Conoscere e prevenire i dieci comportamenti elencati in questo articolo è il modo migliore per tenere al sicuro la tua impresa.
Anche nel mondo della cyber security il fattore umano ha enorme influenza, molto importante è essere a conoscenza dei potenziali rischi che la rete può riservare perché: “Puoi avere la miglior tecnologia di sicurezza, ma non è efficace se chi l’adopera è distratto o non è stato addestrato” The Economist 2015.
I danni economici per le aziende di tutto il mondo registrano un trend in crescita esponenziale: 100 miliardi di dollari nel 2011, 500 miliardi di dollari nel 2017 e una previsione di 3000 miliardi di dollari per il 2021*. Un trend che riguarda aziende di ogni dimensione e settore, a causa di carenti sistemi di gestione della loro sicurezza informatica. In oltre il 95% dei casi, come già dimostrato nel 2014 da IBM, gli incidenti di sicurezza informatica vedono la compresenza dell’errore umano.
*Fonti: Clusit (Associazione Italiana per la Sicurezza Informatica) e Varonis, azienda statunitense leader del settore Cyber Security.
Per ottimizzare l’impianto di sicurezza informatico, oltre ad un buon IT Manager e un sistema tecnologico all’avanguardia, come quelli che Core Sistemi offre, ed evitare quindi ingenti danni economici, legali e d’immagine alla tua azienda è necessario formare l’intero personale, portando ogni singola persona alla responsabilizzazione. In ogni funzione aziendale e in ogni dipartimento, dal magazzino all’ufficio del CEO, e anche nelle operazioni più̀ banali (come l’utilizzo del canale e-mail), si possono verificare comportamenti che possono mettere seriamente a rischio la tua azienda.
Quali sono quindi i 10 principali comportamenti da tenere sotto controllo?
Di seguito un decalogo che ha lo scopo di interrogare e informare sui principali rischi che l’utilizzo quotidiano della tecnologia da parte del personale della tua azienda possono comportare.
- Comunicazioni aziendali attraverso Whatsapp: Puoi esercitare una funzione di controllo?
La tua azienda, pur riconoscendo che la velocità della comunicazione WA possa essere un catalizzatore per le performance, deve essere conscia dei rischi di uno strumento sul quale non può̀ esercitare alcuna funzione di controllo.
2. Geolocalizzazione: competitor e criminali sanno dove sono le persone che lavorano nella tua azienda?
Queste informazioni possono essere facilmente rubate dai server delle applicazioni. In questo modo i criminali possono conoscere i nostri spostamenti, prevedere gli spostamenti futuri e, di conseguenza, pianificare un furto, un sequestro o, semplicemente, passare informazioni preziose ai tuoi competitor. Saiche è possibile vedere tutti i posti in cui sei stato in cui hai attivato la geolocalizzazione? https://www.google.com/maps/timeline?pb
3. Applicazioni sullo smartphone aziendale: Come evitare che vengano sottratti dati sensibili?
Un’azione molto importante è leggere le review delle applicazioni che scarichiamo e non utilizzare il cellulare per lo scambio di documenti di lavoro. Il consenso alle app per accedere ai nostri dispositivi deve essere meditato. Seguire le indicazioni della policy aziendale è sempre la scelta migliore.
4. Aggiornamento dei software: Quanto è rischioso evitare gli aggiornamenti dei dispositivi aziendali?
Aggiornare costantemente i propri dispositivi significa tutelarsi dal rischio che un malware possa diffondersi nel sistema sfruttandone le vulnerabilità̀. Un solo utente che non aggiorna il software mette a repentaglio tutta la rete aziendale.
5. I Wi-Fi pubblici: Quali rischi nasconde una rete pubblica per la tua azienda?
Il pericolo principale è dettato dal furto di informazioni, che può avvenire secondo due metodologie:
Spoofing: l’attaccante crea un wi-fi simile a quello pubblico, che in realtà̀ monitora tutti i dati che vengono inseriti.
Sniffing: in questo caso l’hacker si connette al wi-fi pubblico ufficiale e, tramite software, può osservare il traffico di pacchetti di dati inviati e ricevuti dai device.
L’esposizione a questo tipo di attacco è alta anche perché́ raramente gli smartphone sono protetti da firewall o antivirus e sono, quindi, facilmente accessibili.
