Dallo scoppio dell’emergenza mondiale e con il conseguente spostamento lavorativo dagli uffici alle proprie abitazioni con lo smart working, la criminalità informatica e le attività degli hacker sono notevolmente aumentate. Si stima addirittura che gli attacchi informatici ad aziende siano aumentati del 47% rispetto al 2019. Cresce l’attenzione alla cybersecuritye alla sicurezza informatica nelle aziende.
Nonostante il lavoro e i costi da parte delle aziende per implementare i sistemi di sicurezza informatici, hardware e software, essersi rivolti ad esperti di ethical hacking, sono ancora presenti numerose minacce informatiche. Questo perché per un’azienda non c’è niente di peggio di un dipendente disinformato e incosciente. Si pensa che il numero di violazioni causate dai dipendenti sia tra il 22% e il 46%, azioni compiute involontariamente chiaramente. I lavoratori più ingenui sono una fortuna per gli hacker, i quali non devono neanche faticare troppo per violare i server di un’azienda o impossessarsi di dati sensibili, basta individuare questi lavoratori, attendere un loro distrazione e il gioco è fatto.
La vera minaccia per le aziende: gli errori dei dipendenti
Gli errori commessi dai dipendenti non sono dovuti a chissà quali operazioni informatiche, anzi, bastano delle semplici, inconsapevoli azioni e un hacker può aver già accesso all’intero sistema aziendale. Quali sono gli errori più comuni commessi dai dipendenti nell’ambito della sicurezza informatica?
8 errori compiuti dai dipendenti delle aziende
1. Cadere nella rete del Phishing
Ormai a tutti sarà arrivato un messaggio e-mail un po’ sospetto di un sito che ci chiedeva di inserire le credenziali o aggiornare i nostri dati bancari, e ci sono ancora persone che ci cascano come se niente fosse. Il phishing è una tipologia di truffa online, la più comune è attraverso e-mail, in cui, apparentemente, un sito a cui siamo iscritti, un’applicazione che usiamo o addirittura l’azienda in cui lavoriamo ci chiede di compiere determinate azioni. Gli hacker e i truffatori dietro questi attacchi vogliono impossessarsi di dati personali e aziendali al fine di ricattarci o venderli a chissà chi. Quindi è bene informarsi e scoprire come proteggere la vostra azienda dagli attacchi di phishing.
2. Password unica e banale
L’80% delle persone utilizza un’unica password per tutti i propri account, e se è una pratica pericolosa per gli account personali, lo è ancora di più per quelli aziendali, così come condividere le credenziali tra colleghi. Se un criminale informatico vuole rubare i dati aziendali gli basterà venire a conoscenza di unica password e avere immediatamente accesso a tutti gli account. Quali soluzioni adottare? Innanzitutto, ogni dipendente deve avere una propria password personale ed efficace per ogni account, le date di nascita sono ormai superate. Se non si riescono a ricordare tutte, evitare di scriverle su un post-it, ed evitare di attaccarle al monitor. Meglio scaricare una delle tante applicazioni che permettono di gestire in modo sicuro tutte le password. Infine, aggiornatele costantemente, siate voi ad ingannare gli hacker.
3. Reti non sicure
È sempre bello trovare un wi-fi pubblico che non chiede la password e ci permette di navigare illimitatamente senza problemi. Sappiate che non siete gli unici che la pensano così, infatti l’attacco informatico chiamato Man In The Middle si è espanso molto negli ultimi anni. Quando siete collegati ad una rete non protetta, i pirati informatici si possono interporre fra voi e le vostre attività, venendo a conoscenza di ogni operazione compiuta. Quando non siete in ufficio, pensateci prima di collegarvi ad una rete pubblica senza precauzioni con i dispositivi aziendali. Usate una connessione protetta, basta chiedere la password al proprietario del locale, oppure utilizzate un servizio di VPN, o in extremis disattivate la condivisione dei dati tramite il pannello di controllo del dispositivo.
4. BYOD
Bring Your Own Device, è la pratica di portare i propri dispositivi personali sul luogo di lavoro. Se da un lato può rappresentare un vantaggio, visto che spesso i dispositivi tecnologici forniti dalle aziende sono meno avanzati e performanti, può portare dei problemi per quanto riguarda la gestione delle infrastrutture IT e la protezione dei dati. Il rischio sta proprio nella possibilità di poter utilizzare i device personali sia per la vita lavorativa che per quella privata, sul quale i manager delle aziende possono avere poco controllo. Spesso ai dipendenti non importa di proteggere lo smartphone e il pc con specifici software e antivirus, o magari non sono neanche a conoscenza dei possibili rischi, e navigando tra diversi siti vengono attaccati da qualche hacker. Cosa possono fare i manager di un’impresa? Far installare un servizio di VPN, far impostare l’autenticazione a due fattori per gli account aziendali, o utilizzare un software di Mobile Device Management, per migliorare la gestione dei dispositivi a distanza.
5. Non aggiornare il sistema operativo e le patch di sicurezza
Si sa, gli aggiornamenti possono essere una scocciatura, alcuni impiegano alcuni minuti, altri possono arrivare a qualche ora, ma non eseguirli appena sono disponibili è un grave errore che si può commettere. Gli aggiornamenti non consistono solamente in ciò che vediamo, come nuove funzionalità, nuove grafiche, migliori prestazioni, ma aggiornano anche la sicurezza informatica, migliorandola, risolvendo bug e falle del sistema rendendo più difficile l’attacco da parte di virus e malware.
6. Attenzione ad aprire certe pubblicità!
Con i siti web intasati da banner e pop-up pubblicitari non è difficile che ci si presenti una pubblicità interessante a cui non resistiamo e vogliamo saperne di più. Alcune pubblicità possono essere create appositamente per rimandare a pagine con URL dannosi o installare direttamente dei malware con un semplice click. Un malware è un programma o un codice dannoso in grado di rubare, alterare ed eliminare i dati da un dispositivo, e questa tipologia di attacco si chiama malvertising. Fate attenzione quando navigate con i dispositivi aziendali, è sufficiente cliccare involontariamente un banner pubblicitario e non vi accorgerete neanche che un hacker ha accesso alla rete aziendale.
7. Non lasciare incustoditi i tuoi dispositivi
Con l’ascesa dello smart working, moltissimi lavoratori si sono ritrovati a dover lavorare da casa dove non hanno un luogo adibito a questa attività e spesso neanche gli strumenti per quest’uso esclusivo. Quindi il pc e lo smartphone personale sono l’unica soluzione. È meglio evitare di lasciare i dispositivi aziendali incustoditi e evitare di lasciare libero accesso anche ad altri membri della famiglia, non si sa mai cosa potrebbero combinare, e probabilmente non hanno una formazione di sicurezza informatica. Inoltre, è opportuno proteggere con una password la rete wi-fi di casa al fine di evitare attacchi Man In The Middle.
8. Insider threat
Così vengono chiamate le minacce di natura interna, ovvero da parte di persone che lavorano con e per l’azienda, quindi non solo dipendenti ma anche fornitori e soci in affari. Di questi i più minacciosi possono essere gli ex dipendenti e i dipendenti scontenti in possesso di informazioni chiave che possono decidere autonomamente di sfruttarle contro l’azienda. Nella maggior parte dei casi vengono trovati e contattati da hacker o gruppi esterni, i quali offrono un compenso in cambio di informazioni.
Cosa fare per avere una maggior protezione
Una componente molto importante, ma spesso trascurata, è la consapevolezza e la conoscenza in tema di sicurezza informatica e cyber-security da parte di tutti i lavoratori all’interno di un’azienda. È necessario dotarsi delle migliori tecnologie all’avanguardia che permettano, a livello tecnico, di proteggersi dalle minacce esterne, ma è fondamentale che siano coniugate alla formazione dei dipendenti, solo così si può ottenere la più efficace strategia di sicurezza informatica e di security awareness.
Una soluzione efficiente è la formazione di una parte specifica dei componenti di un’impresa, come il titolare, gli IT manager, i responsabili di specifiche aree, con un corso di ethical hacking. La figura dell’ethical hacker si occupa di collaudare i sistemi di sicurezza informatici simulando gli attacchi di un hacker al fine di testare la vulnerabilità e cercare falle nel sistema. Sarebbe bene che in ogni azienda sia presente almeno una persona con queste specifiche competenze, visto che sono operazioni che vanno svolte frequentemente per stare al passo con l’evoluzione di questo mondo.
Nexsys, azienda informatica con sede a Verona, offre diversi corsi di formazione per utenti e professionisti specializzati, tra cui il corso di ethical hacking in preparazione a una certificazione in ambito Information Security e utile al conseguimento di nuove competenze in ambito aziendale. Prenota subito il tuo corso chiamando il numero +39 0452456669 oppure contattaci per altre informazioni.
