Che cos'è la minaccia interna?
Le persone sono il cuore pulsante della vostra azienda. Che si tratti di coloro che prendono le misure sul posto per una nuova costruzione, degli assistenti amministrativi che elaborano le domande di ammissione degli studenti o del responsabile dell'ufficio che stampa documenti importanti, tutti svolgono un ruolo importante. Ma allo stesso tempo, tutti sono umani e soggetti a errori. E nel mondo del lavoro online di oggi, questo comporta seri rischi per la sicurezza.
La minaccia insider si riferisce a persone che lavorano all'interno dell'azienda, i cui errori possono minacciare la sicurezza aziendale. Purtroppo, anche il più piccolo errore di un dipendente può avere grandi ripercussioni. Ciò è particolarmente vero per le piccole e medie imprese (PMI), dove l'impatto di un attacco può rivelarsi critico per l'azienda. I criminali informatici sanno già che il punto debole della difesa digitale di un'azienda è il personale che vi lavora. Dipendono dalla mancanza di formazione o di diligenza dei singoli, ad esempio quando si collegano o rispondono a un'e-mail, e sperano che i dipendenti non siano consapevoli dei rischi.
Per scoprire come le aziende sono a rischio di insider threat, abbiamo condotto una ricerca con le PMI di tutta Europa. Parlando con 5.770 responsabili IT di settori aziendali come l'edilizia, il legale, l'istruzione e la sanità, i nostri risultati hanno fatto luce sulle vulnerabilità e le preoccupazioni online. Attualmente, quasi quattro intervistati su dieci (37%) ritengono che il mancato rispetto della formazione o delle linee guida da parte dei dipendenti rappresenti un rischio significativo per l'efficacia della sicurezza informatica. Ma c'è di più.
La sfida dell'errore umano
La vostra difesa digitale è forte solo quanto la vostra forza lavoro preparata. Anche con i tradizionali sistemi di sicurezza aziendale, l'errore umano può rendere inefficace la protezione informatica. Non sorprende, quindi, che un terzo dei nostri intervistati abbia citato la mancanza di conoscenza o formazione dei dipendenti come elemento che ha aumentato le preoccupazioni in materia di sicurezza informatica.
Tutta una serie di errori comuni può portare a una violazione della sicurezza. Forse il vostro responsabile marketing invia per sbaglio informazioni sensibili sui clienti all'account sbagliato. O forse un assistente didattico segue per errore un link malevolo in un'e-mail, esponendo i dati degli studenti (un attacco noto come phishing). Potrebbe anche accadere che qualcuno faccia copie di pagine riservate con lo scanner dell'ufficio, ma dimentichi poi di rimuovere il documento originale dal vassoio.
Naturalmente, i fattori in gioco sono diversi. I dipendenti potrebbero semplicemente non conoscere i rischi, indebolendo in modo significativo qualsiasi difesa contro di essi. Molti dipendenti dell'azienda potrebbero non rispondere alle richieste di formazione, perché troppo impegnati o perché pensano di essere già formati. Alcuni potrebbero anche essere in regola con le pratiche di sicurezza aziendale, ma inclini a commettere errori occasionali. Diamo un'occhiata a ciò che hanno rivelato i risultati delle nostre PMI.
Cosa dimostra la ricerca
Vediamo cosa hanno da dire le PMI europee che abbiamo interpellato.
Ogni azienda, grande o piccola, utilizza la posta elettronica per comunicare in qualche modo. Le cartelle di posta indesiderata possono essere molto efficaci nel filtrare automaticamente lo spam proveniente da mittenti sconosciuti. Ma con l'aumentare della sofisticazione del crimine informatico, gli attacchi di phishing (in cui le persone vengono indotte a rivelare, modificare o cancellare informazioni sensibili) sono in aumento. Oggi la forma più comune di criminalità informatica, gli attacchi di phishing dipendono da un errore di valutazione dei vostri dipendenti. Allo stesso tempo, gli attacchi di malware possono verificarsi quando i dispositivi della rete (compresi telefoni, tablet e stampanti) non sono completamente sicuri. Ogni attacco può portare a risultati devastanti e il 20% delle PMI intervistate ha citato la perdita di dati come la principale preoccupazione per la sicurezza aziendale. Per evitare che si verifichino errori, i dirigenti aziendali devono assicurarsi che i loro dipendenti siano pienamente consapevoli di cosa controllare in ogni e-mail e delle implicazioni di un mancato controllo.
