Rischi per i dipendenti: Come rafforzare il comportamento sicuro nell'IT

Tutto il personale, dai dipendenti a tempo pieno che lavorano in ufficio a quelli che trasportano le merci da e verso un sito, deve essere informato sui livelli di rischio. Ad esempio, il malware può infiltrarsi nei sistemi aziendali e bloccare le operazioni, e i dipendenti potrebbero non sapere che il download di software esterni sui sistemi aziendali può offrire ai criminali informatici una via d'accesso.

Il personale e gli appaltatori devono sapere come identificare gli attacchi di phishing. Se un dipendente riceve un'improvvisa e urgente richiesta di informazioni personali o l'istruzione di contattare il mittente tramite una telefonata o un messaggio istantaneo, deve immediatamente destare sospetti. I dipendenti devono essere formati regolarmente su come identificare e rispondere a questi incidenti, anche analizzando l'indirizzo o il numero del mittente e segnalandolo automaticamente ai reparti IT. Le procedure di formazione dovrebbero prevedere anche test di simulazione di attacchi di phishing e malware, per dimostrare quanto facilmente un dipendente possa essere preso di mira e quanto sia suscettibile agli attacchi.

Oltre agli attacchi di phishing, la formazione sulla sicurezza dei dipendenti dovrebbe approfondire argomenti quali gli attacchi di smishing (messaggi di testo ingannevoli), gli attacchi di social engineering, l'utilizzo dei social media, la condivisione sicura di file e la navigazione sicura in Internet.

Vale la pena di notare che il 74% delle violazioni dei dati è riconducibile a un elemento umano. E tra i responsabili IT intervistati, un terzo (30%) è ora più preoccupato dei rischi tecnologici di sicurezza a causa del lavoro ibrido. È quindi più importante che mai implementare solide politiche informatiche, con una comunicazione ferma e trasparente dall'alto verso il basso.

Ciò include la garanzia che i dipendenti sappiano come utilizzare correttamente i dispositivi e i sistemi aziendali. È allarmante notare che la nostra ricerca mostra che tre quarti (76%) della formazione sulla sicurezza delle PMI non copre l'uso di una stampante o di uno scanner, nonostante l'importanza di formare i dipendenti su come utilizzare questi dispositivi in modo sicuro e protetto.

Le politiche di cybersecurity dovrebbero anche includere istruzioni chiare sull'uso delle reti Wi-Fi pubbliche. Questo perché connessioni non sicure possono portare ad attacchi di malware dannosi, e anche un dipendente che si connette per inviare qualche e-mail veloce può accidentalmente causare danni.

Inoltre, la vostra politica dovrebbe incoraggiare i dipendenti a utilizzare le VPN aziendali e a impostare l'autenticazione a più fattori (MFA) per un ulteriore livello di identificazione durante il login. Inoltre, dovrebbe mettere in guardia dall'accesso a piattaforme legate al lavoro tramite dispositivi personali e ricordare ai dipendenti di non condividere mai le password.

Nessuna di queste misure può essere attuata in modo efficace se i responsabili delle politiche e gli stessi reparti IT non sono ben informati sui rischi più recenti. Naturalmente, le minacce come i nuovi dipendenti o quelli che lasciano l'azienda sono sempre valide. Tuttavia, è importante rimanere informati sulle minacce emergenti, come la collaborazione con nuovi appaltatori o l'uso da parte dei dipendenti di applicazioni di terze parti non regolamentate.

Allo stesso tempo, i leader devono promuovere un ambiente di lavoro in cui il personale IT possa seguire una formazione sulla cybersecurity. I dipendenti dovrebbero anche essere incoraggiati a porre domande o a segnalare qualsiasi problema di sicurezza, in modo da poterlo risolvere, poiché ciò può contribuire a diffondere la consapevolezza generale sui tipi di minacce da tenere d'occhio.