Attacchi cyber e violazione dei dati: il ruolo dei dipendenti

“Non sono i computer che rubano informazioni ma le persone!”

Gli attacchi informatici e le violazioni dei dati sono in aumento, ed è facile pensare che siano tutti causati da hacker malintenzionati in cerca di profitto. Ma non è così. Nell’ultimo trimestre si è scoperto che quattro delle cinque cause principali della violazione dei dati sono da imputarsi a errori dei processi o a errori umani.

Il personale che non segue le regole di sicurezza del posto di lavoro e gli hacker criminali che trovano sempre un nuovo modo per sfruttare i dipendenti, sono un problema sempre più grosso.
I dipendenti possono essere causa della violazione dei dati dell’azienda in vari modi, ma alcuni sono diventati particolarmente comuni.

Minacce interne.

I dipendenti possono fare un uso improprio dei dati aziendali deliberatamente o accidentalmente, ma in entrambi i casi l’effetto sarà negativo.
Un sondaggio di CIO Insight ha scoperto che il 20% delle aziende ha subito una violazione dei dati causata da un ex-dipendente. Nella maggior parte dei casi l’azienda non segue le misure di sicurezza base quando si tratta di provisioning e de-provisioning dei dipendenti.

Malware.

Malware è l’abbreviazione di “malicious software”, un termine generico utilizzato per riferirsi a varie forme di software nocivo o intrusivo che include virus informaticiwormTrojanransomwarespywareadwarescareware e altri programmi dannosi.
1 su 131 e-mail contengono malware
. L’e-mail è ancora il metodo numero uno con cui gli hacker inviano malware. Negli ultimi 3 anni le e-mail fraudolente sono costate alle aziende 3 miliardi di dollari e hanno colpito più di 400 imprese commerciali ogni giorno.

Phishing.

Il metodo più comune, semplice ed economico utilizzato per rubare l’accesso e altre informazioni sensibili a dipendenti e altri utenti del sistema è il “phishing”.
I tentativi di phishing cercano di ingannare il personale in modo che riveli i dati dell’azienda, di solito tramite e-mail che sembrano provenire da una fonte affidabile. Le e-mail cercano di convincere le vittime a rivelare informazioni confidenziali, come ad esempio nomi utente, password o dati finanziari, e potrebbero anche cercare di installare malware attraverso un link o un allegato dannoso.
Nel maggio 2017, una ogni 2.998 e-mail era fraudolenta.
Le e-mail di phishing non sono sempre facili da smascherare, motivo per cui sono diventate un modo così efficace per ottenere l’accesso ai dati aziendali da parte di hacker malintenzionati.

Password.

Uno studio condotto da OneLogin rivela che solo l’85% dei decision maker in campo IT mettono in pratica adeguate misure di protezione delle password. Ma in realtà la maggior parte di loro non applica nemmeno i requisiti più elementari a riguardo, mettendo il proprio business ad alto rischio di violazione dati. Infatti, meno di un terzo (31%) richiede mensilmente agli impiegati la rotazione delle password e più della metà (52%) ammette di richiederla solo ogni tre mesi.
Questo diventa un problema quando la stessa password viene utilizzata per più account, semplificando agli hacker l’accesso ai dati dell’azienda.
Vuoi sapere come impostare una password forte? Ne parleremo nel nostro prossimo articolo.


Che cosa si può fare?

L’uomo è l’anello più debole della catena della sicurezza informatica. I dipendenti possono compromettere la sicurezza della tua azienda cliccando su link in e-mail di phishing, utilizzando password deboli e gestendo dati senza precauzioni. Sebbene la formazione dei dipendenti sia una parte importante nella prevenzione dell’ingegneria sociale, non è sufficiente. Sarebbe inverosimile aspettarsi che tutti sappiano distinguere le e-mail fraudolente da quelle legittime. Non esiste alcuna soluzione tecnologica in grado di proteggere la tua azienda.
Una buona difesa dai cyber-attacchi prevede invece un equilibrio tra una tecnologia di protezione adeguata e la formazione degli utenti:

  • Riconosci sia i punti di forza della sicurezza della rete aziendale sia le sue debolezze
  • Definisci politiche di sicurezza a cui tutto il personale si deve attenere, IT compreso
  • Automatizza il più possibile la sicurezza informatica in azienda
  • Aumenta i processi di gestione degli accessi e di identificazione per ridurre gli errori dei dipendenti e, di conseguenza, la violazione della sicurezza
  • Introduci dei training obbligatori e frequenti per ricordare ai dipendenti i rischi della sicurezza informatica e le conseguenze che la violazione delle politiche di sicurezza comporta per l’azienda e per loro stessi, inclusa la perdita del posto di lavoro
  • Introduci una cultura alla sicurezza fin dall’inizio, coinvolgi in modo attivo i dipendenti per renderli consapevoli dei rischi dei crimini informatici e per trovare soluzioni alle violazione dei dati

I dipendenti devono anche comprendere i rischi che comporta il portare al di fuori dallo spazio di lavoro dispositivi che contengono dati sensibili (e che possono essere rubati facilmente da posti come auto e case), utilizzare in modo improprio dispositivi e dati, inviare file confidenziali e messaggi tramite canali non sicuri o ai destinatari sbagliati.

E preparati.

  • Esegui controlli in background
  • Fai attenzione al comportamento dei dipendenti
  • Usa il principio del privilegio minimo (meno dipendenti con privilegi ci sono, più facile sarà proteggere i tuoi dati)
  • Educa i dipendenti
  • Controlla l’accesso degli utenti e monitora le azioni degli utenti

Infine, aspettati il meglio ma preparati al peggio, perché nemmeno le soluzioni IT più avanzate possono proteggerti del tutto dal crimine informatico. Quindi, se nella tua azienda crei una cultura volta alla sicurezza, costruisci una serie di misure di sicurezza (come cifratura delle e-mail, filtro web e protezione avanzata dalle minacce) e hai delle regole aziendali sulla sicurezza IT ben definite, di sicuro limiterai il rischio di un attacco informatico!

E se educhi i tuoi dipendenti in qualsiasi altro modo, faccelo sapere!

Flavia Piantino Gazzano
flavia@mon-k.com

Graduated in Public Relations and Communication, specialized in Business Communication, she has gained a decade of experience as account, project manager, digital marketer and growth hacker. Flavia has a strong focus on digital transformation, social media, PR; she uses strategic communication as a strong asset in her life and has a creative approach to problem solving. Her goal is to create effective and efficient business growth strategies. She works with Mon-K since 2015 as Marketing and Communication Manager.

No Comments

Post A Comment

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.