Policy da conoscere

I dipendenti come prima linea di difesa contro le minacce: Come sviluppare un firewall umano

6 minuti di lettura

Molti sottolineano gli aspetti tecnici della sicurezza digitale: sicurezza degli endpoint, gestione delle password e crittografia. Sebbene tutti questi aspetti siano essenziali per costruire la sicurezza dell'azienda, il personale è in prima linea ed è il più esposto a diventare bersaglio e strumento delle minacce informatiche. Il concetto di firewall umano si basa su questa premessa. Che cos'è un firewall umano? E come è possibile svilupparne uno?

Il significato di un firewall umano

Con il continuo sviluppo del mondo digitale, le aziende lavorano con quantità sempre maggiori di dati sensibili. Se le informazioni digitali sensibili dovessero finire in qualche modo nelle mani sbagliate, l'intera azienda, così come la sicurezza dei suoi partner o clienti, potrebbero essere messe in pericolo. Molte aziende cercano di proteggersi da un simile esito con tecnologie avanzate e soluzioni sviluppate, ma in alcuni casi devono ricordare un fattore chiave: l'errore umano. Questi errori sono la causa principale delle violazioni dei dati.

Sviluppando un firewall umano, le aziende possono contrastare i tentativi dei criminali informatici, che spesso usano i dipendenti come porta d'accesso ai sistemi aziendali. Partendo dal presupposto che le persone sono suscettibili di commettere errori, i criminali informatici prendono di mira i dipendenti con varie tecniche di social engineering e altri attacchi.

Quali sono?

Phishing

Gli attacchi di phishing sfruttano la fiducia dei dipendenti, la loro indaffaratezza o la loro occasionale disattenzione. Per sfruttare ancora di più il fattore umano, gli attacchi di phishing spesso includono un senso di urgenza o una ricompensa, soprattutto durante i periodi di vacanza, quando le aziende sono note per offrire bonus ai dipendenti.

Gli attacchi di phishing incoraggiano i dipendenti a cliccare rapidamente su un link o a cambiare immediatamente la password, a meno che non vogliano affrontare conseguenze spiacevoli, come la perdita dell'accesso a un'applicazione indispensabile.

Ricatto informatico

Mentre il phishing si basa sull'idea che un tipico dipendente sia troppo occupato o disattento per accorgersi di una minaccia, i ricattatori informatici tentano di spaventare le persone e costringerle a pagare per paura di esporre i propri dati. Il ricattatore può, ad esempio, affermare di aver pedinato il destinatario tramite webcam e di voler condividere le immagini scattate a meno che non riceva un riscatto. In questi casi, il destinatario non deve farsi prendere dal panico. Spesso le minacce dei criminali sono false e il pagamento della somma richiesta non risolverà il problema.

Dispositivi smarriti o rubati

I criminali informatici sono alla continua ricerca di dispositivi di lavoro poco protetti, sia a livello digitale che fisico. È possibile proteggere il proprio sistema con diverse soluzioni di sicurezza nel mondo digitale. Tuttavia, nel mondo reale, è soprattutto il comportamento responsabile che impedisce ai criminali di rubare i computer portatili e di sbirciare nel computer di qualcuno.

Attacchi sotto mentite spoglie

I criminali informatici possono cercare di ingannare i dipendenti travestendosi da altre persone, non solo online ma anche di persona. Potrebbero, ad esempio, recarsi nell'edificio del vostro ufficio e fingersi un dipendente che ha appena dimenticato la tessera d'ingresso. Se i dipendenti non sono prudenti, potrebbero permettere all'intruso di accedere all'edificio e ai dati sensibili dell'azienda. Leggete come Jake Moore, esperto di ESET, è riuscito ad "hackerare" un club di golf fingendosi un assistente produttore televisivo.

Link dannosi

Nascosti in vari siti web o finestre pop-up, i link dannosi possono tentare di allettare i dipendenti con un'offerta interessante o esortarli ad aggiornare le loro applicazioni o software.

Documenti dannosi

Gli attori delle minacce spesso includono anche file dannosi come allegati di posta elettronica; dopo che gli utenti aprono il file, i loro computer vengono infettati dal malware. Un file infetto può sembrare innocente come un normale documento Excel. Ma può contenere una macro dannosa che viene eseguita automaticamente una volta aperto il documento.

Costruite il vostro firewall umano protettivo

L'elenco completo delle minacce che colpiscono i dipendenti è molto più lungo, quindi lo sviluppo di un firewall umano funzionale è diventato un aspetto essenziale della sicurezza digitale. Come potete costruire e mantenere un firewall umano nella vostra azienda?

1. Educare i dipendenti. Devono sapere come individuare le minacce e reagire in modo sicuro. Sviluppate continuamente le conoscenze dei vostri dipendenti. Idealmente, iniziate fin dal primo giorno e fate in modo che la formazione sulla sicurezza sia parte integrante del vostro onboarding, magari valutando il livello di consapevolezza dei candidati in materia di sicurezza già in fase di reclutamento. Cercate modi interattivi per rendere la formazione sulla sicurezza divertente, coinvolgente e memorabile.

2. Il modo semplice è il migliore. Create politiche facili da capire e attenetevi ad esse. Non sovraccaricate o stressate i vostri dipendenti con troppe informazioni, ma assicuratevi che ogni dipendente sappia cosa fare e come mantenere la sicurezza digitale. Non trascurate le nozioni di base e fate in modo che i vostri dipendenti siano tenuti a:

  • Utilizzare password sicure e avere una password separata per ogni account
  • non cliccare mai su link sconosciuti, finestre pop-up o aprire allegati provenienti da fonti sconosciute.
  • Contattare il team IT ogni volta che è disponibile un nuovo aggiornamento di un'applicazione e seguire le loro istruzioni.
  • Spegnere e bloccare sempre lo schermo quando si lascia un dispositivo incustodito
  • discutere di informazioni sensibili relative al lavoro solo in spazi privati e utilizzare le cuffie durante le riunioni online
  • Utilizzare l'autenticazione a più fattori (MFA).

3. Coinvolgere tutti. Chiunque può diventare il bersaglio dei criminali informatici, compresi i receptionist. Non lasciate fuori nessun dipendente e assicuratevi che tutti conoscano i possibili problemi che possono incontrare nella loro posizione.

4. Siate presenti per i vostri dipendenti. Rilevare una minaccia è solo una parte dell'azione di un firewall umano: segnalarla è un'altra ed è altrettanto importante. Se volete che il sistema funzioni, i vostri dipendenti devono avere la sensazione di poter sempre parlare con il team IT e discutere di qualsiasi preoccupazione.

5. Valutare i progressi. Si può arrivare a testare la consapevolezza dei dipendenti con simulazioni di phishing. Tuttavia, è utile anche valutare se i dipendenti si attengono alle politiche di base e se comunicano efficacemente con il team IT (ad esempio, comunicando al team IT eventuali nuovi aggiornamenti "necessari" o segnalando eventuali eventi insoliti).

6. Premiate i vostri dipendenti. Supponiamo che i dipendenti comunichino con l'IT. In questo caso, stanno mantenendo abitudini di lavoro sicure dal punto di vista digitale e sono disposti a imparare di più e a progredire nella loro conoscenza della sicurezza digitale; scegliete un premio a vostra scelta e offritelo a coloro che se lo sono meritato.

7. Combinate il vostro firewall umano con soluzioni software funzionali. Utilizzate la protezione degli endpoint, la 2FA, la VPN e i firewall ed eseguite aggiornamenti regolari. Ricordate che le misure di sicurezza tecniche e il firewall umano devono sempre andare di pari passo.

Continua a leggere