Passa al contenuto principale

Cybersecurity Awareness: 7 modi in cui i dipendenti espongono l'azienda ai cyberattacchi

Threat Intelligence Solutions Evaluation.jpg

Le aziende raccolgono e archiviano enormi quantità di dati. Dalle fatture alle informazioni della carta di credito dei clienti, un'azienda gestisce un'enorme quantità di dati privati.

Per una maggiore efficienza, bisogna condividere questi dati con i dipendenti. Ma a volte anche il dipendente con le migliori intenzioni può commettere errori che espongono l'azienda ai cyberattacchi.

Abbiamo condotto di recente uno studio per scoprire quante aziende temono i cyberattacchi causati da errori dei dipendenti. Più della metà delle aziende intervistate ritiene che la mancanza di conoscenze, la negligenza o l'intento doloso di un dipendente potrebbero portare a un cyberattacco. Ulteriori ricerche mostrano che l'84% delle vittime di un cyberattacco ne attribuisce la colpa, almeno in parte, all'errore umano, secondo ComputerWeekly.com. Quindi, quali sono gli errori umani che espongono l'azienda ai cyberattacchi? Di seguito trovi un elenco dei sette errori più comuni commessi dai dipendenti con le relative soluzioni.

1. Apertura di e-mail da mittenti sconosciuti 

L'e-mail è la forma di comunicazione preferita dalle aziende. Una persona normale riceve 235 e-mail al giorno, secondo The Radicati Group. Con così tante e-mail, è logico pensare che alcune siano truffe. Aprire un'e-mail o un allegato da un mittente sconosciuto può diffondere un virus che dà ai cybercriminali una backdoor per accedere al cuore digitale dell'azienda.

Soluzioni:

  • Chiedere ai dipendenti di non aprire e-mail ricevute da mittenti sconosciuti.
  • Chiedere ai i dipendenti di non aprire allegati o link sospetti.

2. Credenziali di accesso deboli

Mashable ha rivelato che l'81% degli adulti utilizza la stessa password per tutto.  Le password ripetitive che utilizzano informazioni personali, come un soprannome o l'indirizzo, rappresentano un problema. Tramite appositi programmi, i cybercriminali violano i profili pubblici in cerca di possibili combinazioni di password e fanno diversi tentativi finché trovano quella corretta. Utilizzano anche gli attacchi a dizionario, che provano automaticamente diverse parole fino a trovare quella giusta.

Soluzioni:

  • Chiedere ai dipendenti di utilizzare password univoche.
  • Aggiungere numeri e simboli a una password per una maggiore sicurezza. Per esempio, sostituire "Seattle" con "S3att!e".
  • Stabilire regole secondo cui i dipendenti devono creare password univoche e complesse di almeno 12 caratteri e modificarle qualora sospettassero una violazione.
  • Eliminare il problema alla radice utilizzando un software Password Manager per generare automaticamente password individuali complesse per più applicazioni, siti web e dispositivi.

3. Password scritte sui post-it

Camminando per l'ufficio hai mai notato post-it sugli schermi con le password scritte sopra? Accade più spesso di quanto pensi. Se è vero che in un'azienda deve esserci un buon livello di fiducia, lasciare le password visibili è un po' eccessivo.

Soluzioni:

  • Se i dipendenti devono annotare le password, chiedi loro di conservare le copie cartacee nei cassetti.

4. Accesso senza restrizioni

In alcuni casi le aziende non suddividono i dati per livelli di accesso. Ciò significa che tutti, dagli stagisti ai membri del Consiglio di Amministrazione, possono accedere agli stessi file aziendali. Se tutti hanno eguale accesso ai dati, è maggiore il numero di persone che potrebbero perdere, compromettere o far trapelare le informazioni.

Soluzioni:

  • Impostare livelli differenziati di accesso, autorizzando solo le persone che ne hanno bisogno per ogni livello.
  • Limitare il numero di persone che possono modificare le configurazioni di sistema.
  • Non dare ai dipendenti i diritti di amministratore sui loro dispositivi, a meno che non sia realmente necessario. Anche i dipendenti con i diritti di amministratore devono utilizzarli solo quando necessario e non abitualmente.
  • Richiedere una doppia autenticazione prima di eseguire pagamenti superiori a un determinato importo per evitare la "truffa del CEO".

5. Mancanza di una corretta formazione per i dipendenti

Le ricerche mostrano che la maggior parte delle aziende impartisce corsi di formazione sulla cybersecurity. Tuttavia, solo il 25% dei dirigenti ritiene che la formazione rappresenti uno strumento efficace.

Soluzioni:

  • Impartire annualmente un programma formativo sulla cybersecurity. Gli argomenti possono includere:
    • Importanza dei corsi di cybersecurity
    • Phishing e frodi online
    • Blocco del computer
    • Gestione delle password
    • Gestione dei dispositivi mobili
    • Esempi di situazioni pertinenti

6. Software antivirus non aggiornato

Le aziende dovrebbero installare un software antivirus come misura preventiva e occuparsi anche dei successivi aggiornamenti. In alcune aziende, sono i dipendenti a occuparsi degli aggiornamenti e possono decidere se scaricarli o meno. Generalmente i dipendenti non eseguono gli aggiornamenti mentre lavorano a un progetto, dato che molti aggiornamenti richiedono di chiudere i programmi o di riavviare il computer.

Gli aggiornamenti antivirus sono importanti e dovrebbero essere eseguiti tempestivamente, senza chiamare in causa i dipendenti.

Soluzioni:

  • Impostare l'esecuzione automatica di tutti gli aggiornamenti di sistema dopo l'orario di lavoro.
  • Chiedere che tutti i dipendenti, qualunque sia il loro ruolo, si attengano a questa politica aziendale.

7. Utilizzo di dispositivi mobili non protetti

I tuoi dipendenti hanno cellulari, tablet e laptop aziendali? In caso affermativo, hai attivato un protocollo per mantenere questi dispositivi sicuri? Molte aziende non si preoccupano dei dispositivi mobili, che sono un facile bersaglio per i cybercriminali.

Soluzioni:

  • Ogni dispositivo deve essere protetto da password.
  • Se un dispositivo viene perso o rubato, occorre segnalarlo tempestivamente e seguire gli step necessari per disattivare il dispositivo da remoto.
  • Utilizzare le soluzioni per endpoint security per gestire i dispositivi mobili da remoto.
  • Non eseguire transazioni riservate utilizzando reti Wi-Fi pubbliche non attendibili.

I dipendenti sono umani e gli incidenti digitali possono succedere. Tuttavia, se si seguono alcuni step per salvaguardare i dispositivi e formare i dipendenti, è possibile evitare le minacce informatiche.

Naturalmente, la gestione della cybersecurity di un'azienda va ben oltre la formazione dei dipendenti. La protezione del footprint digitale di un'azienda e la gestione delle minacce richiedono l'aiuto di una società di cybersecurity affidabile.

 

Articoli e link correlati:

Come evitare i rischi di sicurezza delle reti Wi-Fi pubbliche
Sicurezza delle reti Wi-Fi pubbliche
Prevenzione dei cybercrimini
Scelta di una soluzione antivirus

Prodotti e servizi:

Kaspersky Enterprise Security Training
Kaspersky Enterprise Professional Services
Kaspersky Enterprise Security Assessment

Cybersecurity Awareness: 7 modi in cui i dipendenti espongono l'azienda ai cyberattacchi

Non essere consapevoli dell'importanza della cybersecurity e trascurare le best practice può esporre l'azienda a un cyberattacco.
Kaspersky logo