PMI protette da attacchi informatici? A qualcuno sembra una chimera, eppure, nel contributo che vi proponiamo qui di seguito, Luca Maiocchi, Country Manager, Proofpoint Italia, spiega come fare.
Buona lettura.
Le piccole imprese non sono immuni da attacchi informatici, anche se spesso hanno la tendenza a pensare di essere obiettivi di minor valore per i cybercriminali. È sufficiente disporre di un conto bancario o di informazioni sensibili da sottrarre, invece, per essere decisamente a rischio. Inoltre, con la crescente diffusione del lavoro ibrido le aziende devono considerare più metodi di protezione.
La realtà è che oggi i cyberattacchi prendono sempre più di mira le persone, non i sistemi. E questo vale per aziende di tutte le dimensioni, anche per le piccole e medie imprese. La via d’accesso più facile è sfruttare la vulnerabilità degli esseri umani attraverso semplici ma sofisticate tattiche di social engineering, sotto forma di email di phishing. Questi attacchi possono assumere diverse modalità. Ad esempio quella di indurre la vittima a cliccare su link pericolosi e installare malware. Oppure impersonificare un membro fidato dell’azienda per convincere i dipendenti a trasferire fondi o rivelare dati sensibili.
PMI protette, ma come?
Le piccole e medie imprese hanno spesso meno “margine di manovra” rispetto a organizzazioni più grandi e strutturate. Questo per quanto riguarda i tempi di inattività di dipendenti e rete. Inoltre, è anche meno probabile che abbiano accesso a strumenti tecnici più avanzati che possano impedire agli attacchi di raggiungere i dipendenti. Ciò significa che in generale gli incidenti di sicurezza possono essere più costosi, gravando letteralmente sulla loro sostenibilità.
Qualche consiglio per le PMI – e per aziende di ogni dimensione – per prevenire le truffe:
- Adottare un approccio alla sicurezza incentrato sulle persone, puntando a bloccare le minacce prima che raggiungano le vittime designate. È importante proteggere tutte le parti da phishing, frodi via email e furto di credenziali. Sono consigliabili difese stratificate per rete edge, gateway di posta elettronica, cloud ed endpoint. Rilevare e risolvere le minacce prima che raggiungano rete ed endpoint è più facile ed efficace che cercare di fermare quelle già entrate in azienda. Bloccare alla fonte una potenziale violazione dei dati, un ransomware o una frode via email toglie pressione ad altri controlli.
- Assicurarsi che i dipendenti comprendano il valore delle informazioni che elaborano e sappiano come identificare e segnalare i tentativi di frode via email. Bisogna incoraggiare la comunicazione tra colleghi, soprattutto quando si lavora da remoto. Ad esempio, si può mettere in atto una politica che richieda una conferma verbale prima di elaborare un pagamento tramite bonifico, per ridurre le possibilità che i fondi vengano accidentalmente trasferiti a un malintenzionato.
- Per PMI protette serve stendere gli standard di cybersicurezza dell’ufficio anche a casa. Questo facendo molta attenzione ai link che vengono aperti e ai fondi che si trasferiscono. Per molti neo-lavoratori remoti, ci saranno protocolli, strumenti online e comunicazioni con cui non avranno familiarità, ed è proprio questa potenziale lacuna che i criminali informatici cercheranno di sfruttare. Bisogna garantire inoltre una connessione Wi-Fi sicura e utilizzare una VPN aziendale e password forti.
Il ruolo delle persone per la sicurezza aziendale
I criminali informatici continuano a sfruttare il “fattore umano”, ovvero l’istinto di curiosità e fiducia che porta le persone a cadere nel gioco del malintenzionato di turno, pur con buone intenzioni. Il report di Proofpoint “Voice of the CISO 2023” sottolinea che il 58% dei CISO italiani di aziende con meno di 500 dipendenti considerano l’errore umano come il principale problema di cybersecurity.
Quando si tratta di proteggersi dal fattore umano, tuttavia, sono troppo poche le aziende che attribuiscono un valore sufficiente alla formazione dei dipendenti per rafforzare la resistenza alle tattiche di social engineering: senza un maggiore livello di consapevolezza, un individuo cliccherà sempre su quei link. La buona notizia, tuttavia, è che il 50% dei CISO italiani di organizzazioni con meno di 500 dipendenti considera una priorità il miglioramento della consapevolezza in materia di cybersecurity tra i dipendenti nei prossimi 12 mesi.
I programmi di formazione e sensibilizzazione devono essere concepiti come un componente fondamentale, e non un semplice corso online da portare a termine, per supportare i dipendenti a diventare naturalmente meno istintivi, in modo che anche le persone più sotto pressione possano prendersi il tempo per individuare i segni distintivi di un tentativo di social engineering.
Un programma completo di formazione sulla sicurezza deve essere al centro della difesa informatica di un’organizzazione. L’apprendimento deve essere regolare, completo e scalabile e deve coprire una serie di argomenti, dalle motivazioni e meccanismi delle minacce, al comprendere come semplici comportamenti, come il riutilizzo delle stesse password e l’inadeguata protezione dei dati, possano aumentare il successo di un attacco.
La cultura della sicurezza deve riguardare tutta l’azienda e non solo il CISO. Quando tutti i dipendenti si assumeranno responsabilità personale e titolarità della sicurezza come, ad esempio, succede all’interno di compagnie aeree o piattaforme petrolifere, allora potremo godere dei veri vantaggi di una “cultura della sicurezza”.
