Diventare partner Contattateci Accedi

News e blog

Da anello debole alla migliore delle difese: come responsabilizzare i tuoi colleghi sulla sicurezza dei dati

I colleghi sono la spina dorsale della tua organizzazione. Giorno dopo giorno lavorano con impegno per far prosperare l’attività. Ma guardiamo in faccia la realtà: sul lavoro si possono commettere errori. Fortunatamente la maggior parte degli errori risulta innocua, come scrivere in modo scorretto un nome o dimenticare di salvare un documento dopo ore di lavoro. Ma non tutti gli errori sono innocui. Inviare per sbaglio dati sensibili di un cliente al destinatario errato può sembrare una svista di poco conto, ma si tratta a tutti gli effetti di una violazione dei dati. E anche un solo click nel posto sbagliato può avere conseguenze serie per l’intera organizzazione. Quindi, i tuoi colleghi costituiscono il maggior rischio o la tua miglior risorsa in ambito di sicurezza dei dati? Ecco come ridurre i rischi e fornire ai tuoi dipendenti gli strumenti per diventare la tua linea difensiva principale.
05 dic Da anello debole alla migliore delle difese: come responsabilizzare i tuoi colleghi sulla sicurezza dei dati

Il fattore umano: il maggior rischio per la sicurezza

I tuoi dipendenti hanno le chiavi d’accesso dell’organizzazione. In base al loro ruolo, possono avere accesso a informazioni aziendali riservate, documentazione dei clienti e dati finanziari. Ma sono consapevoli delle responsabilità derivanti dall’averne l’accesso? E, fattore ancora più importante, prestano abbastanza attenzione a proteggere questi importanti dati da minacce e violazioni?

La sicurezza delle informazioni consiste nel mantenere al sicuro dati sensibili e riservati. Per farlo in modo efficace è necessario trovare un buon equilibrio tra tre elementi fondamentali:

  • Fattore umano
  • Procedure
  • Tecnologia

Ciascuno di questi tre elementi è forte ed efficace solo nella misura in cui lo sono gli altri. Disporre di buone procedure non è di alcuna utilità se il personale non vi si attiene. E perfino le tecnologie più avanzate sono inutili se qualcuno scrive le password su un post-it.

Per farla breve, quando si tratta di sicurezza informatica, nessun fattore è più vulnerabile (o sfruttabile) del comportamento umano. Gli hacker lo sanno e sfruttano a proprio vantaggio questo aspetto attraverso le tecniche di social engineering. Utilizzando tattiche manipolatorie, fanno leva su emozioni e risposte istintive per truffare la gente e spingerla a condividere dati sensibili o a intraprendere azioni che normalmente non farebbero.

Il social engineering prende di mira le persone, non i sistemi. E poiché non richiede competenze tecniche di alto livello, risulta facile da attuare e molto adattabile.

Esempi tratti da situazioni realmente accadute: quando sono i dipendenti a fare la differenza

1. Il dipendente inconsapevole dei rischi che non ha riconosciuto la minaccia

I mezzi d’informazione riportano un gran numero di esempi di incidenti causati da mancanza di consapevolezza dei rischi, dall’invio di email a destinatari errati alla configurazione scorretta delle stampanti. Ci sono infiniti modi in cui possono verificarsi perdite di dati sensibili.

2. Il dipendente dubbioso che viene truffato e trasferisce milioni di dollari

In un altro caso un dipendente ha trasferito agli hacker 200 milioni di dollari hongkonghesi (circa 24 milioni di euro). Tutto è iniziato con un’email di phishing personalizzata per poi trasformarsi in una truffa altamente sofisticata. Inizialmente il dipendente aveva dei sospetti, poiché aveva ricevuto una richiesta che includeva una transazione segreta. Tuttavia, dopo aver partecipato a una videochiamata con persone che avevano l’aspetto e la voce dei suoi colleghi, si è convinto a procedere.

Solo in seguito si è scoperto che si trattava di un attacco deepfake. Le persone viste in video non erano affatto i suoi colleghi, bensì repliche credibili realizzate con l’IA utilizzando immagini manipolate e voci sintetizzate.

3. L’addetto ai lavori che ha diffuso deliberatamente dati aziendali

Auspicabilmente questo non capiterà mai alla tua organizzazione, ma a volte i dipendenti (o gli ex dipendenti) divulgano dati o sottraggono fondi intenzionalmente. Le ragioni possono essere numerose: insoddisfazione, vendetta, ideologia, guadagno personale o situazioni di grande pressione.

