Autore: Matt Middleton-Leal

Le norme sempre più severe sulla protezione dei dati hanno costretto le aziende a mettere la sicurezza dei dati in cima alla loro lista di priorità. Tuttavia, la maggior parte delle aziende non ha ancora una forte cultura della Cybersecurity tra i propri dipendenti. In effetti, un recente lavoro di Osterman Research riporta che meno della metà (42%) delle organizzazioni forma i propri dipendenti sul regolamento generale sulla protezione dei dati (GDPR), anche se è entrato in vigore molti mesi fa. Ancora meno – solo il 18% – ha messo in atto un programma per addestrare i propri dipendenti alla California Consumer Privacy Act (CCPA); entrerà in vigore nel 2020, quindi probabilmente pensano di avere un sacco di tempo.

La mancanza di formazione aumenta il rischio di errori umani che portano a violazioni dei dati . Fortunatamente, esistono strumenti e tecniche che possono aiutare a mitigare il rischio di errori umani e le loro conseguenze. Ecco gli errori più comuni che gli utenti fanno e le misure preventive che puoi – e dovresti – prendere prima che causino un danno reale.

Errore umano n. 1. Falling for phishing

Il phishing è quando un truffatore invia e-mail maligne che sembrano provenire da una fonte attendibile al fine di indurre le vittime a rivelare informazioni personali. Secondo il Rapporto di violazione dei dati di Verizon del 2018, il phishing e il pretexting (presentarsi come qualcun altro al fine di ottenere informazioni private) rappresentano il 93% delle violazioni sociali e l’e-mail è il vettore di attacco più comune (96%).

Questo errore è più probabile se una società informa i dipendenti sulla sicurezza informatica solo al momento del bisogno, invece di stabilire una cultura incentrata sulla sicurezza. Anche la scelta della modalità di formazione è importante. Meglio evitare corsi di formazione lunghi e noiosi, usando invece video brevi di cinque minuti che ricreano situazioni reali che mostrano come funzionano gli attacchi di social engineering.

Certo, alcune persone potrebbero comunque agire in modo irresponsabile di fronte a una vera e-mail di phishing. Secondo il Rapporto di violazione dei dati di Verizon del 2018 , il 4% delle persone afferma che fare clic su un allegato sospetto non è un grosso problema. Pertanto, un secondo suggerimento utile è eseguire periodicamente test di simulazione di phishing per verificare se la formazione è stata efficace e i dipendenti seguono le politiche di sicurezza delle informazioni. Identificherete gli utenti ad alto rischio che hanno maggiori probabilità di fare clic su collegamenti dannosi, in modo da poter lavorare con loro individualmente. Infine, è necessario implementare strumenti di filtro anti-spam ed e-mail per mitigare ulteriormente il rischio.

Errore umano n. 2. Lasciare che utenti non autorizzati accedano ai dispositivi aziendali

Secondo il Wombat’s 2018 User Risk Report , il 55% ddei dipendenti consente ad amici e familiari di accedere ai dispositivi forniti dal datore di lavoro a casa. Questo è un altro segno di scarsa consapevolezza della sicurezza informatica, poiché l’amico o il familiare può accedere a dati sensibili come i conti bancari delle organizzazioni o ai dati dei clienti. Quel che è peggio, potrebbero scaricare malware che potrebbe avere accesso a dati aziendali, applicazioni cloud e storage.

La formazione una tantum al momento dell’assunzione non è sufficiente per mitigare il rischio di questo errore umano. Invece, introdurre un piano di sicurezza delle informazioni completo che tutti i dipendenti devono seguire, e incoraggiare i leader di squadra a far rispettare la disciplina della sicurezza informatica all’interno dei loro team. Un’altra misura importante è implementare adeguati controlli di sicurezza su dispositivi e sistemi. Assicurarsi che tutti i dispositivi siano protetti da password e, se possibile, utilizzare l’autenticazione a due fattori per tutti i dispositivi e le applicazioni aziendali.

Errore umano n. 3. Cattive pratiche di password

Secondo il Wombat’s 2018 User Risk Report , il 66% degli intervistati che non utilizza uno strumento di gestione password ammette di riutilizzare il 60% delle password attraverso account online. Questa è una pratica molto rischiosa, perché una volta che un account viene compromesso, l’hacker ottiene l’accesso a una più ampia varietà di risorse. Oltre al riutilizzo della password, altri rischi legati alla password includono l’uso di password ovvie (ad esempio, 123abc, 1111), il mancato aggiornamento delle password regolarmente, l’archiviazione delle password alla portata del computer e la condivisione delle password con altri. Tutte queste pratiche di password scadenti aumentano il rischio di una violazione per un’azienda, perché un utente malintenzionato può rubare o crackare più facilmente le password.

Tenere in serbo sessioni di formazione dedicate esclusivamente alla pratica delle password vale sicuramente la pena. Si consideri anche l’uso di suggerimenti di supporto che vengono inviati alle schermate dell’utente quando accedono – questi suggerimenti possono ripetere i punti chiave enfatizzati nella formazione (ad es. “Non tenere mai la password in un luogo accessibile o visualizzato da chiunque oltre a te stesso”). .

Un’altra misura importante consiste nell’utilizzare un’applicazione software di gestione password che genera e recupera credenziali complesse e le memorizza in un database crittografato. Inoltre, è consigliabile utilizzare uno strumento di scadenza password che ricordi automaticamente agli utenti di modificare le password prima che scadano, in modo da poter richiedere modifiche regolari della password senza ingolfare il proprio helpdesk di chiamate per reimpostare le password scadute.