Ci sono alcune app che, per motivi di sicurezza, vengono bloccate sui device aziendali dalle compagnie. Vediamo perché e quali sono

Accade spesso, nel nostro mondo sempre più digitale e sempre più iperconnesso, che i dipendenti utilizzino WhatsApp sul telefono aziendale per comunicare e scambiarsi documenti con clienti e fornitori. Accade ancora di più da quando le compagnie hanno sposato la filosofia BYOD (Bring Your Own Device), che consiste appunto nel permettere ai lavoratori di usare i propri pc, smartphone o tablet per fini lavorativi.

Ecco quindi che scatta l’allarme sicurezza che va ad impattare, di rimando, anche sugli strumenti personali dei dipendenti, finendo per indagare su quali app vengono installate sui vari device e obbligando le aziende a creare delle vere e proprie “black list”, oltre a processi e protocolli che vietino l’utilizzo di alcune applicazioni per scambiarsi determinate informazioni. Queste liste nere sono gestite in base alle specificità di ogni azienda.

Nel suo report aggiornato Appthority ha rivelato quali sono le app Android e iOS che vengono più frequentemente bloccate in ambito aziendale. 

Sul podio troviamo WhatsApp che, ad esempio, ha l'onore di essere l'app più popolare sui dispositivi iOS utilizzati nelle imprese ma, allo stesso tempo, quella più frequentemente inserita nelle "liste nere".

Questo perché il servizio utilizza una cifratura end-to-end (e cioè che mantiene le chiavi crittografiche direttamente sui device interessati) che quindi è molto sicura tuttavia, essendo una applicazione corporate, le aziende non hanno nessun controllo aggiuntivo e non possono quindi cancellare dati, rimuovere utenti dai gruppi o disabilitarne l’accesso.

Ciò fa sì che lo strumento sia quindi adatto per le comunicazioni interpersonali ma non per quelle lavorative, in cui vengono spesso scambiati anche documenti confidenziali.

Le prime app della lista per quanto riguarda il sistema operativo Andriod sono Facebook Messenger, Wrickr Me e Whatsapp, mentre per iOS abbiamo Facebook Messenger, Whatsapp e Tinder. 

Da notare come lato iOS vengono bloccate in particolar modo le app che raccolgono informazioni e le trasmettono verso server remoti: tra i dati fatti propri ci sono SMS, liste dei contatti, informazioni sulla geolocalizzazione e altro ancora. 

Appthority ha anche accertato che la maggior parte dei dati raccolti dalle app non viene dirottata verso server cinesi o russi, come molti si aspetterebbero, ma invece verso gli Stati Uniti. 

Le conseguenze di queste restrizioni lasciano qualche dubbio sull’effettiva efficienza del BYOD e soprattutto lasciano il rischio che i dipendenti, se non correttamente formati in ambito di sicurezza informatica, ricerchino soluzioni di comunicazione istantanea alternative, che potrebbero dimostrarsi ancora meno protette.

PagoPa è un sistema di pagamenti elettronici che rendono più trasparente e sicura qualsiasi transazione vero la Pubblica Amministrazione

PagoPA è una piattaforma che gestisce i pagamenti verso la Pubblica Amministrazione rendendoli più sicuri, trasparenti e semplici. 

Le transazioni possono essere effettuate direttamente online, ad esempio sul sito della PA verso cui si deve fare il versamento, oppure attraverso i PSP, cioè i Prestatori di Servizi di Pagamento che hanno aderito alla standardizzazione dei pagamenti verso gli Enti Pubblici.

I PSP rendono quindi possibile effettuare pagamenti non solo online, ma anche in maniera fisica, come ad esempio presso gli sportelli ATM della banca, gli Uffici Postali e i punti vendita SISAL e Lottomatica.

Il sistema permette di pagare tributi, tasse, utenze, rette, quote associative, bolli e qualsiasi altro tipo di pagamento verso le Pubbliche Amministrazioni centrali e locali, ma anche verso altri soggetti, come le aziende a partecipazione pubblica, le scuole, le università, le ASL.

