Le piccole imprese non sono immuni da attacchi informatici, anche se spesso hanno la tendenza a pensare di essere obiettivi di minor valore per i cybercriminali. È sufficiente disporre di un conto bancario o di informazioni sensibili da sottrarre, invece, per essere decisamente a rischio. Inoltre, con la crescente diffusione del lavoro ibrido, a cui la pandemia ha dato una forte accelerazione, le aziende devono considerare più metodi di protezione.

La realtà è che oggi i cyberattacchi prendono sempre più di mira le persone, non i sistemi, e questo vale per aziende di tutte le dimensioni. La via d’accesso più facile è sfruttare la vulnerabilità degli esseri umani attraverso semplici ma sofisticate tattiche di social engineering, sotto forma di email di phishing. Questi attacchi possono assumere diverse modalità, ad esempio quella di indurre la vittima a cliccare su link pericolosi e installare malware, oppure impersonificare un membro fidato dell’azienda per convincere i dipendenti a trasferire fondi o rivelare dati sensibili.

Le PMI hanno spesso meno “margine di manovra” rispetto a organizzazioni più grandi e strutturate per quanto riguarda i tempi di inattività di dipendenti e rete, hanno meno fondi a disposizione per bonifica e ripristino e un trasferimento bancario fraudolento/sbagliato può avere un impatto molto grave. Inoltre, è anche meno probabile che abbiano accesso a strumenti tecnici più avanzati che possano impedire agli attacchi di raggiungere i dipendenti. Ciò significa che in generale gli incidenti di sicurezza possono essere più costosi, gravando letteralmente sulla loro sostenibilità.

Luca Maiocchi, Country Manager, Proofpoint Italia

Ecco qualche consiglio per le PMI - e per aziende di ogni dimensione - per prevenire le truffe:

• Adottare un approccio alla sicurezza incentrato sulle persone, puntando a bloccare le minacce prima che raggiungano le vittime designate. È importante proteggere tutte le parti (dipendenti, clienti e partner) da phishing, frodi via email e furto di credenziali. Sono consigliabili difese stratificate per rete edge, gateway di posta elettronica, cloud ed endpoint, insieme a una formazione personalizzata degli utenti, al fine di offrire la migliore protezione da questi tipi di attacchi che sfruttano la natura umana. Rilevare e risolvere le minacce prima che raggiungano rete ed endpoint è più facile ed efficace che cercare di fermare quelle già entrate in azienda. Bloccare alla fonte una potenziale violazione dei dati, un ransomware o una frode via email toglie pressione ad altri controlli.
• Assicurarsi che i dipendenti comprendano il valore delle informazioni che elaborano e sappiano come identificare e segnalare i tentativi di frode via email. Bisogna incoraggiare la comunicazione tra colleghi, soprattutto quando si lavora da remoto. Ad esempio, si può mettere in atto una politica che richieda una conferma verbale prima di elaborare un pagamento tramite bonifico, per ridurre le possibilità che i fondi vengano accidentalmente trasferiti a un malintenzionato.
• Estendere gli standard di cybersicurezza dell’ufficio anche a casa, facendo molta attenzione ai link che vengono aperti e ai fondi che si trasferiscono. Per molti neo-lavoratori remoti, ci saranno protocolli, strumenti online e comunicazioni con cui non avranno familiarità, ed è proprio questa potenziale lacuna che i criminali informatici cercheranno di sfruttare. Bisogna garantire inoltre una connessione Wi-Fi sicura e utilizzare una VPN aziendale e password forti.

Il ruolo delle persone per la sicurezza aziendale

I criminali informatici continuano a sfruttare il “fattore umano”, ovvero l’istinto di curiosità e fiducia che porta le persone a cadere nel gioco del malintenzionato di turno, pur con buone intenzioni. Il report di Proofpoint “Voice of the CISO 2023” sottolinea che il 58% dei CISO italiani di aziende con meno di 500 dipendenti considerano l’errore umano come il principale problema di cybersecurity.

Quando si tratta di proteggersi dal fattore umano, tuttavia, sono troppo poche le aziende che attribuiscono un valore sufficiente alla formazione dei dipendenti per rafforzare la resistenza alle tattiche di social engineering: senza un maggiore livello di consapevolezza, un individuo cliccherà sempre su quei link. La buona notizia, tuttavia, è che il 50% dei CISO italiani di organizzazioni con meno di 500 dipendenti considera una priorità il miglioramento della consapevolezza in materia di cybersecurity tra i dipendenti nei prossimi 12 mesi.

I programmi di formazione e sensibilizzazione devono essere concepiti come un componente fondamentale, e non un semplice corso online da portare a termine, per supportare i dipendenti a diventare naturalmente meno istintivi, in modo che anche le persone più sotto pressione possano prendersi il tempo per individuare i segni distintivi di un tentativo di social engineering. Un programma completo di formazione sulla sicurezza deve essere al centro della difesa informatica di un’organizzazione. L’apprendimento deve essere regolare, completo e scalabile e deve coprire una serie di argomenti, dalle motivazioni e meccanismi delle minacce, al comprendere come semplici comportamenti, come il riutilizzo delle stesse password e l’inadeguata protezione dei dati, possano aumentare il successo di un attacco.

La cultura della sicurezza deve riguardare tutta l’azienda e non solo il CISO. Quando tutti i dipendenti si assumeranno responsabilità personale e titolarità della sicurezza come, ad esempio, succede all’interno di compagnie aeree o piattaforme petrolifere, allora potremo godere dei veri vantaggi di una “cultura della sicurezza”.

Luca Maiocchi è Country Manager di Proofpoint Italia