sul Coronavirus ma contengono pericolosi malware”.

Emotet via mail sfrutta il Coronavirus

Le mail si presentano con un mittente istituzionale, di un’organizzazione pubblica sulla salute; dice di contenere informazioni utili sul Coronavirus: la sua mappa di infezione, consigli su come non ammalarsi, ecc. Rinvia a un allegato, testuale o video, per avere tutte le informazioni ma qui si annida il malware Emotet. I formati dell’allegato finora riscontrati sono file pdf, mp4 e docx. Come sempre accade con Emotet, il malware viene lanciato all’apertura e prova a installarsi se l’utente ha attivato le macro sul proprio programma associato.

Non è ancora chiaro se gli attuali antivirus sono in grado di bloccare la minaccia. Al momento non risulterebbero esempi di questa campagna in Italia, “ma credo sia solo questione di tempo perché attacchi anche l’Italia – dice Dal Checco. La minaccia si sta infatti avvicinando, sull’onda della crescente psicosi del Coronavirus, colpendo prima i Paesi più vicini alla Cina e poi via via altri”.

Insomma, laddove arriva il virus biologico – ora anche in Italia, come noto – arriva poi anche quello informatico, perché questo sfrutta la paura delle persone, che le può spingere a cliccare in modo frettoloso su allegati arrivati per mail.

Che danni fa Emotet?

Emotet è un banking trojan modulare e mutevole che si è guadagnato di recente il podio tra i malware più aggressivi e pericolosi degli ultimi anni. Cerca di rubare le credenziali bancarie presenti in memoria sul pc, le password e poi di trasformare il computer vittima in uno strumento per diffondersi ulteriormente, mandando mail simili ad altri destinatari (anche trovati nella rubrica dell’utente).

I consigli contro il malware che sfrutta il Coronavirus

Il consiglio per difendersi, oltre a quello di avere un antivirus aggiornato, è non aprire né cliccare su allegati presenti in email inattese, soprattutto se provenienti da mittenti con cui non avevamo mai avuto un rapporto; non importa se la mail si presenta con un mittente autorevole, di un’azienda nota o di un’istituzione. Anche il testo può essere confezionato, ormai, per essere molto credibile.

Se si ha qualche dubbio sull’autenticità di un allegato e lo si vuole comunque aprire, è possibile farlo in modo sicuro su programmi di visualizzazione documenti online come ViewDocsOnline o farli analizzare ad antivirus online come VirusTotal o Hybrid-Analysis.

Una minaccia multiforme

“Il fine di chi produce malware è incentivare la loro diffusione, per poter fruire dei vantaggi dei PC infettati, in termini economici ma anche tecnici: ogni computer compromesso può infatti essere utilizzato per sferrare attacchi e quindi, indirettamente, portare ulteriori benefici”, commenta dal Checco.

“In questo periodo stanno circolando diverse email che invitano ignare vittime a cliccare su link o aprire allegati, per fortuna gli antivirus spesso riescono a bloccare gli allegati e rendere inoffensivi i link, ma non va sottovalutato un altro fenomeno. Ogni giorno, da quando è scoppiata l’allerta per il Coronavirus, vengono registrati centinaia di domini contenenti la parola coronavirus. Dal monitoraggio che ho in corso proprio su questo fenomeno, posso categorizzare questi domini in siti informativi, siti che vendono mascherine, siti che propongono fantomatiche cure ma anche siti che possono potenzialmente distribuire malware e ai quali è necessario prestare particolare attenzione”.

 

Fonte: CyberSecurity360

Digitalizzazione e consulenza: quale futuro per il commercialista?

Quale sarà il futuro della professione del commercialista?

Negli ultimi anni questa è stata una domanda ricorrente. Tutto è iniziato nel 2015, con l’introduzione del 730 precompilato e, in particolare, con le successive aggiunte di detrazioni, di spese e di ulteriori specifiche, che hanno portato ad un 730 praticamente completo, con soltanto un numero ristretto di modifiche da apportare.

Il secondo grande passo è stato fatto più di recente, con l’introduzione della fattura elettronica obbligatoria. Certo, sotto alcuni aspetti questo meccanismo può essere ancora aggiustato dall’Agenzia delle Entrate, e la gestione dei rapporti con il Sistema di Interscambio continua ancora oggi a chiamare in causa la figura del commercialista. Ma il sentiero è tracciato: si è sempre più vicini a una gestione potenzialmente autonoma delle fatture elettroniche e dei bilanci aziendali, grazie soprattutto allo sviluppo di software gestionali sempre più completi.

Ecco quindi che il quesito circa il futuro del commercialista diventa centrale, e scottante. Si tratta forse di una professione destinata a scomparire nel tempo? I progressivi automatismi messi in campo dall’Agenzia delle Entrate porteranno a un veloce declino degli Studi?

La risposta è no: la professione del commercialista è destinata a durare a lungo. A patto, ovviamente, di evolversi.

Come deve essere il commercialista del futuro?

In molti l’hanno già definito “Commercialista 2.0”. Ma quali sono, allora, le direzioni concrete verso cui il commercialista deve evolversi?

Il timore dei professionisti è quello di doversi trasformare in qualcosa che ha poco a che fare con l’attività contabile tradizionale, con l’obbligo di diventare una figura a metà strada tra un consulente d’azienda e un esperto di digital trasformation. Non è esattamente così – anche se sì, questi elementi saranno entrambi fondamentali nel futuro del commercialista.

Il commercialista diventerà un consulente?

Il commercialista del futuro non sarà un puro consulente ma metterà a disposizione le proprie competenze per supportare gli amministratori aziendali nel prendere le migliori decisioni per quanto riguarda il controllo di gestione.

Si tratta certamente di un’opportunità da non perdere, che non snatura il ruolo del commercialista come esperto strategico in aspetti contabili, finanziari e giuridici nella gestione economica dell’azienda.

Nonostante sia possibile che il commercialista non possieda tutte le conoscenze tecniche necessarie per offrire un servizio completo ai propri clienti, questo non rappresenta un limite insormontabile. Esiste infatti la possibilità di ampliare le competenze dello Studio tramite l’inserimento di nuove figure professionali, o anche semplicemente esternalizzando determinati servizi. L’importante è muoversi seguendo una precisa visione strategica, sfruttando software innovativi per organizzare al meglio i dati dei clienti ed eseguire le analisi necessarie in modo semplice e veloce.

Il rapporto tra commercialista e digitalizzazione

La chiave dell’evoluzione digitale del commercialista sta nella sua capacità di utilizzare al meglio i dati disponibili per fornire ai clienti le giuste risposte. Questo non vuol dire che gli Studi del futuro debbano trasformarsi in agenzie informatiche, avvalendosi di competenze digitali di alto livello, dovendo cercare nuove risorse non più nelle facoltà di economia ma in quelle di informatica. Assolutamente no: con i gestionali contabili e fiscali di ultima generazione è infatti possibile importare ed elaborare dati in modo automatico, semplice e rapido.

Pertanto sì, esiste certamente un dinamico e brillante futuro per il commercialista: l’importante è evolversi affidandosi a soluzioni software innovative!

 

Fonte: ProfessionistaDigitale.it

Chiavette USB infette: ecco come proteggersi adottando le giuste regole di sicurezza

Le chiavette USB infette rappresentano un problema serio, ma spesso sottovalutato, che le aziende in particolare dovrebbero affrontare e risolvere con attenzione per non mettere a repentaglio il patrimonio informativo aziendale.

Chiavette USB infette: le problematiche

Sicuramente nulla è più comodo di avere con sé i file e i dati che ci necessitano, poterli trasportare con facilità in un oggetto piccolo quanto un portachiavi. Questa caratteristica, però, non sempre rappresenta un vantaggio, ma anzi porta comporta diversi rischi.

La prima problematica a cui penso è dovuta al fatto che, per loro natura, le pendrive USB vengono connesse a differenti computer: ciò le rende un ottimo mezzo di trasporto per la diffusione di malwarespyware e rootkit.

Abbiamo certamente notato che, collegando una chiavetta USB ad un PC, quando questa viene riconosciuta dal sistema operativo, il suo contenuto viene mostrato a schermo; nei sistemi più moderni ci viene quantomeno chiesto di scegliere quale azione intraprendere in merito. In ogni caso è fuor di dubbio che la pendrive viene “letta” dal sistema prima ancora che ci venga mostrato il contenuto.

Di norma i sistemi Microsoft vanno a verificare l’eventuale presenza di un file chiamato Autorun.inf che contiene i comandi atti ad eseguire in automatico i contenuti presenti nella chiavetta USB.

Questa funzionalità può essere utilizzata da malintenzionati per installare ed eseguire sul PC delle loro vittime un qualsivoglia codice malevolo, con conseguenze spesso disastrose.

Volendo evitare questo tipo di rischio è sufficiente, ad esempio su Windows 10, aprire le impostazioni del sistema operativo (dall’icona di Windows in basso a sinistra nella barra delle applicazioni premere sull’icona dell’ingranaggio e poi accedere alla sezione Dispositivi) e da lì disabilitare la funzione di autorun.

Problema risolto? Proprio no.

Software per proteggersi dalle chiavette USB infette

Autorun a parte, copiare file e informazioni da un PC ad un altro comporta, in ogni caso, il rischio di diffondere virus e altro se uno dei computer coinvolti nello scambio dati, o a cui è stata connessa la chiavetta USB, è infetto.

Per questo motivo è d’obbligo avere installato un buon antivirus che, tra le altre cose, al collegamento di una memoria di massa USB, ne esegua la scansione. Molti dei produttori di antivirus, inoltre, propongono gratuitamente un software che “vaccina” le chiavette USB infette, prevenendo l’utilizzo dell’autorun a scopo malevolo.

Un programma che utilizzo a protezione delle chiavette USB infette è USB Security, che consente di criptare con molta semplicità una pendrive utilizzando un pratico wizard. Si riesce così ad ottenere una pendrive con uno spazio di archiviazione in chiaro e uno protetto, quest’ultimo attivabile cliccando sul file eseguibile contenuto all’interno della stessa chiavetta USB e inserendo la keyword di decrittazione.

Chiavette USB infette e furto di dati, alla luce del GDPR

Prendiamo ora in considerazione altre problematiche correlate alle chiavette USB infette.

Poter trasportare molti dati in un oggettino veramente piccolo, come detto, è fantastico; aumenta però a dismisura la quantità di dati che andremo a diffondere in caso di perdita o furto della pendrive.

Immagazzinare e trasportare dati aziendali, dati dei clienti, personali o particolari (dati sensibili), utilizzando questi dispositivi, ci sottopone ad un rischio tutt’altro che accettabile; non solo per il danno diretto che potremmo avere dal perdere disponibilità di quanto depositato all’interno del drive USB, ma anche dal fatto che quanto contenuto potrebbe finire in mani sbagliate o essere semplicemente diffuso.

Teniamo conto che anche la nuova normativa europea sulla protezione dei dati, il GDPR, valuta l’utilizzo delle chiavette USB, ma anche di tutti i dispositivi facilmente sottraibili, soggetti a rottura accidentale o semplicemente soggetti ad essere “persi” (includendo anche i notebook): un comportamento palesemente in contrasto con una policy corretta di protezione dati, se non si applicano accorgimenti idonei.

