Il tuo laptop è sbloccato sulla scrivania. La stessa password protegge la tua email aziendale e il tuo account di un servizio di streaming. L’ultimo aggiornamento di Windows lo hai rimandato per la terza settimana di fila perché “adesso ho da fare”. Non è una situazione eccezionale: è la norma in quasi tutte le aziende, dalle più grandi alle più piccole.
Il problema non è la malevolenza di chi lavora in azienda. È che nessuno ha mai spiegato, in modo concreto e senza gergo tecnico, cosa fare per proteggere i propri dati e quelli dell’azienda. Questa checklist colma quel vuoto. Non serve diventare esperti di sicurezza: bastano sei abitudini, tutte implementabili nel giro di un pomeriggio.
1. Autenticazione a due fattori: attivala su tutto ciò che conta
La password da sola non basta. Se qualcuno la ottiene, ha accesso immediato al tuo account. L’autenticazione a due fattori (2FA) aggiunge un secondo livello: anche con la password corretta, senza il secondo codice non si entra.
Per gli account aziendali, usa sempre un’app di autenticazione come Microsoft Authenticator o Google Authenticator, mai gli SMS: i codici via messaggio possono essere intercettati con tecniche relativamente accessibili. Per gli account con accesso a dati particolarmente sensibili, come l’email aziendale o il gestionale, valuta l’uso di una chiave hardware fisica (YubiKey o simili): è il metodo più robusto disponibile oggi e costa meno di 50 euro.
2. Cifra il disco del tuo laptop
Se il tuo laptop venisse rubato o smarrito, i dati sarebbero leggibili da chiunque in pochi minuti, a meno che il disco non sia cifrato. La cifratura trasforma i dati in codice illeggibile senza la chiave corretta.
Su Windows, lo strumento si chiama BitLocker ed è incluso nelle versioni Pro ed Enterprise. Su Mac, si chiama FileVault. In entrambi i casi l’attivazione richiede meno di cinque minuti e rallenta il dispositivo in modo impercettibile. Verifica che sia attivo: in molte aziende i laptop vengono consegnati senza averlo abilitato.
3. Usa un password manager
Una password robusta è lunga, casuale e diversa per ogni account. Il problema è che nessun essere umano è in grado di ricordarne decine. Il risultato pratico è che si finisce per usare varianti della stessa password ovunque, il che rende ogni account vulnerabile nel momento in cui uno di essi viene compromesso.
Un password manager genera e memorizza password complesse per ogni servizio, richiedendo all’utente di ricordare una sola password principale. I prodotti più diffusi in ambito aziendale sono Bitwarden (open source), 1Password e Keeper. Molte soluzioni Microsoft 365 Business includono già funzioni integrate di gestione credenziali.
4. VPN: quando è necessaria e quando no
Una VPN cifra il traffico tra il tuo dispositivo e internet. È utile in due situazioni precise: quando lavori da una rete pubblica (bar, hotel, aeroporto) e quando accedi a risorse interne aziendali da remoto.
Se la tua azienda ha una VPN aziendale configurata, usala ogni volta che ti connetti da fuori ufficio. Se non ce l’ha e usi spesso reti pubbliche, considera una soluzione personale come Mullvad o ProtonVPN. La VPN non è una protezione universale: non sostituisce la 2FA né la cifratura del disco, ma aggiunge un livello utile in contesti specifici.
5. Controlla i permessi delle app sul telefono
Il telefono aziendale, o il telefono personale usato per il lavoro, ha accesso a email, documenti e contatti aziendali. Molte app installate nel tempo hanno ottenuto permessi che non servono più, o che non avrebbero dovuto ottenere in primo luogo.
Dedica dieci minuti a revisionare le app installate: disinstalla quelle che non usi, controlla i permessi di quelle che tieni (microfono, fotocamera, posizione, contatti) e revoca quelli che non sono giustificati dalla funzione dell’app. Su iPhone, le impostazioni privacy sono in Impostazioni → Privacy e sicurezza. Su Android, in Impostazioni → App → Autorizzazioni.
6. Aggiornamenti: smetti di rimandare
La maggior parte degli attacchi informatici sfrutta vulnerabilità note, per le quali esiste già una patch. Il tempo medio tra la pubblicazione di una vulnerabilità e il suo sfruttamento attivo è spesso inferiore a 24 ore. Ogni aggiornamento rimandato è una finestra che rimane aperta.
Configura gli aggiornamenti automatici su tutti i dispositivi, sistema operativo e applicazioni. Se il tuo sistema di gestione IT lo consente, programma gli aggiornamenti in orari fuori lavoro in modo che non interrompano l’attività. Questa singola abitudine riduce la superficie di attacco più di qualsiasi altro strumento.
Nessuno di questi strumenti richiede competenze tecniche avanzate. Richiedono tempo, la prima volta, e poi diventano abitudini. La sicurezza informatica personale non è un tema da lasciare al reparto IT: è una responsabilità condivisa, e ogni anello debole nella catena espone l’intera azienda.
Scarica la presentazione PDF — La checklist in 6 passi per proteggere i dati aziendali, in una sintesi visiva scaricabile.
La sicurezza parte dalle persone prima ancora che dagli strumenti. Scopri perché la cyber awareness è il primo presidio contro gli attacchi informatici e come costruirla nella tua azienda in modo concreto.