WETWARE ed il fattore umano

Ecco i 4 + 1 errori più ricorrenti fatti dai dipendenti (e come evitarli)

 Ecco i 4 + 1 errori più ricorrenti fatti dai dipendenti (e come evitarli)

In questi ultimi mesi si parla tanto di privacy e di sicurezza informatica. Le più importanti testate giornaliste on & off line hanno trattato costantemente della materia in quanto rappresenta un topic attualissimo e non solamente di importanza futura. Ricordiamo per esempio Cambridge Analytica e l'entrata in vigore del GDPR, ossia la nuova normativa europea in ottima di protezione dei dati


Risultati immagini per gdpr titoli giornali

In tutto questo vociferare di parole come GDPR, Malware, Trojan, Endpoint, sorge spontanea una semplice domanda:

"... esistono delle piccole attenzioni quotidiane - low budget - da mettere in campo per difendere la propria azienda (e il proprio posto di lavoro)?"

Noi di Netica abbiamo deciso di darvi pochi, ma utili, spunti di riflessione.


Come ormai è ben risaputo (per chi “è del mestiere”) i cyberattacchi costano ad ogni grande azienda mondiale 11,7 milioni di dollari l’anno (almeno secondo le stime Accenture). Una perdita evidentemente non soltanto in termini economici ma anche un rilevante calo di immagine ed affidabilità, intangible assests che vanno a ledere seriamente la azienda. Pensate ad esempio al rischio di accessi indesiderati o di furti di brevetti industriali.

A primo acchito sembrerebbe dunque un problema che colpisce solo le grande aziende… ma non è così. Anche perché gli effetti deleteri di questi attacchi sono decisamente più violenti quando colpiscono le aziende più piccole, in quanto solitamente meno sensibili al problema della sicurezza informatica e pervase da una sorta di illusione che le porta a pensare che tutto ciò faccia parte di un mondo a loro estraneo.

Fortunatamente, anche grazie ad una maggior attenzione alla materia, si sta assistendo ad un correre ai ripari da parte delle aziende e nel 2017 si è registrata una crescita esponenziale degli investimenti in strumenti di sicurezza informatica.

Una crescita che, purtroppo, si è troppo focalizzata sulla privacy interna a discapito di quei strumenti, chiamati in gergo “endpoint protection”, in grado di proteggere i dispositivi dei dipendenti, soprattutto quando si trovano all’esterno del perimetro aziendale.

A questo problema si aggiunge il rischio del fattore umano, ovvero gli errori che possono compiere i dipendenti dell’azienda stessa. Quello che gli esperti chiamano “wetware”.

Non è d’altronde un caso se nel mondo aziendale la maggior parte delle infezioni avvengono infatti passando per i client di posta aziendale o per i browser.

Ormai hacker ed organizzazioni criminali non puntano più ad attaccare le infrastrutture di rete aziendali, spesso notevolmente protette, ma il singolo utente e, di conseguenza, il singolo dispositivo attraverso attacchi di phishing personalizzato grazie alle informazioni personali reperite attraverso i web. Esistono ovviamente diversi strumenti per proteggere ogni singolo dispositivo aziendale, ma il rischio generato dal fattore umano risulta più difficile da correggere. Spesso infatti molti attacchi informatici avvengono a causa di comportamenti apparentemente innocui.

Quali sono dunque questi comportamenti, cioè gli errori più comuni commessi da parte dei dipendenti delle aziende? Alcuni sembrano scontati, ma noi di Netica siamo da sempre convinti che i grandi cambiamenti nascono dalle piccole cose.

Gli errori da non fare

  1. Utilizzare password non debitamente protette e condivise con la vita privata (come i social network). E’ banale affermarlo, anche perché si tratta di un concetto detto e ridetto, ma l’utilizzo di password deboli facilita enormemente la vita degli hacker, che possono intervenire con attacchi diretti “brute force”. Un rischio è rappresentato anche dall’utilizzo di password identiche a quelle della vita privata, come quelle usate per servizi di social network o per le piattaforme di e-commerce. Bucato uno, bucati tutti (compresi quelli dell’azienda).
  2. Utilizzare di sistemi di protezione non adeguati. Oltre al singolo antivirus, per proteggere ogni possibile area di attacco a cui i dispositivi sono esposti, sarebbe utile adottare ulteriori sistemi di protezione. Meccanismi che vadano a monte del problema e siano però di qualità elevata. In caso contrario il rischio è quello che i dipendenti disabilitino deliberatamente i sistemi di protezione: spesso, se di cattiva qualità, possono rallentare sensibilmente le prestazioni dei dispositivi. E aprire varchi inaspettati agli “invasori”.
  3. Visualizzare siti di dubbia origine. Molto spesso i dispositivi aziendali vengono infettati a seguito della semplice visualizzazione di un sito pornografico o un’altra url contenente chissà quale specchietto per le allodole (classico esempio). Al contempo sono molto pericolosi anche i siti in cui una voce fuori campo millanta di poter far guadagnare in poco tempo migliaia di euro.
  4. Scaricare software pirata su dispositivi aziendali. Spesso programmi o applicazioni pirata contengono al loro interno una parte malevola. Scaricando questi tipi di software il rischio è quello di iniettare nel proprio computer un vero e proprio “cavallo di Troia” infettando senza saperlo il proprio dispositivo. E trasformandolo in uno zombie, utile a sua volta per sferrare altri attacchi sfruttandone la potenza di calcolo.

e... 4+1 Utilizzare chiavi USB (spesso non cifrate) per trasferire i dati. Sembra ormai molto "old fashioned" in un mondo ormai cloud-oriented ma alcune tra le più grandi perdite di dati sono avvenute a causa della perdita di supporti mobili per nulla o non debitamente cifrati. Come per un carico d’oro ci si affiderebbe ad un camion blindato, così criptare un supporto di memoria è un passaggio decisivo quando si “trasportano” dati sensibili.


LinkedIn Seguici su:


Facebook



Condividi questa pagina: