Nel 40% delle aziende di tutto il mondo i dipendenti nascondono gli incidenti di sicurezza IT. Questo รจ quanto emerge dalla nuova indagine di Kaspersky Lab e B2B International, โHuman Factor in IT Security: How Employees are Making Businesses Vulnerable from Withinโ. La ricerca ha inoltre rivelato che, ogni anno, il 46% degli incidenti di sicurezza IT vengono causati dagli impiegati, dato che evidenzia lโimportanza di risolvere questa vulnerabilitร su piรน livelli e non solamente nella divisione dedicata alla sicurezza IT.
Chi apre le porte dellโazienda agli hacker?
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
I dipendenti disinformati o distratti sono una delle cause principali degli incidenti di sicurezza informatica, secondi solamente ai malware. Sebbene questi ultimi siano sempre piรน sofisticati, il fattore umano continua a rappresentare il pericolo maggiore.
Nello specifico, la disattenzione del personale costituisce una delle principali falle sfruttate dai cyber criminali per lanciare attacchi mirati alle aziende. Anche gli hacker che fanno uso di tecniche avanzate e malware personalizzati iniziano spesso il loro attacco sfruttando il punto dโaccesso piรน debole: la natura umana.
Secondo i risultati della ricerca, nel corso dellโultimo anno, un attacco mirato su tre (28%) รจ stato lanciato attraverso phishing o tecniche di social engineering. Ad esempio, un contabile distratto potrebbe facilmente aprire un file nocivo mascherato da fattura inviata da uno dei numerosi fornitori dellโazienda. Il malware potrebbe, quindi, fermare completamente lโinfrastruttura dellโazienda, trasformando il contabile in un complice involontario dei criminali.
“Spesso i cyber criminali sfruttano gli impiegati come punto dโaccesso per infiltrarsi in unโinfrastruttura aziendale. Email di phishing, password deboli e false chiamate da parte del supporto tecnico sono solo alcuni esempi delle tattiche utilizzate. Anche una semplice memoria flash trovata nel parcheggio dellโufficio o vicino alla scrivania della segretaria potrebbe compromettere lโintera rete. Basta semplicemente che qualcuno allโinterno dellโazienda, con scarse competenze di sicurezza informatica, connetta il dispositivo alla rete, dove potrร iniziare a creare scompiglio”, ha commentatoย Morten Lehn, General Manager Italy di Kaspersky Lab.
Le aziende non vengono colpite dagli attacchi mirati sofisticati ogni giorno, ma possono diventare vittime anche dei malware tradizionali che mirano alla massa. La ricerca ha inoltre svelato che, anche quando si tratta di malware, i dipendenti disinformati o disattenti sono spesso coinvolti, causando il 53% delle infezioni.
Perchรฉ dovrebbero essere coinvolti anche il top management e le risorse umane
I dipendenti che nascondono gli incidenti in cui sono stati coinvolti possono comportare marcate conseguenze, aumentando il danno complessivo causato. Anche un singolo evento non riferito potrebbe denotare una violazione molto piรน ampia e i team di sicurezza devono essere in grado di identificare rapidamente le minacce che si trovano a dover affrontare per scegliere le tattiche di mitigazione piรน adeguate.
Intermezzo promozionale ... continua la lettura dopo il box:
Tuttavia, lo staff sembra preferire mettere a rischio lโazienda non riportando il problema per paura di venire puniti o per lโimbarazzo di essere i colpevoli di un malfunzionamento. Alcune organizzazioni hanno introdotto severe regole e impongono maggiori responsabilitร ai dipendenti, invece di incoraggiarli semplicemente a fare attenzione e collaborare. La cyber sicurezza, infatti, non dipende solamente dalle tecnologie implementate, ma anche dalla cultura e dalla formazione proposta in azienda. Questo compito spetta al top management e alle risorse umane.
“Il problema rappresentato dal nascondere gli incidenti dovrebbe essere comunicato non solo ai dipendenti, ma anche al top management e alle risorse umane. Se gli impiegati nascondono gli incidenti, deve esserci una ragione. In alcuni casi, le aziende introducono policy severe ma poco chiare e mettono lo staff troppo sotto pressione, invitando i dipendenti a non adottare determinati comportamenti e avvisandoli che verranno ritenuti colpevoli nel caso in cui qualcosa vada storto. Queste policy incrementano la paura e lasciano al personale una sola possibilitร : evitare la punizione ad ogni costo. Nel caso, invece, in cui ci sia unโadeguata cultura alla sicurezza informatica, basata su un approccio educativo invece che su uno restrittivo imposto dallโalto, i risultati sono evidenti”, ha dichiaratoย Slava Borilin, Security Education Program Manager di Kaspersky Lab.
Borilin, inoltre, fa riferimento al modello della sicurezza industriale, che vede al centro le segnalazioni e un approccio โlearn by mistakeโ. Ad esempio, in una sua recenteย dichiarazione, Elon Musk, Presidente e CEO di Tesla, ha richiesto che ogni incidente che coinvolge la sicurezza dei lavoratori venga riferito direttamente a lui, affinchรฉ possa dirigere il cambiamento.
Il fattore umano: oltre il clima aziendale
Le aziende di tutto il mondo stanno iniziando a comprende il problema delle vulnerabilitร rappresentate dai dipendenti: il 52% degli intervistati ha ammesso che lo staff costituisce la principale debolezza della propria sicurezza IT. La necessitร di implementare misure concentrate sui dipendenti รจ sempre piรน evidente: il 35% delle aziende vuole migliorare la propria sicurezza offrendo formazione allo staff โ il secondo metodo piรน diffuso, secondo solo allโutilizzo di software piรน sofisticati (43%).
Il modo migliore per proteggere la propria azienda dalle minacce rappresentate dagli esseri umani รจ combinare i migliori tool con le giuste abitudini. Per far ciรฒ, รจ necessario coinvolgere le risorse umane e il management, per motivare e incoraggiare i dipendenti a fare attenzione e cercare aiuto in caso di incidenti. Il primo passo รจ sicuramente organizzare corsi di security awareness per lo staff, che offrano chiare linee guida invece di lunghi documenti, rafforzino competenze e motivazione e promuovano la giusta atmosfera lavorativa.
Relativamente alle tecnologie di sicurezza, la maggior parte delle minacce che prendono di mira il personale disinformato o disattento โ incluso il phishing โ possono essere affrontate con una soluzione di sicurezza endpoint. Questo tipo di prodotto puรฒ coprire le necessitร specifiche di PMI e grandi aziende in termini di funzionalitร , protezione preconfigurata o impostazioni di sicurezza avanzate, per ridurre al minimo i rischi.
Per leggere il report completo โHuman Factor in IT Security: How Employees are Making Businesses Vulnerable from Withinโ รจ possibile visitare ilย blog di Kaspersky Lab.
Informazioni su Kaspersky Lab
Kaspersky Lab รจ unโazienda di sicurezza informatica a livello globale che nel 2017 celebra i suoi primi 20 anni di attivitร . La profonda intelligence sulle minacce e lโexpertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dellโazienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Piรน di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciรฒ che รจ per loro piรน importante. Per ulteriori informazioni:ย www.kaspersky.com/it
Sala Stampa di Kaspersky Lab:ย http://newsroom.kaspersky.eu/it/
