Come condiviso da Stephen Gates, una delle domande più frequentemente formulate dalle aziende è quali siano i passi decisivi da intraprendere per ottenere una sensibile (e misurabile) riduzione della loro esposizione nei confronti delle minacce cyber.
Certo, mettere in campo tecnologie di sicurezza a protezione del perimetro e dei dati aziendali ha un valore imprescindibile.
In ogni caso, non importa quanta tecnologia venga messa in campo, non potrà mai completamente sostituire il comune buon senso.
La maggior parte degli attacchi informatici che si traducono in furto di dati, coinvolgono l’elemento umano, il tanto temuto “click”:
l’atto compiuto da un dipendente (o comunque una persona legalmente presente in azienda) che viene ad esempio ingannata da una e-mail di phishing e clicca su un link o un allegato che installa software malevolo non rilevato.
Ridurre questa singola “cattiva abitudine” basterebbe a migliorare sensibilmente la posizione difensiva di qualsiasi azienda.
Ecco alcune raccomandazioni per affrontare questo problema:
- Formate e Sensibilizzate i dipendenti relativamente agli attacchi informatici.
Iniziate con una formazione profonda su come agiscono gli attacchi informatici. Pochi dipendenti, sempre che ve ne siano, conoscono la differenza tra virus, worm, Trojan, exploit, vulnerabilità, phishing, smishing, drive-by, malvertising, adware, spyware e ransomware.
Formare i dipendenti su come funzionano gli attacchi informatici genera la consapevolezza del rischio costante a cui si trovano esposti nei confronti dei crimini informatici. Se la formazione è fatta bene, con esempi calati nel mondo reale e scenari alla portata di tutti, i probabili risultati saranno due: dipendenti più istruiti e maggiore team building, poiché le minacce informatiche accomunano tutti, indipendentemente dal ruolo o dall’attività in azienda.
In secondo luogo, includete nella formazione le motivazioni e le tattiche usate dagli attaccanti e quali siano i loro target preferiti. Molti attaccanti sono spinti da motivazioni economiche ed è necessario comprendere che per loro accedere ai dati aziendali o personali è mettere la mani su una miniera d’oro. E’ necessario che i dipendenti capiscano il valore di questi dati e quanto sia importante proteggerli. Un semplice click può essere tutto ciò che serve per compromettere un sistema, ottenere un accesso e muoversi all’interno di un’azienda. I dipendenti sono spesso il catalizzatore che si traduce in una violazione dei dati.
- Attuate una politica non punitiva
Molti attacchi informatici passano inosservati perché i dipendenti sono poco motivati a segnalare attività sospette sui loro computer, account e dati. Spesso una persona clicca, qualcosa di strano accade sul computer e, per diverse ragioni, ha paura a riferire l’accaduto. Il sentore di essere stati imprudenti, la paura del ‘pubblico ludibrio’, la violazione delle politiche di utilizzo di Internet o il generico timore di ritorsioni negative, ostacola la condivisione di informazioni che possono invece risultare fondamentali.
Istituite politiche che invece premino i dipendenti che si fanno avanti, riportando le attività sospette, facendo screenshot delle schermate e condividendo i passi che sono state intrapresi e che hanno portato ad una sospetta attività malevola.
Queste informazioni preziose aiuteranno i team di sicurezza e quelli forensi nelle loro indagini, nonché limiteranno i danni potenziali delle attività malevole stesse.
- Testate i risultati
Il monitoraggio dei dipendenti spesso non fornisce il risultato desiderato. Si cerca di forzare il rispetto delle norme, ma si finisce per assomigliare ad una sorta di polizia informatica. A nessuno piace essere monitorato mentre è online.
Create invece test di “tentativi di attacco” con diversi scenari. Fate test di phishing nei confronti dei vostri dipendenti per vedere se compiono il temuto click. Dite loro per tempo di aspettarsi un attacco ed effettuate delle sessioni di recupero della formazione nel caso per una volta dovessero fallire. Se invece non dovessero cadere nel tranello, segnalando quindi il tentativo in modo appropriato, ricompensateli pubblicamente per essere stati prudenti.
Presto avrete dipendenti che fanno parte della soluzione e non più del problema.