Hai fatto di tutto per proteggere la tua azienda dalle minacce informatiche. Hai speso un sacco di soldi in protezioni hardware e software di ultima generazione. Hai perso le notti a realizzare i vademecum per i tuoi dipendenti, hai usato il GDPR come spauracchio definitivo.

Niente, non è servito a niente. C’è sempre qualcuno che rappresenta una minaccia informatica per la tua azienda con l’abilità (involontaria) di un hacker navigato. E sai chi è? Il tuo dipendente.

Le azioni dei dipendenti aziendali sono le più comuni tra le minacce informatiche che un’azienda deve fronteggiare (si parla del 95% sul totale). Molto più di una batteria di Orientali brufolosi pagati per introdursi nella tua rete aziendale e carpirti brevetti e documentazione, con cui poi ti ricatteranno.

[Vuoi conoscere i danni e gli errori più gravi che i dipendenti commettono nell’uso di dati e strumenti digitali? Il prossimo 29 novembre non perdere l’appuntamento con #SonoTraNoiSiamoNoi, un super evento che grazie alla partecipazione straordinaria di Giuseppe Dezzani, consulente informatico-forense dell’Autorità Giudiziaria e professionista in prima linea nella difesa di molte aziende coinvolte in episodi di infrazione della sicurezza informatica e del dato strategico e sensibile, svilupperà una vera mappa del rischio e delle possibili falle nei sistemi informatici. Qui tutte le informazioni per partecipare]

Minacce informatiche: proteggiti dal fuoco amico

Non ne hanno bisogno loro, gli Orientali brufolosi, di schemi sofisticati e tecniche innovative. Non c’è neanche bisogno di attentare il cloud a cui ti appoggi o le reti aziendali di fornitori e clienti integrate alla tua. Basta mettersi sulle tracce di uno qualsiasi dei tuoi dipendenti e attendere fiduciosi una “distrazione”.

Abbiamo selezionato 10 delle azioni più comuni dei tuoi dipendenti che si trasformano rapidamente in minacce informatiche per la tua azienda. Magari ci puoi fare una stampata e allegarla al vademecum, che ne dici?

1. Collegarsi da una rete non sicura

Bello lo smart working, peccato che sia un problema per il responsabile dei sistemi informativi di un’azienda. Collegarsi alla rete aziendale da remoto, magari da un bar via WiFi pubblico, comporta un rischio altissimo. Ci sarà sempre qualcuno che si mette in mezzo (il Man-in-the-middle) che pazientemente e silenziosamente attenderà sulla riva del fiume il transito dei documenti aziendali riservati. Soluzione: usare sempre una connessione protetta e non reti WiFi aperte, ricordarsi di attivare sempre la VPN e disabilitare le opzioni di condivisione file e informazioni personali dal device.

2. Hai vinto un iPhone! No, hai perso il lavoro

Possibile che i dipendenti della tua azienda non sappiano ancora riconoscere una mail di phishing? Possibile che ogni volta che ricevono uno SMS con richiesta di informazioni e successivo “clicca qui”, loro regolarmente “clicchino lì” come se fossero il loro primogenito adolescente? È possibile. Urge corso “come riconoscere un’email di phishing” e, soprattutto, avere installato un filtro efficace e aggiornato in tutti i device mobili aziendali.

3. Figurati, di te mi fido, leggi questo brevetto

Secondo una ricerca il 54% dei dipendenti aziendali usa (anche) l’indirizzo personale per il lavoro. Di più, spesso le aziende forniscono un unico set di credenziali per più persone. Perfetto, questo è il modo migliore per perdere traccia dei documenti aziendali e delle informazioni sensibili. Vi siete mai chiesto come avete fatto a ricevere sul gruppo di WhatsApp del calcetto la notizia di quell’esonero prima di leggerlo nella Rosa?

4. Usiamo la stessa password, così risparmiamo

Le password non fanno bruciare l’Amazzonia, almeno non da sole. E allora, perché, dati di Cisco, il 18% dei dipendenti aziendali condivide le password di accesso ai device con i propri colleghi? Perché se le dimenticano? Ok, ma non è possibile che non ci sia un luogo più sicuro del post-it sul monitor per appuntarsela. O dello smartphone, o dello stesso portafoglio in cui convivono bancomat e pin dello stesso. E poi, diamine, un po’ di fantasia, se la schermata dice “inserisci la password”, voi non dovete scegliere “password” per forza.

