Come rimanere al sicuro nel cyberspazio grazie all'aiuto di Zoom

I criminali informatici diventano ogni anno più sofisticati e mettono in atto attacchi complessi e su diversi livelli che prendono di mira le persone più vulnerabili. Gli hacker e i truffatori si infiltrano nel modo delle loro vittime con schemi elaborati, progettati per cogliere di sorpresa le persone e fare leva sulla loro gentilezza. Anche se le best practice come l'utilizzo di reti private, di password uniche e il blocco dei dispositivi, siano ancora altamente suggerite, devi anche scegliere applicativi e fornitori di software che implementino misure solide ed efficaci per aiutare a mantenere i tuoi dati al sicuro. 

Se i dipendenti scaricano inconsapevolmente malware o espongono accidentalmente dati privati al pubblico sbagliato, anche il luogo di lavoro può essere altrettanto vulnerabile a una violazione. Per questo motivo, eccoti alcuni consigli che ti aiuteranno a stare al sicuro online quando utilizzi Zoom. Inoltre, eccoti una panoramica dei programmi di sicurezza che adottiamo per proteggere i dati dei nostri clienti e dipendenti. 

Stai scaricando l'app Zoom Workplace per la prima volta o la stai aggiornando alla versione più recente? Non fa differenza, assicurati di accedervi da una fonte affidabile, come Zoom web portal, all'interno dell'app stessa o scaricandola da un marketplace ufficiale come l'App Store di Apple.

Se ricevi un'e-mail che ti invita a scaricare l'ultima versione di Zoom Workplace che non ti aspettavi, controlla il dominio del mittente (a cui risponde l'e-mail) e passa il mouse sul link di download (senza cliccarlo) per assicurarti che sia un link legittimo. Se non si tratta di un dominio effettivo di Zoom, come (zoom.com, zoom.us), dovrai evitare di cliccare su qualsiasi link.    

Di seguito riportiamo due e-mail che sembrano legittime, ma che in realtà sono false.

Se hai la certezza di stare scaricando Zoom Workplace da una fonte autentica, assicurati di mantenere aggiornata la tua app per accedere alle funzionalità più recenti, correggere eventuali bug e poter avere l'esperienza della migliore qualità audio e video. 

Ci sono alcuni passaggi che puoi adottare per mantenere privato il tuo evento virtuale e impedire che ospiti non invitati partecipino alla riunione o al webinar. Innanzitutto, evita di usare il tuo ID riunione personale (PMI) per ogni nuova riunione. Se degli estranei hanno accesso al tuo PMI da una riunione passata, possono bloccare la tua riunione futura. Riserva i PMI per le riunioni interne con le persone che conosci. 

Una volta iniziata la riunione, ti suggeriamo di attivare una sala d'attesa, in modo da poter concedere l'approvazione a chi vuole entrare e da tenere fuori gli altri. Consenti solo agli utenti autenticati di partecipare e blocca la riunione una volta iniziata. Puoi anche richiedere un passcode per la riunione e, per evitare conversazioni indesiderate o inappropriate, disabilitare il video e disattivare l'audio quando i partecipanti accedono. Consigliamo inoltre di limitare le funzioni di condivisione schermo e di annotazione solo agli organizzatori o a partecipanti specifici, quindi assicurati di disabilitare l'opzione Condividi schermo, che disattiverà anche tutte le funzionalità di annotazione.

Per saperne di più su come rimanere al sicuro su Zoom, visita il nostro Centro di sicurezza.

Ormai, la maggior parte delle persone è consapevole dell'importanza di creare password complesse che non si ripetano su app e dispositivi. Per aggiungere un ulteriore livello di protezione però, offriamo integrazioni di single sign-on (SSO) e di autenticazione a due fattori, per rendere l'accesso all'app Zoom Workplace in modo semplice, sicuro e agevole. 

La nostra funzionalità SSO ti consente di utilizzare le stesse credenziali per il provider di identità della tua organizzazione in modo da non dover conservare nomi utente e password separati. L'autenticazione a due fattori aumenta la tua sicurezza come un processo di accesso in due passaggi che richiede l'invio di un codice monouso generato da un'app per dispositivi mobili o da un messaggio di testo, oltre all'accesso principale a Zoom.

La condivisione dello schermo e l'accesso al controllo remoto sono diventati strumenti di collaborazione essenziali con l'aumento del lavoro ibrido e remoto, quindi è importante sapere quale funzionalità usare e quando. La condivisione dello schermo permette ai presentatori di mostrare contenuti visivi come diapositive, dimostrazioni e materiali di formazione, con funzionalità che consentono a organizzatori e partecipanti di annotare gli schermi condivisi. L’accesso al controllo remoto consente a un partecipante di prendere il controllo dello schermo di un altro dietro autorizzazione, e viene tipicamente utilizzato per l’assistenza informatica, l’installazione di software o la modifica collaborativa di documenti.