Per i cittadini il principale vantaggio di utilizzare il sistema di pagamenti pagoPA è sicuramente la trasparenza data da un sistema unico che fornisce chiari costi di transizione e importi definiti. pagoPA inoltre non consente pagamenti errati poichè controlla l’esistenza della posizione debitoria e la sua consistenza al momento del pagamento, rendendo gli errori pressochè impossibili. Nel caso in cui comunque venisse effettuato un doppio pagamento, ad esempio tramite pagoPA e utilizzando anche un F24, il cittadino potrà tranquillamente fare la segnalazione all’Ente che provvederà al rimborso. Oltre a questo vanno anche considerati i vantaggi di multicanalità integrata a livello nazionale, la sicurezza di un avviso di pagamento tramite un canale scelto da cittadino quali SMS o apposita app e la velocità del processo: sarà sufficiente infatti il codice IUV (Identificativo Unico Versamento) per pagare e ricevere la quietanza liberatoria.

Al cittadino rimane l’onere delle commissioni che, con pagoPA, nella peggiore delle ipotesi rimangono invariate rispetto agli altri metodi. La differenza è che con pagoPA vengono esposte in modo trasparente al cittadino che potrà rendersi conto come tendenzialmente i costi si riducono. Prima dell’introduzione di questo servizio, in molti casi, era l’Ente Creditore a inglobare i costi di commissione all’interno del tributo o del servizio, che rimaneva quindi nascosto all’utente finale.

Per quanto riguarda le Pubbliche Amministrazioni, il servizio è obbligatorio ai sensi di legge dal 2012 ma offre anche molti vantaggi, tra cui quello di avere un servizio semplice, affidabile e standardizzato che comunque non comporti dei costi eccessivi.

Grazie alla collaborazione con il nostro partner E-Fil, azienda leader nell’ambito dei sistemi di riscossione elettronica, abbiamo integrato il sistema PagoPA alle nostre applicazioni Iride e Conto e siamo in grado di fornire assistenza e consulenza progettuale.

Iride, il software gestionale per l’amministrazione degli albi professionali dà evidenza degli avvenuti pagamenti da parte degli iscritti e Conto, il programma per la contabilità della PA, interagendo col sistema, rende evidenti i pagamenti anche dal lato contabile. L’assegnazione di un codice univoco al pagamento permette inoltre di sapere da ci arriva la transizione, anche quando viene effettuata da conti bancari terzi.

Il sistema PagoPA è sicuramente una grande opportunità in particolare per le piccole amministrazioni che, diversamente, non potrebbero offrire ai propri utenti un ventaglio così ampio e vario di sistemi di pagamento.

La prima multa per Facebook, legata al caso Cambridge Analytica, arriva dalla Gran Bretagna: una sanzione di 500.000 sterline, per aver violato i dati personali di oltre 87 milioni di utenti

Facebook dovrà pagare una maxi multa da mezzo milione di sterline (oltre 565mila euro) come conseguenza allo scandalo Cambridge Analytica che ha coinvolto il social network nel 2015 e che ha portato a una serie di eventi, coinvolgendo in prima persona anche Mark Zuckerberg, il CEO di Facebook.

La ICO (Information Commissioner's Office), cioè l’autorità britannica sulla privacy, ha dichiarato di aver inflitto la massima sanzione prevista dalla sua legislazione per questo tipo di infrazioni anche per dare una scossa all’opinione pubblica e all’importanza che ha la protezione dei dati in un mondo sempre più digitalizzato come il nostro.

È importante infatti che gli utenti si rendano conto che i dati personali appartengono solo a loro e devono perciò averne il pieno controllo.

Facebook ha fatto dell’economia dei big data la sua economia, costruendo un impero sulla condivisione con aziende delle informazioni sugli utenti, al social viene contestato infatti di non aver protetto adeguatamente i dati degli utenti e di aver dato prova di scarsa trasparenza sul caso.

La sanzione arriva a monte di un lungo rapporto fatto dall’associazione consumatori norvegese, la Forbrukerrådet, nel quale emergeva come Facebook, nonostante l’effettiva entrata in vigore del GDPR, il Regolamento europeo sulla Protezione dei Dati, avesse sì modificato la sua privacy policy per rendere più trasparente l’uso che fa dei dati degli utenti ma che avesse manipolato le scelte sulla condivisione degli stessi. Un esempio lampante è quello del riconoscimento facciale per cui sono state espressi chiaramente i benefici di questa tecnologia, senza però menzionarne le criticità.