5. L’Università della strada non protegge dalle minacce informatiche

Cultura, ci vuole cultura per proteggersi dalle minacce informatiche. Generalmente colui che chattava durante la lezione di security è lo stesso che pensa: tanto sono affari dell’azienda, io non sono l’azienda. Sbagliato. Senza creare falsi allarmismi, sarebbe bene ricordare che il GDPR prevede multe salate per le aziende che non ottemperano, anche in percentuale sul fatturato. E che se si dimostra che il danno è stato provocato da un dipendente, l’azienda si può rivalere.

6. Anche la chiavetta tra le minacce informatiche

Peccato che il tuo dipendente l’abbia lasciata sul tavolo del bar. Ma guarda, c’era il forecast per il prossimo trimestre, accipicchia. Trasferire su supporti mobili, chiavette, dischi esterni, documenti riservati è il modo migliore per minare la sicurezza informatica dell’azienda. Anche Google Drive è più sicuro, e abbiamo detto tutto. Piccola aggiunta: quando si dice “svuotare il cestino”, facciamo in modo che il cestino sia veramente svuotato.

7. Casa, il posto più INsicuro che c’è

Lo smart working, si sa, aiuta la creatività e anche la produttività. Ma anche la gang di Orientali di cui sopra. Se il computer che i tuoi dipendenti usano per connettersi alla rete aziendale è lo stesso che usano per vedere i video su YouTube insieme al figlio neonato durante la buonanotte, dovresti preoccuparti. Il computer di casa rimane incustodito, alla mercé di figli, parenti e amici, fai in modo che sia protetto il più possibile. Isola e blinda la partizione dedicata al lavoro come se fosse la riserva d’oro della Zecca.

8. Che bello l’iPhone aziendale

Il BYOD è stato un brutto colpo per te, responsabile della sicurezza aziendale, lo sappiamo. Dal momento del “liberi tutti”, quando i dipendenti sono stati autorizzati a usare il loro device personale per lavoro o viceversa, il device aziendale per svago, è iniziato l’incubo. Download massivo di app di ogni tipo, cronologia alquanto discutibile, malware, spyware e ogni tipo di “ware” silente sul device. Un vero problema. Fortunatamente ci sono i software che permettono, da remoto, di controllare e calmierare l’uso dei device aziendali da parte dei dipendenti.

9. WhatsApp sì o no?

Vedi tu, tutti i dipendenti aziendali si collegano ai social dal posto di lavoro. Tutti tranne quelli che lavorano nelle aziende che li hanno bloccati, a prescindere. Eppure, i social media sono uno degli strumenti di contatto quotidiano con fornitori e clienti, non è corretto neanche inibirli totalmente. E possono essere anche un repository in cui possono transitare documenti e informazioni sensibili, pensiamo a LinkedIn per esempio. Dunque, che fare? Ci vuole una policy precisa, e dei dipendenti che la seguano.

10. Dulcis in fundo, il danno volontario tra le minacce informatiche

Hai idea dei danni che può fare un dipendente tradito? Tanti. Da chi naviga contro per il gusto di farlo, a chi lo fa con l’intento di guadagnarci soldi e un nuovo posto di lavoro, a chi è stato licenziato. Di motivi per arrecare danni e costituire una vera minaccia informatica all’azienda ce ne possono essere una marea. Attivare dei validi sistemi di controllo periodico proattivo sull’attività di rete, e non del singolo dipendente, può aiutare molto.

Insomma, non ti sembra il caso di attrezzarti per SCONFIGGERE L’HACKER INTERNO?

Iscriviti ora all’evento esclusivo:

DIFENDERE I NOSTRI DATI DA NOI STESSI

Un incontro senza precedenti organizzato da Lan Service Group insieme ad HPE, Aruba, Kaspersky e Veeam con esperti della security, casi concreti e live demo.

Sergentelorusso.it ci sarà, il 29 novembre 2019 nel Monferrato, vieni anche tu e segui la diretta social #SonoTraNoiSiamoNoi !

Minacce informatiche: le prime 10 provocate dai tuoi dipendenti ultima modifica: 2019-11-11T22:59:03+00:00 da Valerio Mariani

LEAVE A REPLY

Please enter your comment!
Please enter your name here