Autore: Luca Maiocchi
Le piccole imprese non sono immuni da attacchi informatici, anche se spesso hanno la tendenza a pensare di essere obiettivi di minor valore per i cybercriminali. È sufficiente disporre di un conto bancario o di informazioni sensibili da sottrarre, invece, per essere decisamente a rischio. Inoltre, con la crescente diffusione del lavoro ibrido, a cui la pandemia ha dato una forte accelerazione, le aziende devono considerare più metodi di protezione.
La realtà è che oggi i cyberattacchi prendono sempre più di mira le persone, non i sistemi, e questo vale per aziende di tutte le dimensioni. La via d’accesso più facile è sfruttare la vulnerabilità degli esseri umani attraverso semplici ma sofisticate tattiche di social engineering, sotto forma di email di phishing. Questi attacchi possono assumere diverse modalità, ad esempio quella di indurre la vittima a cliccare su link pericolosi e installare malware, oppure impersonificare un membro fidato dell’azienda per convincere i dipendenti a trasferire fondi o rivelare dati sensibili.
Le PMI hanno spesso meno “margine di manovra” rispetto a organizzazioni più grandi e strutturate per quanto riguarda i tempi di inattività di dipendenti e rete, hanno meno fondi a disposizione per bonifica e ripristino e un trasferimento bancario fraudolento/sbagliato può avere un impatto molto grave. Inoltre, è anche meno probabile che abbiano accesso a strumenti tecnici più avanzati che possano impedire agli attacchi di raggiungere i dipendenti. Ciò significa che in generale gli incidenti di sicurezza possono essere più costosi, gravando letteralmente sulla loro sostenibilità.
Ecco qualche consiglio per le PMI - e per aziende di ogni dimensione - per prevenire le truffe:
I criminali informatici continuano a sfruttare il “fattore umano”, ovvero l’istinto di curiosità e fiducia che porta le persone a cadere nel gioco del malintenzionato di turno, pur con buone intenzioni. Il report di Proofpoint “Voice of the CISO 2023” sottolinea che il 58% dei CISO italiani di aziende con meno di 500 dipendenti considerano l’errore umano come il principale problema di cybersecurity.
Quando si tratta di proteggersi dal fattore umano, tuttavia, sono troppo poche le aziende che attribuiscono un valore sufficiente alla formazione dei dipendenti per rafforzare la resistenza alle tattiche di social engineering: senza un maggiore livello di consapevolezza, un individuo cliccherà sempre su quei link. La buona notizia, tuttavia, è che il 50% dei CISO italiani di organizzazioni con meno di 500 dipendenti considera una priorità il miglioramento della consapevolezza in materia di cybersecurity tra i dipendenti nei prossimi 12 mesi.
I programmi di formazione e sensibilizzazione devono essere concepiti come un componente fondamentale, e non un semplice corso online da portare a termine, per supportare i dipendenti a diventare naturalmente meno istintivi, in modo che anche le persone più sotto pressione possano prendersi il tempo per individuare i segni distintivi di un tentativo di social engineering. Un programma completo di formazione sulla sicurezza deve essere al centro della difesa informatica di un’organizzazione. L’apprendimento deve essere regolare, completo e scalabile e deve coprire una serie di argomenti, dalle motivazioni e meccanismi delle minacce, al comprendere come semplici comportamenti, come il riutilizzo delle stesse password e l’inadeguata protezione dei dati, possano aumentare il successo di un attacco.
La cultura della sicurezza deve riguardare tutta l’azienda e non solo il CISO. Quando tutti i dipendenti si assumeranno responsabilità personale e titolarità della sicurezza come, ad esempio, succede all’interno di compagnie aeree o piattaforme petrolifere, allora potremo godere dei veri vantaggi di una “cultura della sicurezza”.
Luca Maiocchi è Country Manager di Proofpoint Italia