Business

Web meeting e video call: best practice di sicurezza secondo il NIST

09 Aprile 2020

In questo periodo ci si è tutti attrezzati per lavorare in remoto.

PC casalinghi, notebook aziendali, tablet, VPN…tutti hanno cercato di riprendere (o continuare) a lavorare come meglio era possibile.

E già questo è un buon risultato. Fortunatamente alcune best practice di sicurezza sono diventate parte integrante del vissuto, per cui anche se le aziende sono “sparse sul territorio” spesso e volentieri anche i pc di casa sono protetti da antivirus, il collegamento alle reti aziendali avviene in VPN, si cerca di fare i backup dei dati che gli utenti salvano sui pc locali.

Ma i web meeting o le riunioni virtuali sono una cosa nuova per tante persone: nessuno, o meglio solo una minoranza, le utilizzava già da prima per scopi professionali.

Oggi invece tutti usano queste piattaforme, e poiché l’obiettivo (cioè riuscire a fare i meeting e sentirsi con colleghi, clienti e fornitori) è prioritario ci si è tutti tuffati a testa bassa nell’utilizzo degli strumenti che il mercato offre, gratuiti o a pagamento che siano.

Senza minimamente badare al fattore sicurezza.

Faccio un esempio: è mai capitato di seguire un link ed entrare in una stanza virtuale dove era ancora in corso una riunione precedente? E magari si discuteva di delicate questioni economiche o di delicati aspetti relativi al personale? A me personalmente è successo.

Non occuparsi degli aspetti di sicurezza di meeting virtuali può portare davvero a spiacevoli problemi.

Ma non si pensi che le best practice siano una cosa da nerd e di difficile realizzazione.

La maggior parte delle piattaforme che sono sul mercato rende possibile attivare senza sforzo queste best practice di sicurezza.

Vista l’esplosione nell’utilizzo di piattaforme di meeting online, anche il NIST (National Institute of Standards and Technology) ha ritenuto opportuno diramare una serie di consigli e buone pratiche per una “sana” conduzione di riunioni e meeting on line.

 


 

Riportiamo qui di seguito una lista di best practice di validità generale, indipendentemente dalla piattaforma utilizzata:
 

  • Utilizzare PIN per bloccare l’accesso indiscriminato ai meeting
    In molti casi per semplicità i meeting vengono creati “ad accesso libero”, questo però comporta che chiunque può entrare nel meeting semplicemente disponendo di un link da cliccare.
    Creare quindi un meeting protetto da PIN/password contribuisce a mantenere riservata la riunione.
  • Cambiare PIN per l’accesso ai meeting
    Per pigrizia si tende a riutilizzare sempre lo stesso codice per i meeting, quindi dopo un po’ di tempo tutti avranno il codice del meeting e potranno accedere anche a futuri meeting.
    È opportuno quindi cambiare i codici di accesso con una certa frequenza.
  • Utilizzare one-time PIN
    Se il contenuto di un meeting è particolarmente rilevante o sensibile è consigliare usare un PIN o password di collegamento da usare una tantum e che non verrà riutilizzato in altre occasioni.
  • Usare la lista dei partecipanti
    Se disponibile, utilizzare la dashboard dei partecipanti per verificare chi effettivamente è collegato chiedendo a ciascuno di identificarsi con il proprio nome e cognome, evitando quindi che uno possa collegarsi come “Partecipante1” o “commerciale”.
  • Attivare le “waiting room”
    Si tratta di stanze dove è possibile “radunare” i partecipanti in attesa che inizi il meeting.
    Questo impedisce ai partecipanti di entrare nel meeting direttamente, prima che l’host sia effettivamente pronto e disponibile al meeting; inoltre consente all’host di selezionare e ammettere effettivamente i partecipanti alla riunione.
    La waiting room, inoltre, aiuta i partecipanti a capire che sono nel posto giusto, evitando quindi che le persone che non riescono a entrare inizino a pensare di aver sbagliato e quindi inizino un giro di telefonate e messaggi ai colleghi per capire come mai il meeting non va.
  • Richiedere le notifiche al collegamento di nuove persone
    Se possibile si può attivare questa funzione per essere avvisati quando ci sono nuove persone collegate e assicurarsi che siano identificate.
  • Disabilitare il trasferimento file
    Le chat permettono in genere di traferire file per semplificare lo scambio di materiale e documenti fra i partecipanti.
    Tuttavia, oltre a poter essere una fonte di distrazione, è possibile che vengano caricati e condivisi documenti che contengono virus o altro materiale dannoso.
  • Condivisione schermo
    Se è necessario mostrare il proprio schermo occorre ricordare sempre ai partecipanti di assicurarsi che sullo schermo non ci siano dati personali, riservati o sensibili.
  • Registrare le sessioni solo se necessario
    Limitare la registrazione delle sessioni solo se necessario limita la “dispersione” delle informazioni in quanto poi le sessioni possono trovarsi sui pc dei singoli partecipanti oppure vengono salvate in qualche cloud di cui non si ha controllo e restano lì per sempre.
  • Chiudere le porte a meeting iniziato
    Se il meeting tratta argomenti particolarmente delicati, una volta che la sessione è iniziata e i partecipanti sono entrati, si possono “chiudere” le porte e bloccare la sessione impedendo ad altri di entrare, anche se in possesso dei link e delle credenziali corrette.

Le best practice che abbiamo riportato non sono uniche e universali e non devono essere necessariamente utilizzate tutte e nemmeno nell’ordine specificato.

E’ necessario capire le proprie necessità e adattare quindi le best practice alla propria realtà.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.