Phishing: come educare i dipendenti?

di Martin Mackay, Senior Vice President, EMEA di Proofpoint

Un approccio forte alla ha numerose sfaccettature. Con la nascita di nuove minacce e l’evoluzione di altre, le aziende devono continuare ad aggiungere nuovi strumenti di difesa per essere costantemente aggiornati. Tuttavia, esiste una linea di protezione che spesso viene trascurata: le persone.

La consapevolezza e la comprensione della sicurezza da parte dei dipendenti sono importanti tanto quanto l’applicazione di una policy. Gli utenti sono spesso il primo punto di accesso di un attacco, per questo è fondamentale che riescano a comprendere che il loro comportamento può avere un impatto significativo sulla sicurezza per potenziare le difese della propria organizzazione.

Non sempre, però, in azienda la consapevolezza è sufficiente. Il report Beyond the Phish 2019, ha analizzato complessivamente le risposte di dipendenti – operativi in 16 settori – a circa 130 milioni di domande su differenti argomenti, tra cui phishing, protezione dei dati, ransomware e sicurezza sui social media. In generale, il 22% delle domande ha ricevuto una risposta sbagliata, cosa che dimostra come circa un utente su cinque possieda delle lacune relative alle misure di sicurezza. Una delle mancanze più rilevanti è quella legata alla capacità di identificare gli attacchi di phishing, con un quarto di risposte errate. Se consideriamo che si parla di phishing nel 32% di attacchi confermati e nel 78% degli incidenti di spionaggio cyber, questo risultato è davvero preoccupante e sorprendente.

Il phishing è una minaccia costante per aziende di ogni dimensione e settore. Infatti, l’83% dei professionisti di sicurezza globali ha subìto un attacco nel 2018.

Tuttavia, rilevare le lacune non significa colmarle e la soluzione purtroppo non è immediata. Il piano d’azione più efficace per incrementare il livello di conoscenza su temi complessi e condurre a un cambio di atteggiamento, consiste nella realizzazione di attività di formazione generale e continua, che tenga il passo delle minacce IT.

I programmi di training dovrebbero includere processi di formazione e valutazione regolari, attività di potenziamento e verifica della comprensione. Le aziende che non si impegneranno a creare una cultura di conoscenza e responsabilità di sicurezza saranno sempre le più vulnerabili. Il fattore umano deve essere un pilastro chiave nella strategia di protezione aziendale.

Per rafforzare la linea di difesa rappresentata dalle persone, le aziende dovrebbero tenere in considerazione le seguenti attività:

  • Fornire formazione completa e continua sulla a dipendenti di ogni livello. Non solo corsi e aggiornamenti su come individuare un attacco phishing, ma anche su come procedere in caso accadano ed eliminare ogni comportamento che potrebbe avere un impatto sulla sicurezza.
  • Assicurarsi che i dipendenti siano preparati sulle best practice di sicurezza da adottare, ad esempio come impostare una corretta gestione delle password. Non tutti gli incidenti di sicurezza derivano da un attacco esterno e insegnare agli utenti a proteggere i dati sensibili è fondamentale.
  • Trattare gli attacchi di phishing tradizionali con l’importanza che meritano. Assicurarsi che gli utenti sappiano come individuarli e come procedere in caso di violazione.
  • Formare gli utenti sul “perché” e sul “cosa”. Non solo su come appaia una minaccia, ma anche come funziona, le motivazioni e i comportamenti che possono favorirne il successo. Questo discorso vale per tutte le minacce, non solo per il phishing.

Con l’aumento di conoscenza e consapevolezza, i comportamenti cambiano e questo potrebbe fare la differenza tra un tentativo e un attacco di successo.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here