Ad esempio, nel 2023 Tesla è stata vittima di una grave violazione da parte di due ex dipendenti, mentre nel 2021 nei Paesi Bassi il Radboud University Medical Center ha subito una violazione dei dati quando un ex dipendente ha pubblicato informazioni riservate su GitHub.

Riduzione dei rischi

Purtroppo, molte organizzazioni non dispongono ancora di misure preventive adeguate. La buona notizia? Puoi ridurre drasticamente i rischi concentrandoti su alcuni aspetti fondamentali:

Imposta procedure chiare e implementa difese tecniche adatte

I punti di partenza per una buona sicurezza dei dati sono l’utilizzo degli strumenti giusti e il chiarimento delle aspettative in merito. Accertati che il tuo staff disponga delle tecnologie necessarie per lavorare in sicurezza, come ad esempio un buon gestore di password. Imposta procedure chiare e sostienile con strumenti smart, come i firewall, per proteggerti dagli accessi non autorizzati. Ricorda: neanche le tecnologie più sofisticate potranno proteggerti se i dipendenti non sono consapevoli dei rischi e ben informati su come affrontarli.

Comunica apertamente e in modo coerente

Una comunicazione chiara è essenziale per mantenere prioritaria la consapevolezza sui rischi per la sicurezza, a partire dal primo giorno in cui analizzi il codice di condotta con un nuovo assunto, fino all’ultimo giorno, quando rivedete le procedure per restituire in modo sicuro le apparecchiature aziendali. Opta per un linguaggio semplice, evitando i tecnicismi non necessari, e non impostare aspettative irrealistiche.

Promuovi una cultura in cui segnalare un dubbio o un problema è la norma. I dipendenti non dovrebbero mai vergognarsi o temere di segnalare qualcosa di sospetto. Di’ loro che agire tempestivamente è apprezzato e che può contribuire a prevenire danni peggiori. Incoraggia e premia chi si fa avanti.

Rendi la sicurezza una responsabilità condivisa

Se si chiede al dipendente medio chi è responsabile della sicurezza, è probabile che la risposta sia il team IT. Ma la verità è che la responsabilità è di tutti. Il problema è che molte persone non lo sanno o non si sentono personalmente responsabili. Con gli strumenti e l’approccio giusto, puoi coinvolgere tutti.

La formazione sulla consapevolezza in materia di sicurezza è d’obbligo

La formazione sulla consapevolezza in materia di sicurezza è un fattore determinante in qualsiasi buon programma per la sicurezza dei dati. Si tratta del modo migliore per trasformare i dipendenti nella miglior difesa dalle minacce digitali.

Con la piattaforma Awaretrain puoi svolgere la formazione dei dipendenti in modo divertente e coinvolgente. Imposta con facilità programmi di formazione fatti su misura ed esplora la nostra ricca libreria di contenuti, dove troverai numerosi giochi interattivi, consigli in pillole sulla sicurezza e sfide informative.

Vuoi capire come funziona? Crea un account di prova gratuito e sperimenta in prima persona quanto è facile formare l’intera organizzazione.

Il cambiamento del comportamento parte dalla consapevolezza

Come hai potuto vedere, la consapevolezza è essenziale per un cambiamento di comportamento a lungo termine e per prevenire incidenti dai costi elevati. Nessuno può garantire sicurezza assoluta, ma ciò non significa che non ci si debba impegnare al massimo.

In questo caso, ogni passaggio e ogni click sono importanti. E siamo qui per aiutarti a ogni passo di questo percorso.

+39 02 8974 4070 info@awaretrain.it

Rimanga informato e ci segua su LinkedIn

Ci segua!

Per saperne di più

Scopra gli altri blog e le news

I tre rischi maggiori per la catena di approvvigionamento legati alla sicurezza informatica 24 feb
I tre rischi maggiori per la catena di approvvigionamento legati alla sicurezza informatica Per saperne di più
Come aumentare la consapevolezza sulla sicurezza senza perdere tempo 17 feb
Come aumentare la consapevolezza sulla sicurezza senza perdere tempo Per saperne di più
La catena di fornitura è forte quanto il suo anello più debole 03 feb
La catena di fornitura è forte quanto il suo anello più debole Per saperne di più
Archivio del blog
logo

+39 02 8974 4070

info@awaretrain.it

Scoprire di più

Che cos'è la Security Awareness?

Piattaforma di Security Awareness

Formazione GDPR sulla privacy

Simulazione di phishing

Licenze e prezzi

Account di prova gratuito

Audit di base

Social engineering

Test phishing gratuito

Poster gratuiti

Rimanete aggiornati Certificazioni ISO 27001

© Awaretrain | Tutti i diritti riservati

Termini e condizioni Informativa sulla privacy