Hai fatto di tutto per la sicurezza informatica della tua azienda. Hai speso un sacco di soldi in protezioni hardware, in software di ultima generazione. Hai perso le notti a realizzare i vademecum per i tuoi dipendenti, hai usato il GDPR come spauracchio definitivo.
Niente, non è servito a niente. C’è sempre qualcuno che mina la sicurezza informatica della tua azienda con l’abilità (involontaria) di un hacker navigato. E sai chi è? Il tuo dipendente, (ecco che cosa accade quando perdi un dato o non gestisci la sicurezza, un evento esclusivo).
Le azioni dei dipendenti aziendali sono la prima causa in assoluto di attentato alla sicurezza informatica dell’azienda (si parla del 95% sul totale). Molto più di una batteria di Orientali brufolosi pagati per introdursi nella tua rete aziendale e carpirti brevetti e documentazione, con cui poi ti ricatteranno.
La sicurezza informatica in azienda non è una chimera
Non ne hanno bisogno loro, gli Orientali brufolosi, di schemi sofisticati e tecniche innovative. Non c’è neanche bisogno di attentare il cloud a cui ti appoggi o le reti aziendali di fornitori e clienti integrate alla tua. Basta mettersi sulle tracce di uno qualsiasi dei tuoi dipendenti e attendere fiduciosi una “distrazione”.
Abbiamo raggruppati 10 delle azioni più comuni dei tuoi dipendenti che recano danno alla sicurezza informatica della tua azienda. Magari ci puoi fare una stampata e allegarla al tuo vademecum, che ne dici?
[Arriva il VMworld 2021, uno degli eventi più attesi da imprese, manager di tutto il mondo e da tutto l’ecosistema di partner che ruota intorno a VMware. Protagoniste di quest’anno saranno la magia e la potenza del cloud al servizio di app, networking, sicurezza e digital workspace.
Tutti i dettagli dello straordinario programma e, soprattutto, il link per iscrivervi li trovate qui!]
1. Collegarsi da una rete non sicura
Bello lo smart working, peccato che sia un problema per il responsabile dei sistemi informativi di un’azienda. Collegarsi alla rete aziendale da remoto, magari da un bar via WiFi pubblico, comporta un rischio altissimo. Ci sarà sempre qualcuno che si mette in mezzo (il Man-in-the-middle) che pazientemente e silenziosamente attenderà sulla riva del fiume il transito dei documenti aziendali riservati. Soluzione: usare sempre una connessione protetta e non reti WiFi aperte, ricordarsi di attivare sempre la VPN e disabilitare le opzioni di condivisione file e informazioni personali dal device.
2. Hai vinto un iPhone! No, hai perso il lavoro
Possibile che i dipendenti della tua azienda non sappiano ancora riconoscere una mail di phishing? Possibile che ogni volta che ricevono uno SMS con richiesta di informazioni e successivo “clicca qui”, loro regolarmente “clicchino lì” come se fossero il loro primogenito adolescente? È possibile. Urge corso “come riconoscere un’email di phishing” e, soprattutto, avere installato un filtro efficace e aggiornato in tutti i device mobili aziendali.
3. Figurati, di te mi fido, leggi questo brevetto
Secondo una ricerca il 54% dei dipendenti aziendali usa (anche) l’indirizzo personale per il lavoro. Di più, spesso le aziende forniscono un unico set di credenziali per più persone. Perfetto, questo è il modo migliore per perdere traccia dei documenti aziendali e delle informazioni sensibili. Vi siete mai chiesto come avete fatto a ricevere sul gruppo di WhatsApp del calcetto la notizia di quell’esonero prima di leggerlo nella Rosa?
4. Usiamo la stessa password, così risparmiamo
Le password non fanno bruciare l’Amazzonia, almeno non da sole. E allora, perché, dati di Cisco, il 18% dei dipendenti aziendali condivide le password di accesso ai device con i propri colleghi? Perché se le dimenticano? Ok, ma non è possibile che non ci sia un luogo più sicuro del post-it sul monitor per appuntarsela. O dello smartphone, o dello stesso portafoglio in cui convivono bancomat e pin dello stesso. E poi, diamine, un po’ di fantasia, se la schermata dice “inserisci la password”, voi non dovete scegliere “password” per forza.
