Con i recenti rapporti che identificano il phishing come uno dei problemi più persistenti e diffusi nel campo della sicurezza informatica, è importante non solo capire il livello di rischio che corre la tua organizzazione, ma anche come mitigare al meglio questo rischio.

Le truffe di phishing esistono ormai da tempo, ma non mostrano segni di rallentamento a breve. Al contrario, sono in continua evoluzione. Nel quarto trimestre del 2016 è stato registrato un  Aumento del 45% degli attacchi BEC (Business Email Compromise) rispetto al quarto trimestre del 2015. Ciò significa che i criminali informatici puntano maggiormente sullo sfruttamento del fattore umano all’interno dell’organizzazione rispetto alla distribuzione di trojan e attacchi informatici automatizzati.

Come puoi proteggere la tua azienda da un attacco di phishing?

1. Formazione di sensibilizzazione sul phishing per i dipendenti

Può sembrare un luogo comune, ma è vero: i tuoi dipendenti sono la tua migliore difesa quando si tratta di sicurezza informatica generale e di proteggere la tua organizzazione da un’aggressione. attacco di phishing. Di recente abbiamo assistito al colossale attacco ransomware WannaCry. Questo attacco ha messo in evidenza come una semplice e-mail di phishing, cliccata da un dipendente ignaro, possa essere sufficiente per scatenare un grave attacco informatico in grado di infettare rapidamente un’intera rete. Questo attacco ha dimostrato quanto sia fondamentale il firewall umano all’interno di un sistema di sicurezza più ampio. Per questo motivo, è molto importante investire in corsi di eLearning di alta qualità sulla sicurezza informatica, su come riconoscere le e-mail sospette e sulle azioni da intraprendere quando si è vittima di una truffa di phishing. Allo stesso modo, potresti investire in esercitazioni di phishing simulato per la tua organizzazione utilizzando il nostro sofisticato prodotto MetaPhish.

2. Assicurati di avere un buon dispositivo antispam e di gestione unificata delle minacce (UTM).

Va da sé che per proteggere al massimo un’organizzazione da una truffa di phishing è necessario utilizzare diversi tipi di sicurezza. Può sembrare un investimento oneroso, ma raddoppiare o triplicare i metodi di protezione informatica potrebbe farti risparmiare molto tempo e denaro nel lungo periodo! Le protezioni antispam e gli UTM di alta qualità, acquistati da nomi affidabili del mercato, sono indispensabili per qualsiasi organizzazione che voglia combattere gli attacchi di phishing, poiché la maggior parte di queste e-mail truffaldine rimane impigliata nelle reti. Tuttavia, poiché alcune di queste e-mail sono molto sofisticate, è importante sapere che le protezioni antispam da sole non sono la risposta definitiva e che anche la formazione dei dipendenti è fondamentale.

3. Implementare le linee guida per i dipendenti

Dovresti avere un registro chiaro e sicuro di quali informazioni sono sensibili e non devono essere divulgate. Dovresti anche limitare il numero di dipendenti che hanno accesso a questi dati per ridurre al minimo il rischio che vengano divulgati o consegnati a criminali informatici tramite un’operazione di marketing.  e-mail di phishing. È necessario stabilire delle linee guida chiare per istruire i dipendenti su come gestire le informazioni aziendali importanti. È anche una buona idea implementare politiche basate su queste linee guida per creare consapevolezza in tutta l’azienda e dimostrare che i tuoi dipendenti sono informati.

4. Implementare una politica di sicurezza delle informazioni personali

Per ridurre al minimo i rischi, vale la pena di prendere in considerazione l’implementazione di una politica che stabilisca che tutte le informazioni sensibili, ad esempio i dati bancari dell’azienda, possono essere comunicate in modo sicuro solo per telefono o tramite siti web https con strutture di pagamento sicure, mai tramite e-mail. Assicurarsi che i tuoi dipendenti siano consapevoli del fatto che l’e-mail è un mezzo rischioso attraverso il quale fornire l’accesso a informazioni aziendali sensibili è fondamentale per ridurre i rischi connessi, in quanto non puoi essere sicuro di chi si trova all’altro capo di un’e-mail. Quando i bonifici bancari vengono richiesti via e-mail (come accade spesso in caso di sofisticati attacchi di spear phishing), la prassi migliore è quella di chiamare direttamente la persona interessata e verificare che la richiesta provenga proprio da lei. Se questa è una pratica comune, ridurrai il rischio in modo significativo.

5. Cambia regolarmente i dati di accesso agli account e utilizza dati di accesso diversi per ogni account.

Il detto di MetaCompliance è “Le password sono come i pantaloni” ed è vero.
Cambia regolarmente le tue password e i tuoi dati di accesso e non lasciarli in giro! Più frequentemente cambi i dati di accesso agli account aziendali, meno possibilità avranno gli hacker (che magari hanno avuto accesso ai tuoi account in passato) di tornare più volte per carpire altre informazioni. Allo stesso modo, avere un solo set di dati di accesso per tutti gli account aziendali è una pessima idea! Pensa, avresti una sola chiave principale che ti permette di accedere a qualsiasi stanza della tua organizzazione? Nella malaugurata ipotesi che un hacker riesca ad accedere a un account utilizzando i dati ottenuti da un’e-mail di phishing, puoi essere certo che utilizzerà gli stessi dati per cercare di violare altri tuoi account. Non rendergli le cose più facili!

Hai altri metodi per proteggere la tua azienda dagli attacchi di phishing? Oppure ci sono altri approcci aziendali a questi tipi di attacchi informatici che potresti vedere introdotti in futuro.