Nel 40% delle aziende di tutto il mondo i dipendenti nascondono gli incidenti di sicurezza IT. Questo è quanto emerge dalla nuova indagine di Kaspersky Lab e B2B International, “Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within”. La ricerca ha inoltre rivelato che, ogni anno, il 46% degli incidenti di sicurezza IT vengono causati dagli impiegati, dato che evidenzia l’importanza di risolvere questa vulnerabilità su più livelli e non solamente nella divisione dedicata alla sicurezza IT.
Chi apre le porte dell’azienda agli hacker?
I dipendenti disinformati o distratti sono una delle cause principali degli incidenti di sicurezza informatica, secondi solamente ai malware. Sebbene questi ultimi siano sempre più sofisticati, il fattore umano continua a rappresentare il pericolo maggiore.
Nello specifico, la disattenzione del personale costituisce una delle principali falle sfruttate dai cyber criminali per lanciare attacchi mirati alle aziende. Anche gli hacker che fanno uso di tecniche avanzate e malware personalizzati iniziano spesso il loro attacco sfruttando il punto d’accesso più debole: la natura umana.
Secondo i risultati della ricerca, nel corso dell’ultimo anno, un attacco mirato su tre (28%) è stato lanciato attraverso phishing o tecniche di social engineering. Ad esempio, un contabile distratto potrebbe facilmente aprire un file nocivo mascherato da fattura inviata da uno dei numerosi fornitori dell’azienda. Il malware potrebbe, quindi, fermare completamente l’infrastruttura dell’azienda, trasformando il contabile in un complice involontario dei criminali.
“Spesso i cyber criminali sfruttano gli impiegati come punto d’accesso per infiltrarsi in un’infrastruttura aziendale. Email di phishing, password deboli e false chiamate da parte del supporto tecnico sono solo alcuni esempi delle tattiche utilizzate. Anche una semplice memoria flash trovata nel parcheggio dell’ufficio o vicino alla scrivania della segretaria potrebbe compromettere l’intera rete. Basta semplicemente che qualcuno all’interno dell’azienda, con scarse competenze di sicurezza informatica, connetta il dispositivo alla rete, dove potrà iniziare a creare scompiglio”, ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab.
Le aziende non vengono colpite dagli attacchi mirati sofisticati ogni giorno, ma possono diventare vittime anche dei malware tradizionali che mirano alla massa. La ricerca ha inoltre svelato che, anche quando si tratta di malware, i dipendenti disinformati o disattenti sono spesso coinvolti, causando il 53% delle infezioni.
Perché dovrebbero essere coinvolti anche il top management e le risorse umane
I dipendenti che nascondono gli incidenti in cui sono stati coinvolti possono comportare marcate conseguenze, aumentando il danno complessivo causato. Anche un singolo evento non riferito potrebbe denotare una violazione molto più ampia e i team di sicurezza devono essere in grado di identificare rapidamente le minacce che si trovano a dover affrontare per scegliere le tattiche di mitigazione più adeguate.
Tuttavia, lo staff sembra preferire mettere a rischio l’azienda non riportando il problema per paura di venire puniti o per l’imbarazzo di essere i colpevoli di un malfunzionamento. Alcune organizzazioni hanno introdotto severe regole e impongono maggiori responsabilità ai dipendenti, invece di incoraggiarli semplicemente a fare attenzione e collaborare. La cyber sicurezza, infatti, non dipende solamente dalle tecnologie implementate, ma anche dalla cultura e dalla formazione proposta in azienda. Questo compito spetta al top management e alle risorse umane.
“Il problema rappresentato dal nascondere gli incidenti dovrebbe essere comunicato non solo ai dipendenti, ma anche al top management e alle risorse umane. Se gli impiegati nascondono gli incidenti, deve esserci una ragione. In alcuni casi, le aziende introducono policy severe ma poco chiare e mettono lo staff troppo sotto pressione, invitando i dipendenti a non adottare determinati comportamenti e avvisandoli che verranno ritenuti colpevoli nel caso in cui qualcosa vada storto. Queste policy incrementano la paura e lasciano al personale una sola possibilità: evitare la punizione ad ogni costo. Nel caso, invece, in cui ci sia un’adeguata cultura alla sicurezza informatica, basata su un approccio educativo invece che su uno restrittivo imposto dall’alto, i risultati sono evidenti”, ha dichiarato Slava Borilin, Security Education Program Manager di Kaspersky Lab.
Borilin, inoltre, fa riferimento al modello della sicurezza industriale, che vede al centro le segnalazioni e un approccio “learn by mistake”. Ad esempio, in una sua recente dichiarazione, Elon Musk, Presidente e CEO di Tesla, ha richiesto che ogni incidente che coinvolge la sicurezza dei lavoratori venga riferito direttamente a lui, affinché possa dirigere il cambiamento.
Il fattore umano: oltre il clima aziendale
Le aziende di tutto il mondo stanno iniziando a comprende il problema delle vulnerabilità rappresentate dai dipendenti: il 52% degli intervistati ha ammesso che lo staff costituisce la principale debolezza della propria sicurezza IT. La necessità di implementare misure concentrate sui dipendenti è sempre più evidente: il 35% delle aziende vuole migliorare la propria sicurezza offrendo formazione allo staff – il secondo metodo più diffuso, secondo solo all’utilizzo di software più sofisticati (43%).
Il modo migliore per proteggere la propria azienda dalle minacce rappresentate dagli esseri umani è combinare i migliori tool con le giuste abitudini. Per far ciò, è necessario coinvolgere le risorse umane e il management, per motivare e incoraggiare i dipendenti a fare attenzione e cercare aiuto in caso di incidenti. Il primo passo è sicuramente organizzare corsi di security awareness per lo staff, che offrano chiare linee guida invece di lunghi documenti, rafforzino competenze e motivazione e promuovano la giusta atmosfera lavorativa.
Relativamente alle tecnologie di sicurezza, la maggior parte delle minacce che prendono di mira il personale disinformato o disattento – incluso il phishing – possono essere affrontate con una soluzione di sicurezza endpoint. Questo tipo di prodotto può coprire le necessità specifiche di PMI e grandi aziende in termini di funzionalità, protezione preconfigurata o impostazioni di sicurezza avanzate, per ridurre al minimo i rischi.
Per leggere il report completo “Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within” è possibile visitare il blog di Kaspersky Lab.
Copia & Incolla: perché questo titolo? Perché i contenuti di questa categoria sono stati pubblicati SENZA ALCUN INTERVENTO DELLA REDAZIONE. Sono comunicati stampa che abbiamo ritenuto in qualche modo interessanti, ma che NON SONO PASSATI PER ALCUNA ATTIVITÀ REDAZIONALE e per la pubblicazione dei quali Tech Economy NON RICEVE ALCUN COMPENSO. Qualche giornale li avrebbe pubblicati tra gli articoli senza dire nulla, ma noi riteniamo che non sia corretto, perché fare informazione è un’altra cosa, e li copiamo ed incolliamo (appunto) qui per voi.
Facebook Comments