Entrambe le funzionalità hanno importanti risvolti in termini di sicurezza. I rischi della condivisione dello schermo includono l'esposizione accidentale di informazioni sensibili e potenziali interruzioni delle riunioni se le autorizzazioni non sono adeguatamente limitate. L’accesso al controllo remoto comporta rischi più seri, poiché consente agli utenti esterni di avere pieno accesso alle funzioni del computer, come il controllo del mouse e della tastiera, che potrebbero permettere attività dannose se concesse a parti non affidabili.

Nessuno pianifica intenzionalmente di cedere l'accesso a un aggressore, ma man mano che i malintenzionati sviluppano tecniche più avanzate, potresti involontariamente concedere l'accesso alla persona sbagliata. Per utilizzare queste funzionalità in sicurezza, ecco alcune best practice consigliate:

• Limita la condivisione dello schermo agli organizzatori e ai partecipanti designati, come co-organizzatori o relatori. Puoi limitare questa opzione per impostazione predefinita nelle tue impostazioni, o regolare questa autorizzazione secondo necessità tramite le funzionalità per le riunioni. 
• Quando condividi lo schermo, assicurati che i documenti e le schede sensibili siano chiusi. Quando possibile, condividi solo applicazioni o schede specifiche.

Quando concedi l'accesso remoto al tuo computer, segui questi passaggi per prevenire attività dannose: 

• Non interagire con contatti non richiesti: invia le richieste di assistenza a una fonte attendibile, non il contrario. Non fare clic sui link e non accettare richieste da persone che non conosci o che non hai contattato.
• Verifica, verifica, verifica: se qualcuno afferma di appartenere a un'organizzazione legittima, verificane l'identità per via indipendente. Ricercane le informazioni di contatto ufficiali (dal suo sito web, non le informazioni di contatto che fornisce) e contattalo direttamente.
• Diffida dell'urgenza: i truffatori spesso creano un senso di panico per spingere chi legge a prendere una decisione. Prenditi tempo, fai domande e non lasciare che nessuno ti metta sotto pressione.
• Comprendi cosa significa controllo remoto: per concedere l'accesso al controllo remoto devi sentirti a tuo agio nel dare a qualcuno il controllo del tuo computer. Rifletti attentamente prima di concedere l'autorizzazione, poiché è proprio a questo punto che i malintenzionati potrebbero fingere di essere qualcun altro per ottenere l'accesso al tuo dispositivo.

Zoom dispone di diversi controlli integrati pensati per aiutarti a praticare un accesso remoto sicuro, tra cui la possibilità di:

• Esamina l'elenco dei partecipanti: se organizzi una riunione Zoom con un gruppo numeroso di partecipanti o hai partecipanti che potrebbero non aver effettuato l'accesso a un account Zoom, esamina attentamente l'elenco dei partecipanti prima della riunione per sapere chi potrebbe richiedere l'accesso al controllo remoto. 
• Revoca l'accesso: se sospetti che qualcuno sia malintenzionato, revocane immediatamente l'accesso al controllo remoto. Lo puoi fare tramite i comandi della riunione Zoom cliccando sull'icona del controllo remoto e selezionando “Interrompi controllo remoto”.
• Blocca la riunione: se stai ospitando una riunione, bloccala per impedire l'accesso di nuovi partecipanti.
• Disabilita il controllo remoto per i partecipanti: come host, puoi disabilitare la funzione di controllo remoto per impostazione predefinita per tutti i partecipanti quando questa funzionalità non è necessaria. Come ospite della riunione, puoi selezionare “Impedisci a un utente esterno il controllo del mio schermo” nelle impostazioni dell'account. 

Potresti non sapere sempre con chi stai interagendo, quindi abbiamo sviluppato funzionalità aggiuntive che favoriscono una maggiore fiducia e promuovono interazioni più sicure quando comunichi con gli altri.

• L'associazione del dominio (disponibile per gli account a pagamento con licenza Zoom Business o superiore) convalida il dominio e lo visualizza sulla scheda del profilo Zoom, rendendolo visibile agli altri nelle conversazioni di Team Chat, nelle riunioni e nei webinar. I titolari dell'account e gli amministratori degli account idonei possono attivare questa funzione a livello di account per avere la massima sicurezza che chiunque interagisca con altri (sia internamente che esternamente) sulla piattaforma Zoom li riconosca come parte dell'organizzazione. Questo è utile per identificare gli utenti all'interno della propria organizzazione e confermare che i partecipanti esterni provengano da domini verificati.
• L'autenticazione Okta di Zoom per la crittografia end-to-end permette alle organizzazioni di verificare l'identità dei partecipanti alle riunioni tramite la piattaforma di gestione delle identità di Okta. Disponibile per gli account a pagamento, questa funzione aiuta a ridurre i rischi per la sicurezza confermando che le persone che partecipano alle riunioni E2EE siano chi dichiarano di essere. Quando qualcuno partecipa a una riunione, può mostrare un badge che ne indica l'identità verificata. Passa il mouse sopra il badge per visualizzare i dettagli di una persona, come l'indirizzo e-mail e il dominio aziendale associato al suo account Okta. Scopri di più sull'autenticazione Okta.

Insieme, queste funzionalità rendono più difficile per i malintenzionati spacciarsi per organizzazioni o utenti legittimi su Zoom Team Chat, Meetings e Webinars. 

Grazie alla nostra funzionalità facoltativa di crittografia end-to-end (E2EE) (attualmente disponibile per Zoom Meetings e Zoom Phone), le chiavi crittografiche sono note solo ai dispositivi dei partecipanti. L'attivazione di questa funzionalità aggiunge un ulteriore livello di protezione che ti sarà utile per comunicare con facilità tra le varie soluzioni Zoom, nonostante alcune funzionalità di Zoom sono limitate. 

Scopri di più sulla crittografia nella piattaforma Zoom Workplace qui.

Inoltre, la nostra nuova funzionalità E2EE post-quantistica può aiutarti a mantenere i tuoi dati al sicuro ora e in futuro. Questo livello avanzato di crittografia è progettato per proteggere i dati correnti di Zoom Meetings, Zoom Phone e Zoom Rooms e salvaguardarli da potenziali minacce senza precedenti che solo i computer quantistici possono generare.

La sicurezza informatica non riguarda solo i nostri team IT o quelli per la sicurezza. Ci aspettiamo che tutti gli Zoomies siano consapevoli della sicurezza informatica e abbiamo sviluppato numerose iniziative e risorse per formare i nostri dipendenti su come proteggersi dalle minacce informatiche.

I nostri programmi di formazione e sensibilizzazione sulla sicurezza vanno oltre le nozioni basilari e sono stati progettati appositamente per creare esperienze memorabili per i dipendenti, in modo da rafforzare competenze e conoscenze importanti nel corso d tutto l'anno. Ecco alcune di queste attività:

• Campagne mensili di sensibilizzazione sulla sicurezza informatica e comunicazioni su argomenti rilevanti e tempestivi
• Formazione annuale sulla sicurezza informatica su temi come phishing, risposta agli incidenti, politiche, minacce/attacchi e altro ancora 
• Apprendimenti basati sui ruoli per dipendenti specifici, come quelli con determinati privilegi, accesso alla scrittura o alla modifica del codice
• Simulazioni di phishing in corso con feedback immediato dell'utente, rinforzo delle conoscenze e gamification integrata
• Microformazione specifica su vari argomenti, certificazioni e requisiti di conformità 
• Il programma Security Awareness Ambassador comprende membri di team interfunzionali che discutono dei problemi di sicurezza attuali, forniscono feedback, danno informazioni e trasmettono i messaggi ai loro team e reparti

Oltre ai nostri programmi di sicurezza interni per i dipendenti, supervisioniamo anche varie iniziative all'interno delle nostre comunità maggiori per avere aiuto nel ridurre i rischi, promuovere l'innovazione e continuare a migliorare i nostri servizi, come ad esempio:

• Programma di ricompense per i bug rilevati: collaboriamo (dietro compenso) con i ricercatori per la sicurezza per trovare e segnalare correttamente le potenziali vulnerabilità di Zoom, in modo da poter risolvere i problemi prima che diventino pubblici.
• Informazioni sulle minacce: cerchiamo le riunioni Zoom pubblicate per errore in luoghi pubblici e quindi informiamo i nostri clienti su come proteggersi da un attacco a Zoom.
• Gestione delle vulnerabilità: esaminiamo costantemente i nostri sistemi per mantenerli all'avanguardia con aggiornamenti rapidi e reattivi.
• Sponsorizzazione di HackerOne: abbiamo sponsorizzato e siamo intervenuti agli eventi di HackerOne, che ci offrono l'opportunità di collaborare con hacker etici di talento di tutto il mondo e di lavorare insieme per migliorare la sicurezza della nostra piattaforma. 

Il conseguimento delle nostre numerose certificazioni e attestazioni richiede un impegno costante per garantire che i nostri prodotti e servizi soddisfino rigorosi standard di sicurezza e di privacy. Siamo onorati che i nostri prodotti siano stati riconosciuti da molte delle organizzazioni più importanti del mondo e che abbiano ottenuto certificazioni in aree come: 

• Privacy e cloud computing 
• Quadro di riferimento per la privacy dei dati
• Controlli di sicurezza e conformità
• Standard di sicurezza da parte di diverse pubbliche amministrazioni a livello mondiale
• Conformità PCI

Consulta l'elenco completo delle attestazioni, delle certificazioni e degli standard Zoom.

E come si suol dire, la pratica rende perfetti. Tenendo presente ciò, sviluppiamo continuamente le nostre misure di sicurezza e le innovazioni dei prodotti per consentire ai nostri dipendenti e clienti di comunicare e di collaborare con maggior libertà. Fornendo ai nostri dipendenti e clienti risorse e formazione continue, possiamo immaginare un futuro con meno attacchi informatici e un ambiente online più sicuro. 

Non perdere gli aggiornamenti con tutte le nostre notizie su sicurezza e privacy nel nostro Centro di fiducia.