La prima azione che si potrebbe compiere, per essere “proattivi” e scongiurare una parte di quanto sopra detto, potrebbe essere il criptare il contenuto delle chiavette USB, come si potrebbe fare sull’hard disk di un notebook.

Per farlo, si può ricorrere direttamente al tool Bitlocker integrato in alcune versioni di Windows 10 oppure ricorrere ad altri software di terze parti come il famoso VeraCrypt.

Soluzioni alternative ai dispositivi USB

Quanto sopra suggerito a parte, potrebbe essere una buona idea (e molte aziende lo fanno) non utilizzare affatto gli usb drive, affidandosi piuttosto a sistemi in cloud per rendere disponibili i dati necessari al di fuori dell’azienda, permettendo così un livello di controllo e protezione centralizzato e superiore.

In realtà, la possibilità di accesso fisico alle porte USB delle macchine in uso comporta di per se un problema non trascurabile di sicurezza: qualora il BIOS non fosse correttamente impostato e magari protetto con password, risulterebbe sempre possibile avviare un PC tramite dispositivo USB e magari accedere ai suoi contenuti (esistono software installabili su pendrive che “scavalcano” le password di Windows).

Il rischio su sistemi non Microsoft è in qualche modo ridotto, anche se ciò non vuol dire che si possa trascurare queste criticità.

Nei sistemi Linux e Mac OS, una gran parte dei virus non riesce ad agire, semplicemente perché strutturati per aggredire il sistema attualmente più diffuso, cioè Windows.

Esistono comunque diversi virus che aggrediscono questi sistemi operativi ed alcuni di essi sono già stati trasmessi tramite memorie USB.

Vorrei menzionare alcuni altri aspetti che andrebbero tenuti in conto nella strutturazione e implementazione di best practice relative all’utilizzo delle periferiche USB.

Un aspetto da non trascurare è quello della cancellazione definitiva dei dati da un supporto USB; non è sempre semplice ed immediato rendere permanente la cancellazione dei dati da una pendrive, salvo adottando tecniche di wiping, che comunque non si adattano bene a questo tipo di supporti, andando probabilmente a diminuire la loro esistenza vitale.

Il consiglio, per un utilizzo in azienda, è di adottare criteri di USB Hygiene a partire dall’evitare di adottare l’uso delle pendrive, se non criptate; utilizzare sistemi cloud al loro posto e non sottovalutare l’importanza delle impostazioni di sicurezza dei PC in uso (impostare una password sul BIOS setup, disabilitare il boot da USB, disabilitare l’autorun e utilizzare un buon antivirus).

Conclusioni

È utile, per concludere, fare un cenno ad un recente Proof of Concept (PoC) eseguito da alcuni ricercatori che sono riusciti ad hackerare il firmware di diverse periferiche USB (si parla di tastiere, auricolari e via dicendo, quindi non di memorie), in cui si è riusciti a far eseguire codice malevolo nei computer bersaglio a partire appunto da normali dispositivi USB, non intesi a contenere dati.

Su questo tipo di attacchi, attualmente non esiste una reale difesa, tranne il selezionare le fonti di approvvigionamento di periferiche USB ed il vietare l’utilizzo e la connessione ai PC aziendali di componenti USB non preventivamente autorizzati.

 

 

Fonte: CyberSecurity360

GDPR e fotografia, ecco tutte le regole per non sbagliare

GDPR e fotografia, un connubio che è bene approfondire. Lo scontro tra i fotografi che cercano di catturare le vite della gente comune per trasformarle in opere d’arte e le persone che, vedendosi protagoniste di quelle foto, sentono violata la loro privacy, è esistito sin dalla nascita della street photography. La questione però assume ulteriore rilevanza alla luce del GDPR. Vediamo le regole per non sbagliare.

GDPR e fotografia, un contesto confuso

L’intento principale della street photography non è quello di fotografare questo o quel soggetto in particolare, ma imprigionare per sempre un comportamento umano e scene di vita quotidiana in immagini mozzafiato, sebbene comunque in passato fosse più semplice per un fotografo trovare il consenso della gente che davanti ad uno scatto notevole si mostrava anche lusingata per il solo fatto di essere stata selezionata tra tanti ed essere diventata protagonista di una bella immagine fotografica che poi veniva magari anche pubblicata su qualche rivista o giornale o diventava un quadro famoso.

Oggi le cose non stanno più così, le persone contente di essere il soggetto di una fotografia senza chiedere nulla in cambio, si contano sulla punta delle dita, soprattutto da quando sempre più gente ha acquisito la consapevolezza del fatto che, per legge, se la propria immagine viene sfruttata in termini di profitto altrui, anche il protagonista della fotografia può guadagnarci.

A complicare ulteriormente le cose, è arrivata la rete internet, i siti web e i social network; con l’avvento dei nuovi canali digitali e la legge sulla privacy che ha inquadrato l’immagine del volto tra i dati personali, infatti il timore della gente comune di veder violata la propria riservatezza quando la propria faccia appare in un’immagine fotografica che potrebbe essere diffusa online, si è moltiplicato, considerando che ad esso si è aggiunto anche quello connesso alla violazione dei dati personali e ai furti di identità.

Questa situazione particolarmente complessa ha generato confusione anche tra i fotografi di strada in merito a ciò che è consentito e non consentito dalla legge e ai casi in cui è doveroso chiedere il consenso per immortalare qualcuno in uno scatto fotografico.

Il consenso a ritrarre persone comuni

Partiamo col dire che in generale fotografare persone in luoghi completamente pubblici, è legale nella maggior parte dei Paesi che tutelano la libertà di espressione e quella giornalistica.

Un individuo che si sta consapevolmente esponendo in pubblico non può vantare quella che viene definita una “ragionevole aspettativa di privacy”, poi ci sono comunque gli interessi dei privati da bilanciare e quindi esistono anche limiti, ma non allo scatto di per sé, bensì al modo in cui le immagini delle persone possono essere sfruttate, così un fotografo, il quale intenda in Italia ritrarre una persona comune in spazi pubblici o aperti al pubblico e utilizzare quell’immagine per pubblicarla, metterla in commercio, esporla in pubblico, deve necessariamente domandare, ai sensi dell’art. 96 della Legge sul diritto d’autore, l’autorizzazione al soggetto protagonista della fotografia, salvo alcuni casi specificamente individuati dalla legge. L’articolo 96 della L. n. 644/1943 recita, infatti: “Il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa, salve le disposizioni dell’articolo 97″.

Questa la regola, alla quale sono poste delle deroghe previste dall’art. 97 della legge sul diritto d’autore, il quale precisa che il consenso della persona ritratta non è necessario quando:

  • la riproduzione dell’immagine è giustificata dalla notorietà o dall’ufficio pubblico coperto,
  • da necessità di giustizia o di polizia, da scopi scientifici, didattici o culturali,
  • o quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico.

Restando inteso che il ritratto non può tuttavia essere esposto o messo in commercio, quando l’esposizione o messa in commercio rechi pregiudizio all’onore, alla reputazione od anche al decoro della persona ritrattata.

La legge sul diritto d’autore richiede dunque in via generale il consenso quando la persona viene ritratta (quando dunque è il soggetto della fotografia) se il fine del ritratto è l’esposizione in pubblico, lo sfruttamento commerciale e/o la riproduzione, a meno che non ricorra una delle ipotesi di cui al secondo comma del medesimo articolo.

La nozione di messa in commercio è abbastanza estesa, ma si può dire che l’uso commerciale possa includere la commercializzazione dell’immagine, la vendita per scopi di promozione di un prodotto, servizio o marchio, la promozione della propria attività.

L’art. 10 del Codice Civile tutela sempre l’immagine di una persona, ma ha una portata più estesa rispetto a quella dell’art. 96 della LDA, esso, infatti, comprende non solo il ritratto di una persona fisica, ma anche quei casi in cui, pur non trattandosi di ritratto, la persona è comunque presente nell’immagine fotografica. Questo può accadere ad esempio quando soggetto della fotografia è l’ambiente o il contesto e la persona che pure è riconoscibile, appare nello sfondo o comunque come elemento secondario.

Ebbene, secondo l’art. 10 del Codice Civile, la persona, i genitori, il coniuge o i figli possono opporsi all’esposizione o alla pubblicazione dell’immagine fotografica in cui sono identificabili, chiedendo all’autorità giudiziaria che cessi l’abuso, quando tale esposizione o la pubblicazione siano compiute fuori dai casi consentiti dalla legge ovvero quando tali azioni rechino pregiudizio, restando salvo il risarcimento dei danni.

Dunque, tralasciando i casi vietati di pregiudizio o violazione dell’onore o decoro, se soggetto della fotografia scattata in ambienti pubblici è la persona e l’immagine deve essere esposta o comunque sfruttata a livello commerciale (ad esempio per fini di pubblicità), è sempre doveroso chiedere il consenso all’uso di quella fotografia (consenso che può essere ritirato in qualsiasi momento, stante la natura inalienabile del diritto che ha ad oggetto) ed è opportuno chiederlo per iscritto sul posto se si prevede di utilizzare la foto commercialmente, visto che reperire la persona in un secondo momento, diverrebbe complicato; se soggetto della fotografia è la persona e il fine (purché non rechi pregiudizio al decoro della persona ritratta), è quello giornalistico, didattico o culturale, in cui potrebbe rientrare anche la libertà di espressione artistica, il fotografo può ritrarre la persona e usare l’immagine senza consenso, sarà poi la stessa ad intervenire se vuole che cessi l’utilizzo, motivando che tale impiego è fuori dai casi concessi dalla legge o che con esso sia stato procurato nocumento al soggetto fotografato.

L’immagine fotografica come dato personale

L’immagine fotografica di una persona è anche un dato personale, pertanto, quando si ritraggono persone in strada o in ambienti pubblici, occorre considerare altresì la normativa in materia di trattamento dati personali, dunque, nel caso del ritratto, oltre a domandare ed ottenere il consenso della persona ritratta (a meno che non ci si trovi in una delle situazioni previste dall’art. 97 della LDA), il fotografo, salvo il caso in cui la finalità d’utilizzo sia di natura privata (ad esempio lo scatto diventi un quadro di casa sua), è tenuto a rendere anche l’informativa privacy ai sensi dell’art. 13 del Regolamento n. 679/2016 e in relazione alla finalità d’uso potrebbe dover chiedere ed ottenere eventualmente il consenso dell’interessato come base giuridica (consenso questo che, si badi, è diverso da quello che richiede la legge sul diritto d’autore).

Ad ogni modo, mentre la legge sul diritto d’autore è più attenta al lato creativo e lascia libero il fotografo di chiedere il consenso (ex art. 96 LDA) anche in un momento successivo allo scatto, poiché l’autorizzazione si riferisce in verità all’uso dell’immagine e non alla fase di scatto di per sè; la legge in materia di trattamento di dati personali obbliga, in generale, a rendere l’informativa prima della raccolta del dato. Si comprende bene come una tale imposizione per il fotografo di strada abituato a rubare l’istante giusto per realizzare uno scatto indimenticabile, diventi un incubo.

