La sicurezza informatica sul posto di lavoro è diventata sempre più importante con il passaggio alle risorse digitali e al cloud. Il ransomware è in cima all'elenco delle minacce che possono paralizzare un'organizzazione, e questi attacchi spesso iniziano con un'e-mail di phishing dannosa rivolta a dipendenti specifici. Basta un solo dipendente per cadere vittima di un attacco sofisticato e la vostra organizzazione potrebbe essere paralizzata dal blocco dell'accesso ai file, dal furto di dati e dalle minacce persistenti avanzate nascoste nella rete.
Il Colonial Pipeline, che fornisce un percorso per il gas e il carburante per aerei dal Texas alla costa orientale, è stato colpito da un attacco ransomware. L'attacco ha bloccato la produzione e costretto l'infrastruttura energetica a chiudere. Questi tipi di attacchi si sono intensificati e iniziano con il prendere di mira un dipendente interno che non riconosce che un messaggio è dannoso. Spesso si tratta di un fallimento nell'educazione e nella consapevolezza della sicurezza informatica all'interno del luogo di lavoro.
CryptoLocker, uno dei primi e più popolari attacchi ransomware, è iniziato con una e-mail di phishing. Ha colpito quasi 500.000 computer e ha portato a una diffusa perdita di dati in tutto il mondo. Il malware è stato distribuito inviando una quantità massiccia di messaggi e-mail contenenti un allegato ZIP. Una volta aperto, il ransomware scansionava i computer e criptava i file in modo da bloccarli e non potervi accedere a meno che non venisse pagato un riscatto. Gli utenti dovrebbero sapere che qualsiasi e-mail con un allegato ZIP dovrebbe essere trattata come sospetta.
CISO: il valore di un Mangiapeccati
Il ruolo di un Chief Information Security Officer (CISO) è molto simile al mitico e medievale "mangiatore di peccato" nel folklore inglese. Un mangiatore di peccato mangiava un pasto e assorbiva i peccati dei morti. Il mangiatore di peccato avrebbe poi portato in giro i peccati di altre persone per assolverle dalla colpa, dalla vergogna e dalle ripercussioni nell'aldilà.
Un CISO gioca un ruolo simile in cui i peccati dei dipendenti interni influenzano la reputazione del CISO, le prestazioni lavorative e le prospettive future. Se un dipendente cade vittima di scandali interni di sicurezza informatica, rovina la reputazione dell'organizzazione e fa crollare i servizi di produzione. Per proteggere un dipendente specifico dall'impatto negativo e dalle conseguenze, il CISO si assume le colpe della sfortunata vittima e risponde del suo errore.
Anche se solo un CISO è presente all'interno dell'organizzazione, non significa che la responsabilità è solo su un individuo. L'organizzazione nel suo complesso si assume la responsabilità. Nel caso della violazione dei dati Equifax, gli amministratori dei server e il CISO responsabile del monitoraggio e delle patch del software potrebbero essere gli unici responsabili di una delle più grandi violazioni dei dati fino ad oggi, ma l'organizzazione Equifax nel suo complesso è stata vista come irresponsabile e si è presa la colpa per la ricaduta.
Oltre ad essere responsabile della sicurezza informatica interna, un CISO ha un carico di lavoro crescente, dato che più organizzazioni passano al cloud e passano al digitale durante i blocchi pandemici del 2020. Per mantenere la produttività, le organizzazioni sono state costrette a consentire una forza lavoro a domicilio dopo la diffusione globale della COVID. Questo cambiamento negli ambienti di lavoro ha portato a un'improvvisa spinta verso il cloud computing e i flussi di lavoro digitali. Il risultato è stato che le aziende erano ormai nel cloud con pochissima considerazione per la sicurezza informatica. La sicurezza informatica era un ripensamento, e gli attori delle minacce hanno approfittato pienamente della svista. Phishing e ransomware hanno prosperato mentre sempre più dipendenti cadevano vittime di campagne sofisticate rivolte agli individui.
