Molti incidenti di sicurezza informatica sono causati dai dipendenti stessi
I dipendenti stessi sono un rischio per le organizzazioni. Uno studio globale di Kaspersky Lab mostra che il 46% di tutti gli incidenti di sicurezza informatica sono causati dai dipendenti. Inoltre, il 40% degli incidenti di sicurezza informatica auto-inflitti sono tenuti segreti.
I dipendenti stessi sono un rischio per le organizzazioni. Uno studio globale di Kaspersky Lab mostra che il 46% di tutti gli incidenti di sicurezza informatica sono causati dai dipendenti. Inoltre, il 40% degli incidenti di sicurezza informatica auto-inflitti sono tenuti segreti.
Molti attacchi in circolazione prendono di mira gli impiegati, che spesso mostrano una mancanza di cura o attenzione ai loro documenti. I dipendenti sono "la porta più facile per attacchi aziendali altamente tecnici e specializzati", secondo un recente studio di Kaspersky.
Metodi mirati
Secondo Kaspersky Lab, il 28 per cento di tutti gli attacchi mirati l'anno scorso sono stati effettuati tramite phishing o ingegneria sociale. Un esempio: un'e-mail contiene un file maligno mascherato da fattura di un fornitore; se questa viene aperta da un contabile disattento, la rete aziendale potrebbe già essere infettata.
"I dipendenti spesso aprono le porte dell'infrastruttura di un'azienda per i criminali informatici", spiega David Jacoby, ricercatore di sicurezza di Kaspersky Lab. "Lo spettro degli attacchi va dalle email di phishing alle password troppo deboli alle presunte chiamate del supporto IT. Un'altra truffa è costituita da schede di memoria apparentemente perse e compromesse che vengono deliberatamente collocate nel parcheggio dell'azienda o nell'ufficio della segretaria e poi trovate e lette da colleghi ben intenzionati".
Governance aziendale richiesta
I dipendenti sono riluttanti a segnalare incidenti di sicurezza informatica per paura di possibili conseguenze - secondo lo studio Kaspersky, questo accade nel 40 per cento delle aziende. Le conseguenze sono gravi, perché gli esperti di sicurezza hanno bisogno di identificare gli incidenti di sicurezza informatica il più rapidamente possibile per poterli combattere adeguatamente.
Invece di minacciare con regole severe e conseguenze, le aziende dovrebbero quindi promuovere la consapevolezza e la volontà di cooperare. "La sicurezza informatica non è solo una questione di tecnologia, ma anche di cultura aziendale. Anche il top management e i dipartimenti delle risorse umane dovrebbero esserne consapevoli", dice Slava Borilin, Security Education Program Manager di Kaspersky Lab.
"Quando i dipendenti coprono gli incidenti, ci sono buone ragioni: linee guida troppo rigide e poco chiare, troppa pressione o la ricerca del colpevole. Tutto questo porta gli impiegati a nascondere la verità per paura. Risultati di gran lunga migliori provengono da una cultura positiva della sicurezza informatica, basata sulla creazione di consapevolezza e sul flusso di informazioni, ed esemplificata dal management".
Informazione, buona atmosfera di lavoro e tecnologia
La pallottola d'argento per prevenire i fallimenti umani di cybersecurity sta nella combinazione di misure tecniche e personali, che formano due strati principali:
- Livello del personale: formazione sulla sicurezza, linee guida formulate in modo chiaro e conciso, ulteriori misure di formazione e motivazione, nonché un'atmosfera di lavoro positiva.
- Livello tecnologico: le soluzioni di sicurezza degli endpoint possono essere utilizzate per contenere l'errore umano dei dipendenti. Le misure di protezione preconfigurate e le impostazioni di sicurezza avanzate possono anche essere utilizzate per prendere in considerazione i requisiti speciali delle piccole e medie imprese e dei gruppi aziendali.
Lo studio completo di Kaspersky "Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within" è disponibile qui sotto:
Il fattore umano: i dipendenti possono imparare a non fare errori?