6. I pagamenti: Quali sono i metodi di attacco più diffusi tra i cybercriminali?
Sapevi che il phishing è il metodo di attacco preferito dai cybercriminali e che è in continua crescita (+0,55%)? A evidenziarlo è il report Microsoft 2018, nel quale vengono approfonditi tre particolari tipi di truffe:
Man in the middle: l’hacker si inserisce all’interno di una conversazione tra cliente e fornitore, sostituisce l’IBAN della fattura con uno di sua scelta, lasciando però inalterato l’indirizzo mail da cui proviene il documento scale;
Truffa del CEO: l’attaccante riesce ad ottenere l’indirizzo mail di un dirigente dell’azienda e comunica la necessità di effettuare un pagamento immediato. Quello che rende così efficace questa truffa è la pressione emotiva di una comunicazione che proviene da una fonte autorevole e comunica un’estrema urgenza. Questi due fattori favoriscono una decisione veloce, euristica ed inibiscono un ragionamento strutturato sui rischi che si corrono ad effettuare un pagamento di questo tipo senza le dovute veri che;
Keyloggers: si tratta di malware in grado di rilevare tutto quello che la persona digita sulla tastiera per inviarlo successivamente all’attaccante, che ha l’intento di trovare password o numeri di carte di credito. La modalità̀ di diffusione più̀ consueta di questi malware è sempre l’allegato tramite mail, oppure il download tramite browser o torrent.
7. Comunicazioni aziendali via mail: Il phishing tramite le e-mail come ridurre la vulnerabilità?
Sebbene il sistema di comunicazione aziendale tramite e-mail sia tuttora il più completo e funzionale, è importante considerare che nella maggior parte dei casi è proprio tramite queste, e più nello specifico mediante il fenomeno del phishing, che le aziende vengono attaccate.
A confermare questa tendenza è stato anche il report di Microsoft sui trend Cybersecurity 2018, il quale mette in evidenza come gli attacchi informatici veicolati tramite e-mail malevole siano stati, nel corso del 2018, in forte crescita: dall’analisi di circa 500 miliardi di e-mail in ingresso nei sistemi di posta elettronica, si è passati da uno 0,25% di e-mail di phishing all’inizio del 2018, a oltre uno 0,50% a ne 2018.
Per questa ragione dedicheremo uno dei nostri prossimi articoli all’argomento, per approfondire cause e dinamiche di questo fenomeno.
8. Gestione password: Come generare una password sicura con un metodo facilmente memorizzabile?
Applicazioni, siti, account, dispositivi: da ciascuno di essi viene richiesta un’autenticazione online della persona, spesso in modo veloce, per agevolare l’accesso al servizio. Come si fa a ricordare un numero sempre crescente di credenziali di accesso? La soluzione non è certo quella di usare sempre la stessa password o di usare password molto semplici.
Usando sempre la stessa password su diversi account ci si espone ad un attacco credential stuffing: l’attaccante tenta l’accesso ad un vasto numero di account riutilizzando credenziali trafugate in precedenza attraverso i data breach: brecce nei server di grosse compagnie come Google o Instagram.
Dimentica le solite “1234”, “qwerty” e “password”: un buon metodo per sviluppare una password efficace consiste nel memorizzare una frase e utilizzare le iniziali della frase per comporre una parola.
Un esempio potrebbe essere: “Offriamo i 3 migliori servizi di sicurezza informatica” che diventa “Oi3msdsi”; una password apparentemente senza significato per un computer, ma facilmente memorizzabile, alla quale però sarà oltremodo utile aggiungere dei simboli come £, %, $ per evitare il brute forcing.
L’uso dei caratteri complessi (minuscole, maiuscole, numeri e simboli) nell’elaborazione di una password è un buon segreto per evitare di incorrere in fastidiosi problemi.
9. Social Network: scegliete i contenuti a tutela dell’immagine aziendale?
Una precauzione utile è far sì che ci sia una selezione dei contatti aggiunti sui social, specialmente i social network aziendali, e accettare prevalentemente persone che conosciamo nella vita reale. In generale, quanto più̀ il dipendente è attivo sul proprio profilo social, tanto più dovrà̀ muoversi con cautela nella sua partecipazione al social aziendale, fare in modo che le modalità̀ di utilizzo e i contenuti postati siano appropriate al contesto ed ai rischi.
10. Navigazione su internet: spesso l’insidia si nasconde dietro ad un click di consenso ad una cookie policy che, in realtà̀ è solo un pop-up trappola e avvia il download di malware o spyware.
Ecco alcune precauzioni utili: tenere sempre aggiornati i browser; navigare solo su pagine https, ossia sicure perché́ criptate; cancellare periodicamente la cronologia; non salvare le password sui browser; evitare il più̀ possibile i download; attivare sempre l’autenticazione a due fattori.
In generale, il consiglio più prezioso è quello di avvalersi di validi sistemi di sicurezza e seguire sempre le indicazioni previste dalle policy aziendali, senza mai farsi trascinare dalla fretta dilagante nel mondo digitale.
Fonte: CYSED Human Cyber Security Education – FATTORE UMANO E CYBER SECURITY: i 10 comportamenti che mettono a rischio la tua azienda