Intanto l’attenzione si sposta sull’utilizzo dei dati presi dalle aziende tramite Facebook per scopi di behavioral advertising e di marketing politico e cominciano a circolare voci circa la necessità di un codice di comportamento che eviti gli abusi e che garantisca che le elezioni abbiano uno svolgimento corretto. È assodato infatti che gli adv sul social abbiano considerevolmente influenzato le elezioni politiche negli USA e il risultato del referendum sulla Brexit. L’impatto del targeting pubblicitario attraverso questi canali è altissimo e il social pare non essere abbastanza trasparente circa la comunicazione fatta agli utenti su questo punto.

Proprio per questo negli USA il datagate è soggetto a un’indagine congiunta di Federal Trade Commission, dipartimenti di Giustizia e FBI: l’inchiesta ha il fine di verificare proprio la conformità della comunicazione pubblica fatta dall’azienda a utenti e azionisti.

Le associazioni di consumatori di Spagna, Portogallo, Belgio e Italia (con Altroconsumo) hanno fatto partire lo scorso aprile una class action contro il colosso social che punta a ricevere risarcimenti fino a 200€ per utente.

La cultura è tutta importante. Quella in ambito di sicurezza informatica, oggi, lo è moltissimo. Vediamo perché

350%. Questa è la percentuale di crescita annuale dei malware, secondo il Cybercrime report 2016. Questo, in numeri, significa che circa ogni 40 secondi una azienda è vittima dei virus informatici.

Sempre più spesso questi sono ransomware, una particolare categoria di malware che cryptando le informazioni dei sistemi informatici li blocca, per poi chiedere ai malcapitati un riscatto per rientrarne in possesso. Ma questo era all’inizio, ora, con l’avvento del GDPR e delle importanti sanzioni che ne seguono, le nuove versioni di ransonware innalzano il livello d’allarme nelle aziende in quanto la richiesta di riscatto non è più solo finalizzata a riottenere i propri dati cryptati quanto a non diffondere nel dark web le informazioni cryptate e sottratte dai sistemi. Ecco che molte aziende non preparate hanno ceduto ai ricatti versando ingenti somme agli hacker.

Esserne colpiti, in assenza di adeguate misure preventive, può essere un grande colpo all’operatività ed all’immagine aziendale, il ripristino dei dati e dei sistemi può essere lungo e laborioso, quando possibile.

Quindi, se da un lato l’industria 4.0 e la digitalizzazione dei processi industriali hanno contribuito al miglioramento e allo snellimento dei processi gestionali, dall’altro si sono moltiplicate le possibilità di subire attacchi informatici.

I Chief Security Officier devono quindi prestare sempre più attenzione alle infrastrutture e alle reti aziendali, tuttavia non sono solo loro a dover essere accorti.

L’80% di questi virus arriva per posta e, spesso, bypassando i sistemi di sicurezza come firewall e antivirus, giungono direttamente alle caselle mail degli impiegati che aprono gli allegati tranquillamente, fuorviati da semplici trucchi di ingegneria sociale, come la richiesta di apertura di fatture o fotografie.

In un contesto di questo tipo diviene quindi fondamentale supervisionare integralmente i Sistemi di Controllo. Tra le varie minacce, esterne e interne, che mettono a rischio i processi aziendali ci sono ad esempio:

• Virus 

• Minacce software

• Errori del personale aziendale (un elemento troppo spesso sottovalutato)

• Deterioramento dell’ambiente di sicurezza esterno

Un sistema informatico avanzato e completo delle ultime novità in campo di sicurezza informatica quindi, diventa del tutto inutile se il personale non è adeguatamente formato a riconoscere le minacce e a guardare ciò che si presenta nel sistema informativo con occhio critico.

Un altro fattore importante e spesso sottovalutato dalle PMI è l’analisi dei rischi, che van effettuata non una volta l’anno, ma almeno con cadenza mensile se non settimanale. In definitiva è buona prassi avere un personale, soprattutto quello amministrativo, ben preparato e attento oltre a prevedere un budget dedicato alla sicurezza informatica ed in particolare alla formazione ed all’aggiornamento. 

Se hai dubbi sulla tua infrastruttura o vuoi consigli sulla cyber security, contattaci, il nostro personale è a disposizione per indirizzare PMI ed Enti Pubblici verso la compliance dei sistemi informatici al GDPR, con un particolare orientamento formativo verso le good practice.

La sicurezza fa un altro passo in avanti: la Wi-Fi Alliance, ha annunciato il rilascio ufficiale della WPA3

Wi-Fi Alliance® ha introdotto pochi giorni fa Wi-Fi CERTIFIED WPA3™, la nuova generazione di sicurezza Wi-Fi, che offre nuove funzionalità per potenziare le protezioni Wi-Fi nelle reti personali e aziendali.

La nuova protezione, arrivata dopo un decennio di WPA2, aggiunge nuove funzionalità, volte a semplificare la sicurezza Wi-Fi, abilitare un sistema di autenticazione più robusto e fornire una forza crittografica maggiore per far fronte al mercato crescente dei dati sensibili.

Partiamo dal principio: cos’è il WPA.

Il WPA (Wi-Fi Protected Access) è un protocollo di sicurezza e programmi di certificazione di sicurezza, sviluppati dalla Wi-Fi Alliance, un'organizzazione nata nel 1999 e formata da alcune industrie leader nel settore con lo scopo di guidare l'adozione di un unico standard per la banda larga senza fili nel mondo, col fine di proteggere le reti di computer wireless.

Nel 2004, il WPA è stato sostituito con il WPA2 che include il supporto obbligatorio per CCMP, una modalità di crittografia basata su AES, che rende le reti più sicure. Ad oggi la certificazione WPA2 è obbligatoria per tutti i nuovi dispositivi a marchio Wi-Fi.

Con l’annuncio della release ufficiale di WPA3, la Wi-Fi Alliance apre la strada verso una sicurezza più completa, grazie soprattutto a una serie di accorgimenti che mettono una pezza alle vulnerabilità più evidenti del vecchio standard.

La sicurezza WPA3 continua a supportare il mercato attraverso due distinte modalità operative: WPA3-Personal e WPA3-Enterprise. Tutte le reti WPA3 utilizzano i più recenti metodi di sicurezza, non consentono protocolli legacy obsoleti e richiedono l'uso di Protected Management Frames (PMF) per mantenere la resilienza delle reti mission critical. Le funzionalità chiave di WPA3 includono:

- WPA3-Personal: più resiliente rispetto alla versione 2, l’autenticazione è basata su password anche quando gli utenti scelgono password che non rispettano i consigli sulla complessità. WPA3 sfrutta l'autenticazione simultanea di Equals (SAE), un protocollo di sicurezza delle chiavi tra i dispositivi, per fornire protezioni più forti per gli utenti contro tentativi di indovinare la password da parte di terzi.

- WPA3-Enterprise: offre l'equivalente della forza crittografica a 192 bit, fornendo ulteriori protezioni per le reti che trasmettono dati sensibili, come il governo o la finanza, introducendo una serie di algoritmi e procedure di autenticazione che superano i limiti del vecchio IEEE 802.1X.

Viene inoltre confermata l’introduzione di Wi-Fi easy Connect, una tecnologia che migliora il dialogo con dispositivi IOT (Internet Of Things), privi di display.Anche il problema legato all’attacco KRAK dovrebbe finalmente essere risolto grazie ai nuovi standard di protezione.

Compie 25 anni il .pdf, il formato che ha rivoluzionato il mondo dei documenti, lanciato da Adobe Systems il 15 giugno 1993.

Il Portable Document Format, più conosciuto con l’acronimo PDF, compie 25 anni. Il formato è stato lanciato da Adobe System il 15 giugno del 1993 e aveva il fine di permettere agli utenti di presentare e scambiarsi dei documenti in modo affidabile, senza che il contenuto potesse essere modificato, indipendentemente dal sistema operativo usato.

Il primo software per leggere i documenti costava ben 50 dollari, mentre il costo di quello per creare questi file era di 695 dollari. Per le aziende aumentava ulteriormente, arrivando a 2.495 dollari.Questo sembra quasi incredibile se pensiamo al fatto che oggi, venticinque anni dopo, con Adobe Reader DV, possiamo leggere tranquillamente questo formato, senza contare che possiamo crearlo con molti altri software, compreso Microsoft Word.

La specifica per renderlo pubblico arrivata dieci anni fa, nel 2008, quando il Pdf ha ottenuto la certificazione come standard internazionale, restando comunque un formato proprietario.

A 25 anni dalla nascita, il pdf va ancora fortissimo: Adobe ha chiuso il secondo trimestre dell’anno con ricavi che girano intorno ai 2,20 miliardi di dollari, risultati che vanno oltre ogni attesa.