Recenti studi hanno dimostrato che le problematiche legate alla sicurezza informatica sono sempre più numerose e complesse: durante la pandemia è stato infatti registrato un aumento degli attacchi informatici verso imprese e organizzazioni di oltre il 500% rispetto al 2019. Secondo il rapporto “Cyberchology, The Human Element“ del 2021 i tre fattori principali che hanno causato questo incremento sono l’intensificazione dello smart working, la scarsa qualità della sicurezza dei dispositivi utilizzati per il lavoro da remoto e l’insufficiente formazione degli utenti in merito alla sicurezza informatica.
Spesso i collaboratori aziendali hanno un inadeguato livello di formazione in merito alla cyber sicurezza e per questo motivo rappresentano la parte più debole e vulnerabile del perimetro IT aziendale. Le statistiche dimostrano inoltre che la maggior parte degli attacchi – che hanno come obiettivo PMI e micro imprese – riesce ad andare a buon fine passando attraverso i dispositivi di collaboratori impreparati, tramite mail con allegati malevoli che vengono aperti permettendo quindi l’ingresso di malware o ransomware nella rete aziendale; dove possono rimanere per diverso tempo senza manifestarsi, ma analizzando e registrando i dati fino alla loro attivazione che avrà lo scopo di crittografare dati, bloccare le attività aziendali, minacciare la pubblicazione dei dati acquisiti e richiedere un riscatto.
Come indicato dal rapporto “Cyberchology, The Human Element“ l’80% delle aziende, nell’ultimo anno, ha riscontrato un aumento del rischio della sicurezza informatica causato da fattori umani. I principali elementi emersi da questa indagine sono:
- Un aumento del 63% della criminalità informatica dall’inizio del lockdown per il Covid-19
- Durante la pandemia, la più grande incognita per la cyber security è stata l’errore umano
- Solamente un quarto delle aziende considera la propria strategia di lavoro in smart working efficace e sicura
- Il 47% dei lavoratori in smart working è preoccupato per la propria capacità di gestire lo stress e di commettere per questo motivo errori che possano mettere a rischio la sicurezza aziendale
La maggior parte degli accessi non autorizzati da parte di soggetti esterni malintenzionati, come download di file dannosi, click a link malevoli, password troppo deboli o configurazioni di sicurezza errate, può essere ricondotta a comportamenti umani involontari o imprudenti. Da uno studio di IBM è emerso che l’errore umano è la causa del 95% delle violazioni alla sicurezza informatica aziendale.
L’introduzione dello smart working, unito al rischio umano, ha causato una crescita esponenziale di queste violazioni: la gestione e il controllo della sicurezza diventano molto più complesse con gli utenti che lavorano da casa collegati alle reti domestiche, dove ogni dispositivo collegato a Internet può essere utilizzato dagli hacker per sferrare attacchi. Diventa quindi necessario impedire che le minacce riescano a insinuarsi all’interno della rete, controllare l’utilizzo dei dati, gli accessi alla rete ed esaminare continuamenti i comportamenti che creano potenziali vulnerabilità per prevenirle, ma soprattutto introdurre un programma di gestione dei rischi che comprenda la valutazione del rischio umano e che comprenda anche momenti formativi e di valutazione delle capacità dei collaboratori.
La soluzione più efficace contro gli attacchi informatici è quindi la prevenzione.
Le organizzazioni devono prepararsi ad affrontare una situazione di cyber risk continua, con attacchi sempre più frequenti e con conseguenze sempre più gravi. Il tema della sicurezza informatica non deve più coinvolgere solamente il reparto IT ma deve essere esteso a tutte le risorse umane, che devono essere formate e consapevoli per una riduzione dei rischi informatici.
Il nostro servizio Phish Threat permette alle aziende di mettere alla prova gli utenti a riconoscere gli attacchi di phishing. Si tratta di una piattaforma che permette di simulare attacchi di phishing personalizzabili tramite l’invio di email a tutti gli utenti e che ha quindi l’obiettivo di formarli ed educarli a riconoscere email sospette. Oltre alla simulazione di attacchi permette di: generare intere campagne che possono essere indirizzate a gruppi specifici di utenti o a tutta l’azienda; fornire agli utenti moduli di formazione interattivi per educarli a rispondere a minacce specifiche come email sospette con link o allegati malevoli, furto di credenziali, livello di sicurezza delle password e conformità alle normative in vigore; monitorare i risultati di ogni singolo utente per avere una valutazione completa del livello di vulnerabilità e creare una risposta aziendale per gli utenti che sono stati ingannati dall’attacco.
