Vulnerabilità informatica umana
Quasi la metà di tutti gli incidenti di sicurezza informatica sono dovuti alla cattiva condotta dei dipendenti. Qual è il modo migliore per uscire da questo dilemma?
In particolare, gli attacchi mirati sono spesso rivolti alla mancanza di cura o di attenzione da parte dei dipendenti. Il motivo: i dipendenti sono la porta d'accesso più facile per gli attacchi altamente tecnici e specializzati alle aziende.
Secondo il Studio Kaspersky "Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within", il 28% di tutti gli attacchi mirati dello scorso anno sono stati effettuati tramite phishing o social engineering. Ad esempio, un'e-mail contiene un file dannoso camuffato da fattura di un fornitore; quando viene aperta da un contabile poco attento, la rete aziendale potrebbe essere già infetta.
Lo spettro degli attacchi
Ai criminali informatici vengono spesso aperte le porte dell'infrastruttura di un'azienda. Lo spettro degli attacchi va dalle e-mail di phishing alle password troppo deboli, fino alle presunte chiamate dell'assistenza IT. Un'altra truffa è rappresentata dalle schede di memoria apparentemente smarrite e compromesse, che vengono deliberatamente collocate nel parcheggio dell'azienda o nell'ufficio della segretaria e poi ritrovate e lette da colleghi benintenzionati.
Una questione di cultura aziendale
I dipendenti sono riluttanti a segnalare gli incidenti di sicurezza informatica per paura di possibili conseguenze: secondo lo studio, lo fanno 40% delle aziende. Le conseguenze sono gravi, perché gli esperti di sicurezza devono identificare gli incidenti di sicurezza informatica il più rapidamente possibile per poterli combattere adeguatamente.
Invece di minacciare con regole e conseguenze severe, le aziende dovrebbero quindi promuovere la consapevolezza e la volontà di cooperare. "La sicurezza informatica non è solo una questione di tecnologia, ma anche di cultura aziendale. Anche il top management e i dipartimenti delle risorse umane dovrebbero esserne consapevoli", afferma Slava Borilin, Security Education Program Manager di Kaspersky Lab. "Quando i dipendenti coprono gli incidenti, ci sono buone ragioni per farlo: linee guida troppo rigide e poco chiare, troppa pressione o la ricerca di colpevoli. Tutto questo porta i dipendenti a nascondere la verità per paura. Risultati di gran lunga migliori derivano da una cultura positiva della cybersecurity, basata sulla creazione di consapevolezza e sul flusso di informazioni, ed esemplificata dal management".
La strada reale per l'elusione
Le aziende sono ormai consapevoli dell'importanza dei dipendenti per la loro sicurezza. Un'azienda su due (52%) considera il personale come l'anello più debole della catena della sicurezza informatica e un'azienda su tre (35%) vorrebbe implementare ulteriori misure di formazione per questo motivo. Questa è la seconda misura più comune per una maggiore sicurezza dopo l'uso di un software migliore (43%).
La pallottola d'argento per evitare i fallimenti della cybersicurezza umana risiede nella combinazione di misure tecniche e personali:
- Misure per il personale: Formazione sulla sicurezza, linee guida formulate in modo chiaro e conciso, ulteriori misure di formazione e motivazione e un'atmosfera di lavoro positiva.
- Soluzioni tecnologiche: Le soluzioni di sicurezza degli endpoint possono essere utilizzate per contenere gli errori umani dei dipendenti. È inoltre possibile utilizzare misure di protezione preconfigurate e impostazioni di sicurezza avanzate per soddisfare i requisiti specifici di piccole e medie imprese e gruppi aziendali.
Fonte: Kaspersky Lab
