top of page
Cerca

Proteggimi da me stesso: il fattore umano nella sicurezza IT

Partiamo da un aneddoto: all’inizio di quest’anno, un CEO di una delle principali società europee era seduto nel suo cortile e scriveva un’e-mail di lavoro sul suo laptop. Quando ha finito, ha dato il laptop a suo figlio che a volte lo usa per i suoi giochi basati su browser. Durante uno dei giochi, si è aperta una finestra indesiderata e, poco dopo, il laptop ha infettato il malware, consentendo a un attore malintenzionato di accedere all’email privata del CEO, alla registrazione dei tasti, alla webcam e altro ancora. Questo scenario è molto comune e ha il potenziale per mettere a rischio un’azienda intera

Cyber-security e natura umana: poli opposti

Le persone sono tanto semplici quanto complesse, e anche con le più sofisticate soluzioni di cyber-security, più di un quinto di tutte le violazioni della sicurezza può essere ricondotto a comportamenti umani sconsiderati o involontari. Il download di un file dannoso o il click ad un collegamento, l’utilizzo di password deboli o utilizzate in precedenza, un’errata configurazione della sicurezza sono solo alcuni esempi di un lungo elenco.  Una sicurezza informatica efficace richiede un’attenzione costante e consapevole, processi a più fasi e tempo. Tuttavia, le persone amano le scorciatoie e raramente pensano che un evento negativo come un attacco informatico possa accadere a anche loro. Questo fatto li rende un obiettivo primario per la manipolazione, da parte di un hacker determinato a entrare nella rete aziendale.

Il 22% delle violazioni nel 2019 è stato supportato da errori umani(Verizon) Nessuna azienda è immune dal rischio del fattore umano. Sebbene ci siano infiniti modi per ingannare le persone, la tattica che sembra godere della maggiore percentuale di successo è l’uso di informazioni personali che si riferiscono ai desideri umani di base come lo status, il denaro e il sesso.

Nel 2020, l’aumento dello smart-working innescato dal Covid-19 ha portato a una crescita vertiginosa delle violazioni della sicurezza. La sicurezza è più difficile da far rispettare a casa delle persone e le reti Wi-Fi domestiche sono molto più difficili da controllare per le aziende. I membri della famiglia che vivono sotto lo stesso tetto, così come gli ospiti in visita, sono nuove fonti di minacce che devono essere prese in considerazione. Qualsiasi dispositivo sulla rete Wi-Fi domestica può essere utilizzato per attaccare e qualsiasi visitatore può essere una minaccia.

3 passaggi per proteggersi dal fattore umano

Prima di tutto investire nelle migliori tecnologie e soluzioni è essenziale, ma senza un programma di sicurezza strategico in atto che includa la consapevolezza e l’istruzione dei dipendenti, la tecnologia da sola non può proteggere dagli attacchi.

1. Rendere la formazione per la consapevolezza una parte integrante del programma di security

La formazione dovrebbe essere condotta periodicamente e resa obbligatoria per ogni persona che entra a far parte dell’azienda. Nonostante la formazione sulla consapevolezza alla cyber-security sia uno dei modi più efficaci per prevenire gli incidenti informatici, non è una priorità assoluta per molte aziende.

2. Adottare un approccio di difesa in profondità

Gli errori accadranno, è inevitabile. Il programma di sicurezza aziendale dovrebbe incorporare un approccio a più livelli. Questo approccio deve portare l’azienda ad essere in grado di recuperare dopo gli errori umani tenendo conto di una varietà di livelli, tra cui: ·      politiche di sicurezza delle informazioni·      sicurezza fisica·      sicurezza e sistemi di rete·      programmi di vulnerabilità·      misure di controllo delle risorse·      protezione dei dati e backup·      servizio di risposta agli incidenti·      cyber assicurazione

3. Valutare la sicurezza informatica dei fornitori di terze parti

Nel non tanto lontano 2017, il malware NotPetya, considerato l’attacco più devastante di sempre, si era fatto strada partendo dai server di una semplice società di software ucraina ai suoi clienti globali, paralizzando le loro operazioni e portando a costi stimati di 10 miliardi di dollari.

Oggi c’è una maggiore dipendenza da fornitori e fornitori di terze parti. Questa dipendenza, combinata con maggiori privilegi di rete e accesso alle informazioni, ha reso la valutazione della sicurezza dei fornitori di persone, tecnologia e processi, parte integrante di un efficace programma di cyber-security. Inoltre, è’ importante avvalersi di soluzioni adeguate e innovative in grado di controllare e monitorare gli accessi privilegiati

Ridurre il rischio informatico in tutta l’azienda con poche semplici linee guida

Ogni dipendente di un’azienda ha la responsabilità di mantenerla al sicuro. Il nostro consiglio è di seguire e condividere queste linee guida:

  1. Separare in modo netto utilizzo personale di quello di lavoro.

  2. Nessun riutilizzo della password.

  3. Evita di archiviare dati aziendali sensibili su servizi di cloud privato (ad esempio Dropbox), utilizza una soluzione aziendale.

  4. Nessun controllo dell’account di lavoro tramite un account personale (ad es. E-mail personale come account di backup)

Le password proteggono i tuoi dispositivi.

  1. Abilita l’autenticazione a più fattori su tutti i servizi accessibili da Internet Punta a lunghe passphrase invece delle password o utilizza lunghe password generate casualmente gestite da un vault password

  2. Meno persone hanno accesso al tuo computer, meglio è.

  3. Mantieni la tua workstation bloccata quando esci dalla scrivania (WinKey + L per PC; Cmd + Ctrl + Q per Mac)

  4. Spegni il computer durante la notte

  5. Chiudere l’accesso della fotocamera del laptop quando non è in uso

  6. Non fidarti delle reti esterne alla tua azienda.

  7. Se possibile, evita di utilizzare il Wi-F pubblico.

  8. Quando utilizzi il computer di qualcun altro, presumi che sia monitorato e agisci di conseguenza

  9. Infine, assicurati di segnalare al team di sicurezza eventuali attività sospette e di partecipare alle sessioni di formazione sulla consapevolezza della sicurezza della tua azienda.

bottom of page