Sin qui comunque, parlando di GDPR e fotografia, la situazione appare la seguente: se intendo ritrarre una persona comune in strada perché poi voglio esporre quell’immagine, pubblicarla o riprodurla o commercializzarla, devo chiedere al soggetto ritratto l’autorizzazione all’uso della sua immagine e devo rendere, in teoria prima di scattare la fotografia, l’informativa ex art. 13 del Regolamento n. 679/2016, considerando che l’immagine del volto (o comunque di una parte del corpo che consenta di identificare univocamente una persona fisica) è un dato personale, in base alla definizione riportata all’art. 4 del GDPR perché consente indirettamente di identificare una persona fisica.

Però, se il mio scatto è stato effettuato in occasione di un evento di interesse pubblico, fatti, avvenimenti o cerimonie svoltesi in pubblico, come ad esempio una manifestazione, la celebrazione del patrono di una città, una commemorazione, il consenso richiesto dalla legge sul diritto d’autore (la “release” volendo utilizzare l’usuale termine inglese con cui viene identificato il consenso in fotografia), non è necessario, così come non è necessario se sto fotografando persone comuni in ambienti pubblici per fini di giustizia, culturali, formativi, giornalistici o scientifici.

Questo vale, ad esempio, se ritraggo dei ciclisti in strada perché ho intenzione di inserire quell’immagine a corredo di un articolo sugli sport all’aperto, oppure se fotografo degli ambientalisti intenti a salvare una tartaruga per sensibilizzare i giovani in un corso sulla protezione degli animali o semplicemente quando fotografo una moltitudine di persone e inserisco questo scatto nel mio book professionale.

Tale deroga sembrerebbe non operare tuttavia in relazione all’informativa privacy, che comunque dovrebbe essere resa al momento dell’acquisizione del dato anche eventualmente in forma orale. Ciò significa che, anche in circostanze come eventi pubblici, cerimonie o finalità culturali o formative, l’interessato (ossia il soggetto che potrà essere soggetto della fotografia) deve essere debitamente informato della finalità e modalità di trattamento del dato personale; in tali situazioni, non vi sarebbe necessità di chiedere il consenso al trattamento dei dati personali (che è cosa diversa dal consenso ex art. 96 della LDA), in quanto la base giuridica potrebbe essere individuata nel legittimo interesse del fotografo (art. 6 lett. f GDPR).

Come in diverse occasioni precisato dal garante, l’informativa può essere resa in circostanze particolari anche con cartelli riportanti icone e può trattarsi di un’informativa breve che rimandi ad una più completa. Ad esempio, in prossimità del luogo in cui avverrà l’evento pubblico, è opportuno affiggere dei cartelli con cui si informa il pubblico della presenza di uno o più fotografi, rimandando magari all’informativa completa che potrà essere inserita sul sito web di presentazione dell’evento.

Quando la persona è un elemento secondario della fotografia

Fino a qui abbiamo analizzato l’ipotesi in cui il fotografo intenda ritrarre una persona comune in uno spazio pubblico o aperto al pubblico o comunque nei casi di eventi o cerimonie pubbliche o finalità didattiche, di giustizia, culturali. In tali casi, trattandosi generalmente di eventi organizzati, risulta, di certo, più agevole informare i partecipanti della possibile presenza di un fotografo, ma, poniamo il caso che la fotografia non sia un ritratto e non siamo nell’ambito di un evento pubblico o di una celebrazione, ma in strada e il fotografo abbia inteso ritrarre il contesto e che nel contesto la persona o le persone vi siano rientrate come elemento diciamo secondario, ma siano comunque riconoscibili.

In tali circostanze, cosa dovrà fare il fotografo di strada? Dovrà comunque chiedere l’autorizzazione ex art. 96 LDA? Dovrà rendere l’informativa alla persona fisica fotografata sebbene, in verità, la fotografia scattata non sia di per sè il ritratto della persona? Come bilanciare la fotografia di strada con la privacy? Come bilanciare l’espressione artistica con il diritto alla protezione dei propri dati personali?

Innanzitutto, chiariamo che quando le fotografie vengono eseguite in luoghi aperti al pubblico o pubblici, se la persona fisica è un elemento secondario della fotografia (quindi non si tratta di un ritratto fotografico), circostanza che, come detto precedentemente, occorre accertare caso per caso, analizzando la singola e specifica immagine fotografica e che in molti casi risulta di difficile individuazione, non siamo nell’ambito del ritratto.

L’art. 96 della LDA pertanto non dovrebbe operare e il consenso del soggetto che rientra nella foto come elemento, in un certo senso, secondario (o meglio a corredo di altro) non sarebbe necessario: l’essenza della fotografia è, in tali casi, il contesto in cui essa è stata scattata e non la persona fisica ripresa. Occorre però valutare anche la finalità d’utilizzo dell’immagine fotografica e, dunque, se la fotografia è stata scattata come pura espressione artistica o per finalità giornalistiche o culturali, o se diversamente verrà sfruttata per fini commerciali, pubblicitari o se deve essere riprodotta.

È molto probabile che se un’immagine fotografica nella quale la persona, sebbene non sia il soggetto principale della fotografia, sia comunque identificabile, viene sfruttata commercialmente o diffusa senza aver richiesto il consenso e senza aver reso l’informativa privacy, è sicuro che, se la portata della diffusione dell’immagine è estesa e il fotografato ne prende atto, al fotografo arriverà una lettera con cui gli si chiede di cessare l’utilizzo dell’immagine o di versare un compenso per l’uso.

Sarà poi il giudice a valutare la situazione e decidere sul caso di specie. Per quanto riguarda invece la disciplina in materia di trattamento di dati personali, posto che il GDPR è un regolamento e come tale porta il legislatore e la giurisprudenza nazionale a disapplicare la normativa interna che vi contravviene, occorre precisare che lo stesso regolamento ricorda che la disciplina in materia di trattamento dati personali è al servizio dell’uomo e deve essere bilanciata con la libertà di espressione e di informazione; all’art. 85 consente agli Stati membri di conciliare il diritto alla protezione dei dati personali ai sensi del regolamento con il diritto alla libertà di espressione e di informazione, libertà di espressione in cui va inclusa certamente anche l’”espressione artistica”, di cui fa parte senza ombra di dubbio la fotografia di strada.

Sul punto, recentemente, la Corte costituzionale tedesca ha stabilito che la fotografia di strada è protetta dalla costituzione perché è una forma d’arte.

GDPR e fotografia, la finalità d’uso

In Italia non esiste comunque una legge che riconosca tale specifico tipo di fotografia come forma d’arte. Allora anche per orientarsi nella disciplina in materia di dati personali, occorre focalizzarsi sulla finalità d’uso dello scatto fotografico, tenendo presente che se il fine non è informativo o legato alla sola espressione artistica del fotografo, è sempre opportuno informare l’interessato anche verbalmente della finalità e della modalità di trattamento, rimandandolo eventualmente al proprio sito web per maggiori informazioni.

Si comprende bene come la questione sia particolarmente complessa e come sia difficile fornire delle regole generali, ogni situazione deve essere analizzata specificamente, con essa ogni inquadratura, ogni finalità d’uso dell’immagine, ogni contesto in cui lo shot fotografico viene eseguito va esaminato nel dettaglio per capire come bilanciare interessi contrastanti arrecando il minor pregiudizio ad entrambe le parti interessate.

Ovviamente, accanto al dato legale, vi è poi quello etico, ciascuno sceglierà la propria linea corretta da seguire, così alcuni fotograferanno le cose più imbarazzanti che accadono alle persone, rischiando, nella migliore delle ipotesi, contestazioni e interdizioni o richieste di risarcimento del danno, mentre altri staranno lontani da tali scene.

In ogni caso, chiedere al soggetto che si intende riprendere se gli si può scattare una fotografia, chiarendo come sarà utilizzata e perché, è sempre buona norma, anche magari dopo averla già scattata, se si vuole salvare il momento.

Tenendo presente che è il modo in cui trattiamo le persone che fotografiamo che può aiutare a superare qualsiasi questione etica e dubbio legale, in fondo chi fotografa, lo fa perché è attratto da una persona o da una scena e se il soggetto fotografato viene reso partecipe dell’emozione che ha provocato nel professionista, probabilmente non si opporrà allo scatto e all’uso di quell’immagine e se poi il diniego appare, pazienza, ci sarà sempre uno scenario più interessante da immortalare.

 

Fonte: CyberSecurity360

Fine supporto a Windows 7, rischio ransomware per i PC aziendali: i consigli per metterli in sicurezza

Sono ancora centinaia di milioni i PC con Windows 7 che, dallo scorso 14 gennaio, non potranno più essere aggiornati in quanto Microsoft ha interrotto il supporto ufficiale al suo sistema operativo. Ecco come mettere in sicurezza (almeno momentaneamente) i sistemi aziendali anche senza cambiare l’hardware o aggiornarli a Windows 10

Dallo scorso 14 gennaio 2020 Microsoft ha posto fine al supporto tecnico a Windows 7, una delle versioni del sistema operativo più diffuse e ancora molto utilizzata soprattutto in ambito aziendale e nelle grandi organizzazioni pubbliche e private.

Questo significa che non saranno più rilasciati aggiornamenti sia per i sistemi client Windows 7 sia per le versioni Windows Server 2008 e Windows Server 2008 R2, che di conseguenza risulteranno maggiormente vulnerabili ad attacchi informatici, soprattutto quelli condotti mediante ransomware.

Cosa succede ora?

La fine del supporto tecnico conclude così il ciclo di vita di Windows 7 che, come già anticipato da Microsoft al momento del rilascio il 22 ottobre 2009, era stato fissato a 10 anni (analogamente a tutti gli altri sistemi operativi).

È bene precisare, a scanso di equivoci, che Windows 7 non smetterà di funzionare, né tantomeno le sue funzionalità verranno limitate: semmai potrebbe venir meno la compatibilità di molte applicazioni di uso comune in quanto le software house potrebbero, a loro volta, interrompere lo sviluppo di driver e librerie specifiche per Windows 7.

Google, ad esempio, fa sapere che per il momento continuerà a supportare Chrome su Windows 7 per almeno altri 18 mesi, fino al 15 luglio 2021, dopo i quali smetterà di testare il suo browser perché diventerebbe troppo costoso tenendo conto che servirà a sempre meno utenti.

Anche per questo, le macchine su cui è ancora installata questa versione ormai obsoleta del sistema operativo potrebbero diventare facili obiettivi per i criminal hacker.

La buona notizia è che l’antivirus integrato in Windows 7, Microsoft Security Essentials, continuerà per il momento a ricevere gli aggiornamenti con le nuove definizioni antivirali anche se il motore per la scansione di nuovi virus non verrà più migliorato e potenziato.

Le soluzioni

Alla luce di quanto detto finora, qualora fossimo di fatto obbligati o decidessimo di continuare ad utilizzare Windows 7 è dunque opportuno prendere le dovute precauzioni mettendo in pratica alcune soluzioni che possono comunque tornare utili anche a tutti gli utenti delle altre versioni del sistema operativo.

Il primo consiglio è quello di sostituire al più presto i dispositivi non supportati, a spostare i dati sensibili su un dispositivo supportato e a non utilizzare le vecchie macchine con Windows 7 per attività online come l’accesso a conti bancari o ad altri account sensibili.