Nonostante i suoi vantaggi, il lavoro ibrido ha aumentato le preoccupazioni sui rischi tecnologici per la sicurezza delle PMI. Allo stesso tempo, il 29% è più preoccupato per l'utilizzo dei propri dispositivi da parte dei dipendenti. Sebbene molti dipendenti lavorino tra l'ufficio e la propria abitazione, alcuni potrebbero scegliere di lavorare in caffè o spazi di co-working, dove le reti non sono sicure. Nonostante questa preoccupazione, quasi tre quinti (59%) delle PMI non ha aumentato la formazione sulla sicurezza informatica dopo il passaggio a un modello ibrido. La combinazione di reti potenzialmente insicure e conoscenze di sicurezza non aggiornate significa che c'è terreno fertile per gli errori.
Ogni giorno nelle aziende vengono gestiti molti dati sensibili. Che si tratti di dati di studenti, pazienti, clienti o dell'azienda stessa, è innegabile che debbano essere gestiti con cura. E non è solo da un link di posta elettronica maligno che possono essere esposti. Le violazioni della sicurezza dei dati possono verificarsi in qualsiasi punto finale (dispositivi collegati alla rete), dalla stampante dell'ufficio ai tablet dei dipendenti. Purtroppo, poiché solo un terzo delle PMI dispone di un sistema di sicurezza per le stampanti, molte non stanno coprendo tutte le basi e non tutti i dipendenti sanno dove si trovano i rischi. Infatti, un terzo delle PMI non è particolarmente fiducioso (14%) o non è sicuro (15%) che i dipendenti abbiano una conoscenza adeguata dei rischi della sicurezza informatica.
Fondere l'uomo con il digitale
Prendendo in considerazione la nostra ricerca, le PMI dovrebbero fare della mitigazione delle minacce interne una priorità assoluta. Esistono due approcci diversi per farlo in modo efficace, entrambi ugualmente importanti.
Primo, comprendere e affrontare il lato umano della sicurezza all'interno dell'azienda. È importante costruire una cultura della sicurezza online che coinvolga tutti i dipendenti, non solo il reparto IT e gli impiegati. Tutti, da chi consegna le merci a chi risponde al telefono, dovrebbero avere in mente le migliori pratiche di sicurezza quando lavorano. Un modo per testare le risposte dei dipendenti in modo sicuro e precauzionale può essere la simulazione di "valutazioni di phishing", in cui vengono inviate dall'azienda false e-mail dannose. Un altro modo è quello di rendere obbligatoria la formazione sulla sicurezza online per tutti i dipendenti.
In secondo luogo, è necessario adottare la tecnologia giusta. Mentre le minacce interne dipendono dalle azioni degli esseri umani, la tecnologia può aiutare a prevenire gli errori e un approccio alla sicurezza a più livelli aiuterà a coprire tutte le basi. Questo approccio comprende una serie di controlli di sicurezza, valutazioni periodiche del rischio e formazione, test di penetrazione più regolari (in cui la rete viene testata per verificare l'accessibilità da parte di terzi), nonché un monitoraggio 24 ore su 24. È fondamentale trovare un equilibrio tra la tecnologia e la necessità di ricordare ai dipendenti il ruolo che svolgono.
Gli errori capitano, i cyberattacchi non devono farlo
Come tutti, anche i dipendenti commettono errori. Che si tratti di un direttore d'azienda o di un assistente amministrativo, gli incidenti capitano. Ma questo non significa che debbano accadere anche i cyberattacchi. Una formazione adeguata e una maggiore consapevolezza, diligenza e responsabilità dei dipendenti contribuiranno a ridurre al minimo gli errori che portano a danni reali.
Se o quando si verifica un errore, è importante disporre della giusta protezione informatica. Noi di Sharp aiutiamo le PMI a costruire una solida difesa digitale, assicurando loro il livello adeguato di protezione informatica nelle loro aziende. La nostra gamma completa di servizi e soluzioni di sicurezza su misura offre un ulteriore livello di difesa ai sistemi di sicurezza aziendali.
Scoprite altri modi per rimanere protetti
Esplorate l'hub Real World Security per ulteriori contenuti sui rischi di cybersecurity delle PMI oggi.