Nessuna azienda è esente da errori umani. Che si tratti di elaborare documenti giudiziari in fretta e furia, di aggiornare un programma di lezioni a scuola o di inviare via e-mail documenti di ristrutturazione aziendale, siamo tutti soggetti a errori occasionali. Tuttavia, come abbiamo discusso di recente, gli errori dei dipendenti (noti anche come insider threat) possono portare a gravi violazioni dei dati, con ripercussioni dannose sia per l'azienda che, potenzialmente, per i clienti che servite.
Fortunatamente, oggi tutti noi abbiamo accesso alle tecnologie più recenti che, se configurate correttamente, offrono ulteriori livelli di difesa alla nostra sicurezza. Ma oltre alla tecnologia, le piccole e medie imprese (PMI) dovrebbero pensare a quanto il loro personale sia istruito sui rischi della cybersecurity e rafforzare il comportamento sicuro dell'IT ogni volta che è possibile. Abbiamo intervistato 5.770 responsabili IT di PMI in tutta Europa e un terzo (28%) ha citato la mancanza di conoscenze o di formazione dei dipendenti come motivo di maggiori preoccupazioni per la sicurezza informatica.
Prima di addentrarci nei modi in cui è possibile rafforzare i comportamenti sicuri in ambito IT, analizziamo il motivo per cui alcuni dipendenti potrebbero essere più facilmente soggetti a minacce interne rispetto ad altri.
La scala di rischio dei dipendenti
Le attuali procedure di formazione sulla cybersecurity e la generale diligenza dei dipendenti contribuiranno a un comportamento sicuro in ambito IT. Tuttavia, alcuni dipendenti rappresentano un rischio maggiore. Gli appaltatori potrebbero non essere immersi nelle politiche di sicurezza dell'azienda come lo sono i dipendenti fissi e quindi potrebbero non conoscere tutti gli obblighi più recenti. I nuovi dipendenti, quando si abituano a più sistemi o scorrono le e-mail di mittenti di cui non ricordano ancora i nomi, potrebbero essere presi di mira.
Anche il lavoro ibrido è un fattore di rischio. I team sono costantemente in movimento o i singoli lavorano spesso da un caffè locale? Connettersi a reti esterne e lavorare in spazi pubblici potrebbe essere contrario alle pratiche di sicurezza standard. Quindi, come potete assicurarvi che tutti i membri della vostra azienda siano allineati ed esercitino un comportamento informatico sicuro?
I migliori consigli per rafforzare il comportamento sicuro nell'ambito dell'IT
Dare priorità alla formazione in materia di cybersicurezza
Tutto il personale, dai dipendenti a tempo pieno che lavorano in ufficio a quelli che trasportano le merci da e verso un sito, deve essere informato sui livelli di rischio. Ad esempio, il malware può infiltrarsi nei sistemi aziendali e bloccare le operazioni, e i dipendenti potrebbero non sapere che il download di software esterni sui sistemi aziendali può offrire ai criminali informatici una via d'accesso.
Il personale e gli appaltatori devono sapere come identificare gli attacchi di phishing. Se un dipendente riceve un'improvvisa e urgente richiesta di informazioni personali o l'istruzione di contattare il mittente tramite una telefonata o un messaggio istantaneo, deve immediatamente destare sospetti. I dipendenti devono essere formati regolarmente su come identificare e rispondere a questi incidenti, anche analizzando l'indirizzo o il numero del mittente e segnalandolo automaticamente ai reparti IT. Le procedure di formazione dovrebbero prevedere anche test di simulazione di attacchi di phishing e malware, per dimostrare quanto facilmente un dipendente possa essere preso di mira e quanto sia suscettibile agli attacchi.
Oltre agli attacchi di phishing, la formazione sulla sicurezza dei dipendenti dovrebbe approfondire argomenti quali gli attacchi di smishing (messaggi di testo ingannevoli), gli attacchi di social engineering, l'utilizzo dei social media, la condivisione sicura di file e la navigazione sicura in Internet.
Siate rigorosi con le vostre politiche di cybersecurity
Vale la pena di notare che il 74% delle violazioni dei dati è riconducibile a un elemento umano. E tra i responsabili IT intervistati, un terzo (30%) è ora più preoccupato dei rischi tecnologici di sicurezza a causa del lavoro ibrido. È quindi più importante che mai implementare solide politiche informatiche, con una comunicazione ferma e trasparente dall'alto verso il basso.
Ciò include la garanzia che i dipendenti sappiano come utilizzare correttamente i dispositivi e i sistemi aziendali. È allarmante notare che la nostra ricerca mostra che tre quarti (76%) della formazione sulla sicurezza delle PMI non copre l'uso di una stampante o di uno scanner, nonostante l'importanza di formare i dipendenti su come utilizzare questi dispositivi in modo sicuro e protetto.
Le politiche di cybersecurity dovrebbero anche includere istruzioni chiare sull'uso delle reti Wi-Fi pubbliche. Questo perché connessioni non sicure possono portare ad attacchi di malware dannosi, e anche un dipendente che si connette per inviare qualche e-mail veloce può accidentalmente causare danni.
Inoltre, la vostra politica dovrebbe incoraggiare i dipendenti a utilizzare le VPN aziendali e a impostare l'autenticazione a più fattori (MFA) per un ulteriore livello di identificazione durante il login. Inoltre, dovrebbe mettere in guardia dall'accesso a piattaforme legate al lavoro tramite dispositivi personali e ricordare ai dipendenti di non condividere mai le password.
Rimanere informati sui rischi per i dipendenti
Nessuna di queste misure può essere attuata in modo efficace se i responsabili delle politiche e gli stessi reparti IT non sono ben informati sui rischi più recenti. Naturalmente, le minacce come i nuovi dipendenti o quelli che lasciano l'azienda sono sempre valide. Tuttavia, è importante rimanere informati sulle minacce emergenti, come la collaborazione con nuovi appaltatori o l'uso da parte dei dipendenti di applicazioni di terze parti non regolamentate.
Allo stesso tempo, i leader devono promuovere un ambiente di lavoro in cui il personale IT possa seguire una formazione sulla cybersecurity. I dipendenti dovrebbero anche essere incoraggiati a porre domande o a segnalare qualsiasi problema di sicurezza, in modo da poterlo risolvere, poiché ciò può contribuire a diffondere la consapevolezza generale sui tipi di minacce da tenere d'occhio.
Personale consapevole dei rischi e supportato dalla tecnologia
La sicurezza informatica è efficace quanto il personale. Tuttavia, i leader aziendali e i professionisti IT dovrebbero prestare molta attenzione a come la tecnologia può supportare il personale nella prevenzione degli errori umani.
Un terzo dei responsabili IT non è particolarmente fiducioso (14%) o non è sicuro (15%) che i dipendenti abbiano una conoscenza adeguata dei rischi per la sicurezza informatica. Ma non è necessario che sia così. Seguendo i nostri suggerimenti, i dipendenti e gli appaltatori possono ampliare la loro conoscenza del panorama dei rischi e delle implicazioni delle loro azioni.
Per un ulteriore livello di supporto, Sharp offre una famiglia completa di soluzioni e servizi di sicurezza su misura per mantenere le PMI protette dagli errori umani.
Scoprite come i nostri servizi e le nostre soluzioni di sicurezza possono supportare la vostra azienda.
Print Security
Scopri di più
Complete Print Security
Scopri di più