Anche il 2019 è passato e l’errore o la negligenza del dipendente aziendale è al primo posto tra i rischi per la protezione aziendale. La percentuale varia a seconda degli studi e dei campi di applicazione ma il dato oggettivo è sempre lo stesso: la principale causa di un attacco alla rete aziendale deriva da un’azione scellerata di un dipendente.
Chi vuole minare la protezione aziendale ha campo aperto. Può recuperare facilmente i dati di accesso ai servizi aziendali introducendosi nei dispositivi personali dei dipendenti. Oppure può acquisire informazioni riservate anche attraverso tecniche di social engineering che sfruttano le tracce che lasciamo in giro sulla Rete.
Le tecniche degli hacker si sono evolute e oggi perseguono obiettivi diversi dal passato. L’attacco non è più finalizzato ad arrecare un danno immediato all’infrastruttura e ai servizi It ma, piuttosto, a estorcere informazioni sensibili da usare a fini di lucro. O, ancora, utili a ricattare l’azienda stessa e i suoi manager. Infine, un hacker che si è introdotto all’interno del perimetro può rimanere silente e attendere di intercettare informazioni utili ai suoi fini.
[Vuoi conoscere gli errori più gravi che i dipendenti commettono nell’uso dei servizi digitali? Vuoi conoscere i danni e i casi di disastri che hanno messo al tappeto intere aziende? Il prossimo 30 gennaio alle 10 non perdere l’appuntamento con un live show esclusivo , partecipa dalle 10 alle 11 ad un webinar senza precedenti, in compagnia dei massimi esperti di sicurezza e di casi reali di manager che stanno affrontando la sfida più complessa… quella contro l’hacker più pericoloso… noi stessi].
[Qui tutti i dettagli per partecipare]
Da 12345678 ai post-it: così è difficile la protezione aziendale
Scorrendo gli errori e le leggerezze più comuni dei dipendenti aziendali, ci renderemo conto che la cultura informatica del dipendente medio è ancora ferma a 20 anni fa. E, meditando sulle conseguenze, ci renderemo anche conto che i vademecum, le attività di sensibilizzazione e la compliance nulla possono contro lo scarso sentimento di responsabilizzazione delle risorse aziendali.
Vediamoli, dunque questi errori e ricordiamoceli durante la seduta di gruppo al fantastico Power Workshop a tema organizzato da HPE e SistemiHS nell’ambito di #HPEInnoLab.
1. Usare password banali
Qwerty è sempre la password preferita, anche per il 2019. Seguono banalità come “password” e “12345678”. Ora, posto che chi inserisce password così banali meriterebbe di essere hackerato, non ci si può permettere che si esponga l’infrastruttura IT a questi rischi. Fondamentale, dunque, che il CIO responsabile della protezione aziendale imponga password complesse per tutti i servizi e le applicazioni aziendali.
2. Non usare l’autenticazione a due fattori
Sempre più richiesta per tutti i servizi applicativi, l’autenticazione a due fattori è già una buona pratica per proteggersi dalle minacce informatiche. Sarebbe meglio che fosse imposta sempre, come prevede il GDPR.
3. Usare sempre la stessa password
Bucata una, bucato tutto. Il dipendente con poca fantasia, e altrettanto scarso senso di responsabilità, non può esporsi a una vulnerabilità così banale. Anche in questo caso, da forte raccomandazione si dovrebbe passare a regola aziendale.
4. Condividere le password con i colleghi
Bello usare la stessa licenza di un servizio applicativo a pagamento su più terminali, eh? Bello, certo, ma molto rischioso. E poi, come fare a risalire al responsabile del leak? Pratica molto diffusa, da dimenticare.
5. Dimenticarsi i post-it
Inammissibile che nel 2020 ci siano persone che scrivono le password nei bigliettini attaccati e in bella mostra vicino al Pc. Peggio ancora se i bigliettini viaggiano sempre con noi nel portafoglio o se la password è registrata nella rubrica dello smartphone alla voce Steve Jobs.
6. Lasciare incustoditi Pc e smartphone senza blocco
Non si contano le violazioni alla rete aziendale effettuate sfruttando un Pc lasciato acceso tutta la notte, senza il blocco. Ebbene, anche qui la pigrizia prevale sulla ragione: se non hai la pazienza di aspettare l’avvio del Pc la mattina, almeno mettilo in modalità sospensione la sera prima.
7. Uso di software e app non aziendali
Con lo sdoganamento di Pc e dispositivi mobili personali per uso lavorativo il responsabile della sicurezza aziendale ha perso definitivamente il controllo sull’ambiente applicativo. In verità, esistono tool e console di gestione che bloccano l’installazione di app, di software non professionali e l’accesso a siti web potenzialmente pericolosi, è il caso di prevedere un investimento in proposito.
8. Accettare Usb da sconosciuti
La curiosità è umana. Così l’hacker furbo lascia una chiavetta Usb nella sala riunioni e attende solo che qualcuno la prenda e la inserisca nel suo Pc per curiosare tra i file. Il pesce abbocca e l’hacker esulta.
9. Collegarsi a reti WiFi non sicure
Bella la vita dello smart worker: lavorare dove si vuole, quando si vuole. Tanto una rete WiFi disponibile si trova ovunque. Brutto, invece, scoprire che, proprio a causa di quella rete WiFi, l’azienda ha subito un attacco. Almeno usiamo una Vpn, il minimo sindacale.
10. Antivirus, che?
Eppure, basterebbe così poco. Comprare un abbonamento a un servizio di protezione non è così oneroso e risolverebbe una serie di problemi. Ma ancora oggi, nel 2020, la spesa per l’antivirus è considerata superflua.
Questi gli errori più comuni commessi dai dipendenti aziendali ancora oggi, alle porte del 2020. Nonostante l’opera di sensibilizzazione, nonostante i divieti e le imposizioni richieste dalla compliance. Ma in un mondo in cui i dati rappresentano il vero tesoro aziendale non ci si può più permettere di sottovalutare la questione.
Di esempi da non seguire, di processi, soluzioni applicative e metodologie si parlerà al
Power Webinar
Siamo sicuri?
Come rispondere e disinnescare il pericolo più grande per le nostre imprese… noi stessi
organizzato da HPE e SistemiHS nell’ambito di #HPEInnoLab.