La sicurezza informatica sul posto di lavoro è diventata sempre più importante man mano che un numero sempre maggiore di aziende passa alle risorse digitali e al cloud. Il ransomware è in cima all’elenco delle minacce che possono paralizzare un’organizzazione e questi attacchi spesso iniziano con un’email di phishing malevola rivolta a determinati dipendenti. Basta un solo dipendente per cadere vittima di un attacco sofisticato e la tua azienda potrebbe essere paralizzata dal blocco dell’accesso ai file, dal furto dei dati e dalle minacce persistenti avanzate nascoste nella rete.

Il Colonial Pipeline, che fornisce un percorso per il gas e il carburante per aerei dal Texas alla costa orientale, è stato colpito da un attacco ransomware. L’attacco ha bloccato la produzione e costretto l’infrastruttura energetica a chiudere. Questi tipi di attacchi hanno subito un’accelerazione e iniziano prendendo di mira un dipendente interno che non si accorge che un messaggio è dannoso. Spesso si tratta di un fallimento nell’educazione e nella consapevolezza della sicurezza informatica sul posto di lavoro.

CryptoLocker, uno dei primi e più popolari attacchi ransomware, è partito da un’email di phishing. Ha colpito quasi 500.000 computer e ha portato a un’ampia perdita di dati in tutto il mondo. Il malware è stato diffuso inviando una quantità massiccia di messaggi e-mail contenenti un file ZIP allegato. Una volta aperto, il ransomware scansionava i computer e criptava i file in modo da bloccarli e renderli inaccessibili a meno che non venisse pagato un riscatto. Gli utenti devono sapere che qualsiasi e-mail con un file ZIP allegato deve essere considerata sospetta.

CISO: il valore di un mangiatore di peccati

Il ruolo di un Chief Information Security Officer (CISO) è molto simile al mitico e medievale “mangiatore di peccati” del folklore inglese. Un mangiatore di peccati mangiava un pasto e assorbiva i peccati dei morti. Il mangiatore di peccati avrebbe poi portato con sé i peccati di altre persone per assolverle dalla colpa, dalla vergogna e dalle ripercussioni nell’aldilà.  

Un CISO svolge un ruolo simile: le colpe dei dipendenti interni influiscono sulla sua reputazione, sulle sue prestazioni lavorative e sulle sue prospettive future. Se un dipendente è vittima di scandali interni di sicurezza informatica, rovina la reputazione dell’organizzazione e fa crollare i servizi di produzione. Per proteggere un dipendente specifico dall’impatto e dalle conseguenze negative, il CISO si assume le colpe della sfortunata vittima e risponde dei suoi errori.

I peccati della sicurezza informatica

Anche se all’interno dell’organizzazione è presente un solo CISO, non significa che la responsabilità ricada esclusivamente su un singolo individuo. L’organizzazione nel suo complesso si assume la responsabilità. Nel caso della violazione dei dati di Equifax, gli amministratori dei server e il CISO responsabile del monitoraggio e del patching del software potrebbero essere gli unici responsabili di una delle più grandi violazioni dei dati fino ad oggi, ma l’organizzazione Equifax nel suo complesso è stata considerata irresponsabile e si è presa la colpa delle conseguenze.

Oltre a essere responsabile della sicurezza informatica interna, un CISO ha un carico di lavoro sempre maggiore, dato che sempre più organizzazioni si spostano sul cloud e diventano digitali durante le chiusure per pandemia del 2020. Per mantenere la produttività, le organizzazioni sono state costrette a consentire una forza lavoro a domicilio dopo che la COVID si è diffusa a livello globale. Questo cambiamento negli ambienti di lavoro ha portato a una spinta improvvisa verso il cloud computing e i flussi di lavoro digitali. Il risultato è stato che le aziende si sono lanciate nel cloud con pochissima attenzione alla sicurezza informatica. La sicurezza informatica è stata un ripensamento e gli attori delle minacce hanno approfittato di questa dimenticanza. Il phishing e il ransomware hanno prosperato e un numero sempre maggiore di dipendenti è stato vittima di campagne sofisticate rivolte ai singoli individui.