I sette peccati capitali della sicurezza informatica sul posto di lavoro
Laconsapevolezza della sicurezza informatica è fondamentale per evitare i rischi. Se i vostri dipendenti non conoscono l'anatomia di un attacco di phishing, non ci si può aspettare che lo evitino. L'errore umano è un fattore importante nelle violazioni dei dati, ma qui ci sono sette peccati capitali e modi per evitare di essere la prossima vittima:
- Password scadenti. La complessità e la lunghezza delle password riducono la possibilità di un attacco brute-force alle credenziali dei dipendenti. Gli amministratori possono impostare regole per le password che richiedono una certa lunghezza e complessità e impediscono il riutilizzo degli utenti.
- Rischi del Wi-Fi pubblico. Gli utenti dovrebbero essere consapevoli dei rischi associati al Wi-Fi pubblico. Tutte le applicazioni critiche dovrebbero essere utilizzate su una rete privata virtuale (VPN), e gli utenti non dovrebbero mai trasmettere dati in chiaro.
- Antivirus installato e aggiornato. Le organizzazioni che offrono una politica BYOD (bring-your-own-device) dovrebbero educare gli utenti sull'importanza dell'antivirus e del suo aggiornamento. Gli amministratori possono forzare gli aggiornamenti sulle workstation, ma fanno affidamento sugli utenti per mantenere i propri dispositivi sicuri con l'ultimo software antivirus.
- Apertura degli allegati delle e-mail. Gli amministratori possono bloccare i messaggi e-mail sospetti, ma i falsi negativi danno agli attori delle minacce l'opportunità di indurre i destinatari ad aprire allegati dannosi. Gli utenti dovrebbero sapere di non aprire gli allegati, soprattutto se provengono da mittenti esterni.
- Cliccare sui link nelle e-mail. I link maligni aprono siti controllati da aggressori dove gli utenti possono essere indotti a divulgare le loro credenziali di rete o altre informazioni sensibili. Gli utenti dovrebbero sapere di non inserire le credenziali dopo aver cliccato sui link. Invece, digitano il dominio nei loro browser per verificare che il messaggio sia legittimo.
- Condividere lecredenziali con altri utenti. Gli utenti non dovrebbero mai condividere le password. Se dovessero condividere le password, un dipendente che non fa più parte dell'azienda potrebbe ancora avere accesso a sistemi critici anche se il suo account è stato disattivato.
- Nessuna consapevolezza della sicurezza informatica. Senza educazione, gli utenti non hanno le risorse per identificare un attacco. È responsabilità del CISO creare un ambiente in cui l'educazione alla sicurezza informatica favorisca una migliore prevenzione dei rischi e meno errori umani.
Aiutare i dipendenti a combattere i cyber-attacchi e ad essere più informati
Se i CISO non si prendono il tempo di educare i dipendenti, lasciano una grande crepa nell'armatura della sicurezza informatica dell'azienda. La consapevolezza della sicurezza informatica è la prima difesa contro gli attacchi sofisticati che prendono di mira gli errori umani, quindi dovrebbe sempre essere una formazione obbligatoria per i dipendenti in entrata e il personale attuale.
La consapevolezza può essere offerta in diversi modi: eLearning, formazione pratica e politiche. I dipendenti non sono hacker, quindi le informazioni dovrebbero essere facili da capire. Dovrebbero capire le conseguenze di cadere vittima di un attacco, e i dipendenti dovrebbero essere armati di informazioni che permettano loro di mettere in dubbio la legittimità di un'e-mail, una telefonata, un sito web e qualsiasi altra forma di attacco informatico. Non hanno bisogno di una completa conoscenza tecnica, ma i dipendenti devono essere armati con le giuste informazioni.
Le più grandi minacce per un'organizzazione sono il phishing e il ransomware, ma la formazione riduce i rischi di queste minacce. I dipendenti armati della giusta conoscenza identificheranno l'attacco, eviteranno di essere vittime, allerteranno le persone giuste e un CISO avrà un lavoro molto più privo di stress. Senza la consapevolezza della sicurezza informatica, il CISO continua a rispondere in modo reattivo agli attacchi che potrebbero rovinare il CISO e la reputazione dell'organizzazione.