5. L’Università della strada non prepara alla sicurezza informatica
Cultura, ci vuole cultura sulla sicurezza informatica in azienda. Generalmente colui che chattava durante la lezione di security è lo stesso che pensa: tanto sono affari dell’azienda, io non sono l’azienda. Sbagliato. Senza creare falsi allarmismi, sarebbe bene ricordare che il GDPR prevede multe salate per le aziende che non ottemperano, anche in percentuale sul fatturato. E che se si dimostra che il danno è stato provocato da un dipendente, l’azienda si può rivalere.
6. Sicurezza informatica? Metto tutto su una chiavetta
Peccato che il tuo dipendente l’abbia lasciata sul tavolo del bar. Ma guarda, c’era il forecast per il prossimo trimestre, accipicchia. Trasferire su supporti mobili, chiavette, dischi esterni, documenti riservati è il modo migliore per minare la sicurezza informatica dell’azienda. Anche Google Drive è più sicuro, e abbiamo detto tutto. Piccola aggiunta: quando si dice “svuotare il cestino”, facciamo in modo che il cestino sia veramente svuotato.
7. Casa, il posto più INsicuro che c’è
Lo smart working, si sa, aiuta la creatività e anche la produttività. Ma anche la gang di Orientali di cui sopra. Se il computer che i tuoi dipendenti usano per connettersi alla rete aziendale è lo stesso che usano per vedere i video su YouTube insieme al figlio neonato durante la buonanotte, dovresti preoccuparti. Il computer di casa rimane incustodito, alla mercé di figli, parenti e amici, fai in modo che sia protetto il più possibile. Isola e blinda la partizione dedicata al lavoro come se fosse la riserva d’oro della Zecca.
8. Che bello l’iPhone aziendale
Il BYOD è stato un brutto colpo per te, responsabile della sicurezza aziendale, lo sappiamo. Dal momento del “liberi tutti”, quando i dipendenti sono stati autorizzati a usare il loro device personale per lavoro o viceversa, il device aziendale per svago, è iniziato l’incubo. Download massivo di app di ogni tipo, cronologia alquanto discutibile, malware, spyware e ogni tipo di “ware” silente sul device. Un vero problema. Fortunatamente ci sono i software che permettono, da remoto, di controllare e calmierare l’uso dei device aziendali da parte dei dipendenti.
9. WhatsApp sì o no?
Vedi tu, tutti i dipendenti aziendali si collegano ai social dal posto di lavoro. Tutti tranne quelli che lavorano nelle aziende che li hanno bloccati, a prescindere. Eppure, i social media sono uno degli strumenti di contatto quotidiano con fornitori e clienti, non è corretto neanche inibirli totalmente. E possono essere anche un repository in cui possono transitare documenti e informazioni sensibili, pensiamo a LinkedIn per esempio. Dunque, che fare? Ci vuole una policy precisa, e dei dipendenti che la seguano.
10. Dulcis in fundo, il danno volontario alla sicurezza informatica
Hai idea dei danni che può fare un dipendente tradito? Tanti. Da chi naviga contro per il gusto di farlo, a chi lo fa con l’intento di guadagnarci soldi e un nuovo posto di lavoro, a chi è stato licenziato. Di motivi per arrecare volontariamente danni alla sicurezza informatica aziendale ce ne possono essere una marea. Attivare dei validi sistemi di controllo periodico proattivo sull’attività di rete, e non del singolo dipendente, può aiutare molto.
[Arriva il VMworld 2021, uno degli eventi più attesi da imprese, manager di tutto il mondo e da tutto l’ecosistema di partner che ruota intorno a VMware. Protagoniste di quest’anno saranno la magia e la potenza del cloud al servizio di app, networking, sicurezza e digital workspace.
Tutti i dettagli dello straordinario programma e, soprattutto, il link per iscrivervi li trovate qui!]