I sette peccati capitali della sicurezza informatica sul posto di lavoro

La consapevolezza della sicurezza informatica è fondamentale per evitare i rischi. Se i tuoi dipendenti non conoscono l’anatomia di un attacco di phishing, non ci si può aspettare che lo evitino. L’errore umano è uno dei fattori principali delle violazioni dei dati, ma ecco sette peccati capitali e i modi per evitare di essere la prossima vittima:

  1. Password scadenti. La complessità e la lunghezza delle password riducono la possibilità di un attacco a forza bruta alle credenziali dei dipendenti. Gli amministratori possono impostare regole per le password che richiedono una certa lunghezza e complessità e che impediscono agli utenti di riutilizzarle.

  2. Rischi del Wi-Fi pubblico. Gli utenti devono essere consapevoli dei rischi associati al Wi-Fi pubblico. Tutte le applicazioni critiche devono essere utilizzate tramite una rete privata virtuale (VPN) e gli utenti non devono mai trasmettere dati in chiaro.

  3. Antivirus installato e aggiornato. Le organizzazioni che offrono una politica BYOD (bring-your-own-device) devono educare gli utenti sull’importanza dell’antivirus e del suo aggiornamento. Gli amministratori possono forzare gli aggiornamenti sulle postazioni di lavoro, ma è necessario che gli utenti mantengano i propri dispositivi al sicuro con il software antivirus più recente.

  4. Aprire gli allegati delle e-mail. Gli amministratori possono bloccare i messaggi di posta elettronica sospetti, ma i falsi negativi offrono agli attori delle minacce l’opportunità di indurre i destinatari ad aprire allegati dannosi. Gli utenti devono sapere che non devono aprire gli allegati, soprattutto se provengono da mittenti esterni.

  5. Cliccare sui link nelle e-mail. I link maligni aprono siti controllati dagli aggressori dove gli utenti possono essere indotti a divulgare le proprie credenziali di rete o altre informazioni sensibili. Gli utenti devono sapere che non devono inserire le credenziali dopo aver cliccato sui link. Devono invece digitare il dominio nel loro browser per verificare che il messaggio sia legittimo.

  6. Condividere le credenziali con altri utenti. Gli utenti non dovrebbero mai condividere le password. Se condividono le password, un dipendente che non fa più parte dell’azienda potrebbe continuare ad avere accesso ai sistemi critici anche se il suo account è stato disattivato.

  7. Nessuna consapevolezza della sicurezza informatica. Senza educazione, gli utenti non hanno le risorse per identificare un attacco. È responsabilità del CISO creare un ambiente in cui l’educazione alla sicurezza informatica favorisca una migliore prevenzione dei rischi e una riduzione degli errori umani.

Aiutare i dipendenti a combattere gli attacchi informatici e ad essere più consapevoli

Se i CISO non dedicano tempo alla formazione dei dipendenti, lasciano una grossa falla nell’armatura della sicurezza informatica dell’azienda. La consapevolezza della sicurezza informatica è la prima difesa contro gli attacchi sofisticati che hanno come obiettivo gli errori umani, quindi dovrebbe essere sempre una formazione obbligatoria per i dipendenti in ingresso e per il personale attuale.

La sensibilizzazione può essere offerta in diversi modi: eLearning, formazione pratica e politiche. I dipendenti non sono hacker, quindi le informazioni devono essere facili da capire. Devono comprendere le conseguenze di un attacco e devono essere dotati di informazioni che consentano loro di mettere in dubbio la legittimità di un’e-mail, di una telefonata, di un sito web e di qualsiasi altra forma di attacco informatico. Non è necessaria una conoscenza tecnica completa, ma i dipendenti devono essere armati delle giuste informazioni.  

Le maggiori minacce per un’organizzazione sono il phishing e il ransomware, ma la formazione riduce i rischi di queste minacce. I dipendenti armati delle giuste conoscenze identificheranno l’attacco, eviteranno di essere una vittima, avviseranno le persone giuste e il CISO avrà un lavoro molto più privo di stress. Senza la consapevolezza della sicurezza informatica, il CISO continua a rispondere in modo reattivo ad attacchi che potrebbero rovinare la sua reputazione e quella dell’organizzazione.

Consapevolezza della sicurezza informatica per principianti