Sicurezza informatica: dipendenti, attenzione pericolo!

Privacy, Sicurezza

I dipendenti rappresentano la prima fonte di incidenti relativi alla sicurezza informatica nelle aziende. Ma lo sanno?

Lo studio PWC ha rivelato che il 33 % dei dipendenti attuali e il 28 % degli ex dipendenti sarebbero la prima causa di incidenti relativi alla sicurezza.

Per ingannare i dipendenti attuali vengono utilizzate prevalentemente due tecniche, che causano l’80% degli attacchi riusciti.

  • L’ingegneria sociale sarebbe l’anello debole della catena della sicurezza: i criminali informatici raccolgono innumerevoli informazioni sulle aziende e i loro dipendenti sul web, sui social network, per inviare messaggi assolutamente credibili e carpire informazioni. Questa tecnica può essere integrata da un phishing mirato (spearphishing).
  • Il phishing mirato: l’attaccante incita il dipendente ad aprire l’allegato di una mail o a cliccare su un link che invia a un sito nocivo, permettendogli così di installare delle backdoor e di infiltrarsi nella rete prendendo possesso della sessione del dipendente. Da qui, il cyber criminale cercherà di acquisire diritti di amministratore per raggiungere le postazioni di lavoro e i server dove si trovano le informazioni che gli interessano, cancellando le tracce del proprio passaggio.

Per quanto riguarda la percentuale di ex dipendenti coinvolti, la causa principale è da ricercarsi in una cattiva gestione degli accessi: molti dispongono ancora di sessioni che consentono loro di accedere alle applicazioni o a informazioni confidenziali, come è successo nell’affare Sony Pictures.

Questi atti nocivi possono essere motivati dalla vendetta – nel qual caso lo scopo sarà principalmente quello di nuocere, divulgare o eliminare informazioni – dalla smania di guadagno o dalla volontà di spiare dopo essere passati alla concorrenza.

Una fiducia eccessiva

Questa mancanza di attenzione si spiega in parte con il fatto che i dipendenti non percepiscono la minaccia esterna.

Capgemini e Opinionway hanno svolto un sondaggio sulla sicurezza informatica vista dai dipendenti, Cybersécurité, Objets connectés et Systèmes industriels (Sicurezza informatica, oggetti connessi e sistemi industriali). Da questo si evince che solo il 36% dei dipendenti interrogati ritiene che l’azienda abbia già subito un attacco informatico, mentre in realtà il 90% delle aziende ne è già stata vittima. Questo sentimento di sicurezza è evidenziato anche dal fatto che il 65% si sente ben protetto e il 20% molto ben protetto.

E, tuttavia, l’errore umano sembra comunque presente nel pensiero dei dipendenti: dopo i virus informatici (48%) e il furto di dati (43%), la perdita di dati legata a un errore umano (38%) viene indicata come una delle principali fonti di minaccia.

E questo può costare molto caro… ricordatevi dell’operazione Carbanak, scoperta nel febbraio 2015, che dal 2013 ha stornato quasi un miliardo di dollari da un centinaio di banche di una trentina di diversi paesi. Il punto di partenza di questa intrusione ben orchestrata è stato un phishing mirato!

Mancanza di formazione

E’ quindi urgente che le aziende diffondano al proprio interno una vera e propria cultura della sicurezza informatica, in quanto le infrastrutture gestite dai reparti IT, per quanto indispensabili, non sono in grado da sole di far fronte alla minaccia esterna. I dirigenti devono prendere coscienza di questi problemi e formare e sensibilizzare i propri dipendenti.

Un esempio di sensibilizzazione ha rivelato alla perfezione le falle ai dipendenti: quello di PMU che ha simulato un attacco mediante phishing. A tutti i servizi è stata inviata una mail allettante che prospettava la vincita di un Ipad: 120 dipendenti sono caduti nella trappola, il 22% ha cliccato sull’allegato e il 6% ha fornito i propri dati!

Alcuni consigli da fornire ai dipendenti:

Regole di sicurezza generali

  • Non connettere alla postazione di lavoro la chiavetta USB o lo smartphone.
  • Modificare frequentemente la password, che deve essere complessa.
  • Non annotare mai la password su un post-it.
  • Leggere le comunicazioni sulla sicurezza informatica.
  • Non utilizzare software cloud senza l’autorizzazione del reparto IT.

Il phishing

  • Non raccontare troppo di se stessi e della propria azienda sui social network.
  • Non aggiungere a Linkedin dei perfetti sconosciuti.
  • Fare attenzione alle e-mail straniere sospette: verificare l’indirizzo completo del mittente, non cliccare sui file allegati o sui link. Queste norme valgono anche per il cellulare al fine di evitare i ransomware.

Supporti mobili

  • Fare attenzione a non lasciare senza sorveglianza cellulare o portatile durante gli spostamenti.
  • BYOD: dichiarare il proprio hardware al reparto IT affinché sia protetto.

Se uno dei vostri dipendenti infrange una di queste regole o nota un’anomalia sulla propria postazione di lavoro non deve esitare a contattare il responsabile IT.

Articolo tratto da “Cybersécurité : Salariés, attention danger!” di Guillaume Ortega, Social Media & PR Manager, F-Secure France

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: