I dipendenti sono l’anello debole di qualsiasi sistema di sicurezza aziendale. Chiunque abbia il compito di proteggere i sistemi informatici può confermarlo: non importa quanto sia avanzata una tecnologia di sicurezza, un dipendente disattento o incauto può sempre commettere un errore e mettere a rischio l’infrastruttura. Se di recente siete passati alla modalità smart working (come quasi la metà della popolazione attuale), il margine di errore adesso è di gran lunga maggiore.
Quando si lavora in ufficio, i sistemi di protezione e il personale IT sono lì per sobbarcarsi una parte dell’onere. Non è una garanzia di perfetta sicurezza, naturalmente, ma almeno la soluzione antivirus dell’azienda bloccherà i siti di phishing e il team di sicurezza informatica potrà individuare anomalie nel traffico di un dispositivo infetto. Il teamIT installa prontamente gli aggiornamenti per correggere le vulnerabilità più recenti.
I dipendenti che sono passati alla modalità smart working ora si devono occupare di tutti questi aspetti e anche di altri. Qui è dove la cosiddetta “security awareness” comincia a svolgere un ruolo molto più significativo.
Essere l’amministratore IT di sé stessi
Quali dispositivi utilizzano i vostri dipendenti per lavorare da casa? Un portatile da ufficio in conformità con le politiche aziendali? Ottimo, ma non è ancora abbastanza. Quel portatile è ora collegato a una rete domestica sconosciuta. Quali altri dispositivi sono collegati al router? Che tipo di router è? Quanto è forte la sua password, chi ha configurato il dispositivo e come? Se il dipendente utilizza un computer di casa personale invece di uno aziendale, non si sa chi altro vi ha accesso, quale soluzione di sicurezza sia installata o se qualcuno si occupi di aggiornare il sistema operativo.
Non stiamo suggerendo che tutti debbano diventare degli amministratori di sistema professionisti da un giorno all’altro, ma se si fosse in grado di identificare le minacce e i punti deboli sarebbe un grande vantaggio per tutti. Questo impedirebbe ai dipendenti di connettersi direttamente ai database aziendali senza un filtro VPN messo a disposizione dall’azienda o eviterebbe l’installazione di falsi “aggiornamenti flash player” e di lasciare che degli “esperti” esterni giochino con le impostazioni.
Essere il responsabile dati di sé stessi
Quali dati utilizzano i vostri dipendenti per svolgere il loro telelavoro quotidiano? Sanno cosa significa effettivamente detenere delle informazioni riservate e quali dati costituiscono un segreto aziendale? In un mondo perfetto, lo avrebbero imparato il primo giorno, in ufficio. Tuttavia, per un dipendente una cosa è lavorare con un elenco di clienti dell’UE su una sottorete di un ufficio isolato, un’altra completamente diversa è accedere a tali file da casa.
Dopotutto, quando si lavora da remoto, la possibilità di utilizzare un tool di collaborazione non monitorato e non ufficiale può essere piuttosto allettante. Tutti devono avere ben chiaro quali dati possono essere inviati attraverso canali non ufficiali e quali non devono mai lasciare la rete indicata in nessuna circostanza.
Essere l’esperto in sicurezza informatica di sé stessi
Sia i lavoratori a distanza, sia gli esperti informatici devono capire che l’attuale pandemia è una benedizione per i cybercriminali. Abbiamo visto ondate di phishing relazionato al COVID-19, attacchi di massa o diretti a aziende specifiche. Alcuni truffatori cercano di portare a termine attacchi BEC, sperando che i loro messaggi sfuggano al flusso di e-mail in aumento dovuto allo smart working. Le nostre tecnologie di sicurezza hanno rilevato infrastrutture aziendali sottoposte a costanti scansioni dall’esterno alla ricerca di porte RDP aperte per portare a termine attacchi mirati. Questo è un motivo sufficiente per raddoppiare la vigilanza.
Come formare i dipendenti in questo scenario
Innanzitutto, bisogna trasmettere ai dipendenti l’idea che oggi sono più responsabili che mai della sicurezza delle informazioni. Questo può sembrarvi ovvio, ma semplicemente molte persone non ci pensano. Inoltre, è necessario aumentate il loro livello di sensibilizzazione in materia di sicurezza. Certo, al momento non ci sono sessioni di formazione in sicurezza informatica faccia a faccia, ma i nostri programmi a distanza compensano ampiamente questo inconveniente, programmi che aggiorniamo e miglioriamo costantemente.
Il modo più semplice per impostare la formazione sulla cybersecurity a distanza è utilizzando la nostra piattaforma Kaspersky Automated Security Awareness. Non solo mantiene i dipendenti informati sulle ultime minacce, ma insegna anche a contrastarle. Inoltre, il manager ha il controllo del processo e può impostare il programma di formazione a distanza. Le lezioni sono state create da specialisti nel campo dell’educazione e della psicologia, che hanno reso il materiale interessante e facile da memorizzare.
Proprio di recente, i nostri esperti hanno aggiunto due moduli di formazione sui temi più rilevanti che riguardano i dati riservati e il GDPR. Il primo è destinato ai dipendenti che lavorano con dati personali, segreti commerciali o documenti interni. Il secondo è per le aziende i cui clienti o dipendenti sono cittadini dell’UE.
Inoltre, i nostri esperti di formazione, insieme ad Area9 Lyceum, hanno creato un modulo complementare gratuito che si compone di due parti principali. La prima insegna ai partecipanti a organizzare un ambiente di lavoro sicuro da casa. La seconda non riguarda la sicurezza delle informazioni in sé, ma spiega come minimizzare il rischio di contrarre il COVID-19. Il modulo è disponibile qui.