Per rimanere alla larga da malware e qualsiasi altra minaccia è anche altamente consigliato stare alla larga da siti Web non attendibili o insicuri come quelli che distribuiscono materiale gratuito, pirata o “per adulti”. Senza dire che siti Web attendibili (come quello della nostra banca) potrebbero da un momento all’altro impedirci l’accesso all’home banking perché troppo rischioso se effettuato utilizzando Windows 7.

L’utilizzo di un buon software antivirus o di un firewall è una valida soluzione per ridurre al minimo il rischio di un attacco informatico, ma come già detto per i browser e le altre applicazioni, anche i produttori di questi software potrebbero decidere di interromperne lo sviluppo lasciandoci di fatto con il fianco scoperto alle nuove minacce.

Qualora decidessimo di continuare ad utilizzare Windows 7, dovremmo alzare il nostro livello di attenzione ogniqualvolta riceviamo un’e-mail sospetta, ricordandoci di non cliccare mai sugli allegati ricevuti da utenti sconosciuti per evitare di rimanere vittime del phishing.

La miglior difesa contro un attacco ransomware, invece, è avere un backup di tutti i file più importanti conservato su dischi rigidi esterni o su un qualche account sul cloud. Dobbiamo quindi ricordarci di effettuare backup giornalieri su dispositivi di memorizzazione che non siano altrimenti collegati al nostro PC, così come potrebbe essere una buona idea tenere anche sempre a portata di mano un’immagine del disco corrente. Entrambe le soluzioni potrebbero risparmiarci il pagamento del riscatto (che tra l’altro è un’azione da mettere in pratica solo in casi estremi) per rientrare in possesso dei nostri documenti: basta infatti formattare l’unità disco infetta e ripristinare il sistema dalla copia di backup.

Aggiornamento da Windows 7 a Windows 10

C’è da dire, comunque, che l’utilizzo di una copia di Windows 7 non più aggiornata non può rappresentare una valida soluzione a lungo termine. E soprattutto è una pessima idea se messa in pratica in ambito aziendale e produttivo.

Il modo più semplice per mettere in sicurezza il patrimonio informativo aziendale è chiaramente quello di sostituire tutto il parco macchine su cui è installato Windows 7. In questo caso, però, soprattutto nelle PMI, potrebbe sorgere il problema di reperire i fondi necessari per procedere all’acquisto dei nuovi PC o dei nuovi server.

La soluzione alternativa, qualora la configurazione hardware delle macchine fosse sufficiente a “far girare” senza intoppi un nuovo sistema operativo, potrebbe essere quella di effettuare l’upgrade da Windows 7 a Windows 10. In questo caso, ovviamente, occorre avere una licenza valida per installare il nuovo sistema operativo (è possibile acquistare una copia sullo store Microsoft).

Per verificare la fattibilità di un aggiornamento, è utile consultare la pagina Microsoft in cui sono elencate le specifiche e i requisiti di sistema dei computer Windows 10. Qualora fosse possibile procedere con l’upgrade, ricordiamoci di effettuare prima un backup di tutti i nostri dati più importanti: la procedura di aggiornamento a Windows 10 è “conservativa”, ma in certi casi la prudenza non è mai troppa.

Così come è importante verificare anche la compatibilità delle applicazioni che vengono utilizzate quotidianamente per lavoro: il rischio di ritrovarci, ad esempio, con il gestionale inutilizzabile non è poi così raro. Meglio effettuare prima una semplice telefonata allo sviluppatore per chiedere la disponibilità di una eventuale versione di aggiornamento.

Effettuate tutte le verifiche del caso e completato il backup dei dati, possiamo finalmente procedere con l’aggiornamento a Windows 10. In questa procedura ci torna utile l’apposito strumento di installazione del sistema operativo scaricabile gratuitamente dal sito Microsoft. Ecco come utilizzarlo:

1. colleghiamoci alla pagina Web Scarica Windows 10 e clicchiamo sul pulsante Scarica ora lo strumento;
2. selezioniamo Esegui e verifichiamo di utilizzare lo strumento con permessi di amministratore;
3. nella pagina Condizioni di licenza selezioniamo Accetta per accettare le condizioni d’uso dello strumento;
4. in Scegliere l’operazione da effettuare selezioniamo Aggiorna il PC ora e clicchiamo su Avanti;
5. dopo il download e l’installazione, questo strumento mostrerà a video i passaggi necessari per configurare Windows 10 sul PC. È importante sottolineare che sono disponibili tutte le edizioni di Windows 10 ad eccezione della versione Enterprise;
6. una volta che Windows 10 è pronto per l’installazione, verranno visualizzati un riepilogo delle opzioni scelte e un elenco di tutto ciò che sarà mantenuto con l’aggiornamento. Selezioniamo Cambia elementi da mantenere per scegliere tra le opzioni Mantieni i file e le app personali, Mantieni solo i file personali e Niente durante l’aggiornamento;
7. salviamo i documenti su cui stavamo lavorando, chiudi tutte le finestre delle applicazioni aperte e clicchiamo su Installa;
8. la procedura di installazione di Windows 10 potrebbe richiedere qualche minuto. Durante il processo il PC verrà riavviato più volte, ma non bisogna mai spegnerlo.

Al termine dell’installazione, per verificare che tutto sia andato per il verso giusto, possiamo verificare l’effettiva attivazione della licenza di Windows 10 accedendo al menu Impostazioni/Aggiornamento e sicurezza/Attivazione.

 

Fonte: CyberSecurity360

Proteggere app e dati senza perdere agilità e produttività del lavoro mobile

Lo smart working è un’opportunità per dipendenti ed aziende, ma senza le dovute misure di sicurezza per i dispositivi mobili può rappresentare un rischio rilevante per la sicurezza dei dati. Un tema che va affrontato e gestito in modo appropriato con le piattaforme di Enterprise Mobility Management.

Il lavoro sta radicalmente cambiando: cambiano le modalità organizzative delle imprese e delle organizzazioni e cambia il modo in cui viene svolto dalle persone.

Le professioni sono sempre meno caratterizzate dalla necessità di disporre di postazioni fisse e diventano sempre più “agili”. I dipendenti, grazie al lavoro in mobilità, sono in grado di migliorare le proprie prestazioni, gestendo con più indipendenza i propri ritmi e i propri tempi nei contesti più appropriati.

È, questa, una delle grandi opportunità della trasformazione e una bella opportunità che viene messa a disposizione dall’innovazione tecnologica. Ma non ci sono solo effetti positivi. Questa “rivoluzione” porta con sé anche una serie di nuovi rischi che devono essere analizzati e compresi a fondo dalle aziende e affrontati nel modo migliore, per tenere al sicuro i dati aziendali anche quando vengono utilizzati e condivisi attraverso queste nuove modalità di lavoro.

La soluzione nel campo dei dispositivi mobili c’è, e si chiama Enterprise Mobility Management (o EMM) e si concretizza in una piattaforma attraverso la quale i manager IT possono gestire da remoto le funzioni degli smartphone e dei tablet dei dipendenti con il duplice obiettivo di garantire sicurezza e di aumentare l’efficienza nelle attività di device management.

Il tutto grazie a un approccio e a una organizzazione dei controlli in grado di separare gli ambiti di utilizzo dei dispositivi attinenti alla sfera professionale e lavorativa, nei quali l’azienda deve poter disporre della massima visibilità, da quelli che attengono invece alla sfera privata, dove è indispensabile garantire il massimo rispetto della privacy.

I vantaggi dell’EMM per lo smart working

Se da una parte lo smart working è una nuova filosofia manageriale che restituisce alle persone flessibilità e autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare a fronte di una maggiore responsabilizzazione sui risultati, dall’altra si tratta di uno strumento che apporta un cambiamento sostanziale dal punto di vista dei confini e degli strumenti di produzione dell’azienda.

Il cosiddetto perimetro aziendale si estende dunque all’esterno dei tradizionali spazi di lavoro e gli strumenti di lavoro sono sempre più frequentemente rappresentati dai dispositivi mobili dei dipendenti. Un insieme di fattori che rendono questo “nuovo perimetro” azienda più difficile da difendere da intrusioni o minacce informatiche.

I reparti IT hanno la necessità di garantire alle proprie organizzazioni la possibilità per i dipendenti di accedere ai sistemi informativi anche da mobile, nella cornice di una strategia generale pensata per mantenere al sicuro i dati e le informazioni aziendali.

Ma nello stesso tempo l’IT deve essere nella condizione di accompagnare i lavoratori in tutte le fasi dell’attività professionale, sia nel momento in cui si svolge nell’ambito del perimetro fisico dell’impresa: dall’accesso nella sede aziendale alla prenotazione delle sale riunioni, sia nel momento in cui si configura in attività che vengono svolte all’esterno.

A rendere possibile tutto questo sono proprio le piattaforme EMM, che consentono di semplificare e automatizzare la gestione di una serie di funzionalità che prima necessitavano di autorizzazioni e passaggi burocratici causando rallentamenti e inefficienze.

La questione della sicurezza

Con un perimetro aziendale, che smartphone, tablet, PC portatili e dispositivi IoT, come già sottolineato, diventa sempre più variabile, le piattaforme di Enterprise Mobility Management permettono di gestire da remoto e a livello centralizzato tutti i questi dispositivi, con un’attenzione particolare riservata ai temi della sicurezza e della prevenzione.

Grazie a queste piattaforme è infatti possibile evitare le conseguenze di possibili comportamenti incauti da parte dei dipendenti riducendo i rischi di data breach e di altre minacce per l’azienda.

Tra le soluzioni più avanzate per affrontare e gestire queste esigenze c’è la piattaforma Knox Manage di Samsung, che garantisce anche una protezione a livello hardware.

Tra le varie funzionalità la soluzione permette di semplificare la configurazione dei dispositivi, abilita la gestione di whitelist e blacklist applicative e di procedere volte a velocizzare e semplificare le attività di installazione di aggiornamenti e patch di sicurezza senza che sia necessario l’intervento diretto dell’utente.

Allo stesso tempo Knox Manage permette di separare, con modalità diverse in funzione delle piattaforme Android Enterprise o iOS, i dati personali da quelli aziendali, che potranno contare su un importante livello di protezione grazie al fatto che sono gestiti in aree distinte da quelle dedicate all’organizzazione aziendale.

Privacy e smart working avanti di pari passo

Questa gestione “separata”, che in funzione del tipo di ambiente operativo può essere a livello di gestione di OS o a livello di applicazione, rappresenta una importante componente della risposta alle nuove sfide aperte dallo smart working dove troviamo appunto anche la dimensione della privacy.

Chi utilizza il proprio smartphone per lavorare deve poter distinguere tra l’ambito privato e quello professionale. L’azienda deve effettivamente essere nelle condizioni di accedere liberamente alle informazioni che riguardano lo specifico ambito lavorativo; deve avere la certezza che questi dati sono al sicuro anche se sono trattati su dispositivi che operano lontani dal perimetro aziendale e, non ultimo e non meno importante, deve essere nella condizione di garantire al dipendente il massimo rispetto della privacy nella certezza della completa compliance normativa.

 

Fonte: CyberSecurity360