Nell'affrontare le minacce alla sicurezza informatica, le minacce interne sono salite alla ribalta e sono una delle principali cause di violazione. Tuttavia, una minaccia insider non significa che l'insider abbia un intento malevolo. Nella maggior parte dei casi la minaccia è rappresentata da un utente inconsapevole che commette un errore, ad esempio agendo su un'e-mail di phishing, che a sua volta porta a una violazione. Secondo l'Insider Data Breach Survey 2021, lo scorso anno il 94% delle organizzazioni ha subito una violazione dei dati da parte di insider e l'84% ha subito una violazione direttamente da un errore umano. Le minacce insider vanno oltre la caduta negli attacchi di phishing. L'IBM X-Force Threats Intelligence Index 2019 elenca i sistemi, i server e gli ambienti cloud mal configurati come uno dei due modi più comuni in cui gli insider involontari lasciano le organizzazioni aperte agli attacchi. Non è possibile eliminare l'errore umano, ma fornendo linee guida chiare sulla cybersecurity e una formazione regolare dei dipendenti, è possibile ridurre la frequenza e la gravità degli incidenti.
Il primo passo per ridurre il ruolo dell'errore umano negli incidenti di cybersecurity è la definizione di una politica di cybersecurity e la formazione dei dipendenti per insegnare le cose da fare e da non fare in materia di cybersecurity. Ecco un elenco di dieci punti da includere nella vostra politica per aiutarvi a iniziare.
1. Sottolineare l'importanza della sicurezza informatica
Iniziate spiegando perché la sicurezza informatica è importante e quali sono i rischi potenziali. Il furto dei dati dei clienti o dei dipendenti può avere gravi ripercussioni sulle persone coinvolte e mettere a rischio l'azienda. È essenziale che i dipendenti possano trovare rapidamente dove segnalare un incidente di sicurezza. Non fate affidamento sul fatto che l'utente ricordi quale sito interno cercare per trovare le informazioni di contatto; assicuratevi che siano in una posizione intuitiva. Magari sostituite la password scritta sulla nota adesiva con le informazioni necessarie per segnalare un incidente!
2. Insegnare una gestione efficace delle password
Le password possono rendere più o meno efficace il sistema di cybersecurity di un'azienda. Includere linee guida sui requisiti delle password. La pubblicazione speciale NIST 800-63 Revisione 3 contiene modifiche significative alle linee guida suggerite per le password. Sottolineate ai dipendenti che non devono usare le stesse password su siti diversi. Fate il vostro dovere. Se i dipendenti devono ricordare più password, fornite gli strumenti necessari per rendere meno doloroso il compito. Un gestore di password ha un valore significativo. L'autenticazione a più fattori riduce l'impatto di una password compromessa, anche se si tratta della master password del password manager.
3. Insegnare ai dipendenti come identificare le truffe e adottare le migliori pratiche.
Istruite i dipendenti sui vari tipi di e-mail di phishing e di truffa e su come riconoscere qualcosa di sospetto. Se i dipendenti ricevono un'e-mail che sembra fuori dall'ordinario, anche se sembra un'e-mail interna inviata da un altro dipendente, devono verificare con il mittente prima di aprire gli allegati o cliccare sui link. È meglio verificare con il mittente per telefono o di persona. Quando gli account di posta elettronica vengono dirottati, sarà l'aggressore a rispondere a una richiesta di informazioni sulla validità delle informazioni contenute nell'e-mail. Quando è possibile, visitate il sito web dell'azienda invece di cliccare su un link contenuto in un'e-mail. Ad esempio, se un'e-mail di LinkedIn contiene un link, digitate www.linkedin.com e accedete al vostro account per visualizzare il messaggio.
Inoltre, fornire conoscenze generali di cybersecurity sulle migliori pratiche per la protezione di file e dispositivi può contribuire a rafforzare le difese di un'organizzazione. OPSWAT Academy offre corsi gratuiti su queste best practice ed è a disposizione di chiunque voglia saperne di più sulle tecnologie specifiche di OPSWAT.
4. Applicare aggiornamenti e patch
I moderni sistemi operativi, i programmi anti-malware, i browser web e altre applicazioni si aggiornano regolarmente, ma non tutti i programmi lo fanno. Quando i dipendenti installano software non approvato, il reparto IT potrebbe non essere a conoscenza di applicazioni vulnerabili non patchate sui propri asset. Verificare che i sistemi operativi e le applicazioni abbiano i livelli di patch e di versione aggiornati è responsabilità del reparto IT. La mancata verifica dello stato degli endpoint e dei server rientra nell'ambito delle minacce interne non intenzionali poste da una configurazione errata del sistema, ecc. È necessario eseguire regolarmente la scansione delle vulnerabilità e la verifica del sistema.
5. Proteggere le informazioni personali
Gli aggressori sono spesso alla ricerca di dati riservati, come i dati delle carte di credito, i nomi dei clienti, gli indirizzi e-mail e i numeri di previdenza sociale. Quando si inviano queste informazioni all'esterno dell'organizzazione, è importante che i dipendenti capiscano che non possono inviarle semplicemente tramite e-mail. È necessario utilizzare un sistema di trasferimento sicuro dei file che codifichi le informazioni e consenta l'accesso solo al destinatario autorizzato. Per una maggiore sicurezza, una tecnologia come il DLP diOPSWAT può aiutare a prevenire potenziali violazioni dei dati e della conformità normativa, rilevando e bloccando i dati sensibili e riservati contenuti nei file e nelle e-mail, compresi i numeri delle carte di credito e i numeri di previdenza sociale.
6. Bloccare computer e dispositivi
Quando i dipendenti lasciano la scrivania, devono bloccare lo schermo o disconnettersi per evitare accessi non autorizzati. I dipendenti sono responsabili del blocco dei loro computer; tuttavia, il reparto IT dovrebbe configurare dei timeout di inattività come misura di sicurezza. Anche i computer portatili devono essere chiusi fisicamente quando non vengono utilizzati.
7. Secure Portatile Media
I telefoni mobile smarriti o rubati rappresentano una minaccia significativa per il proprietario e i suoi contatti. L'uso di blocchi dello schermo per questi dispositivi è essenziale. Le memorie, come le schede MicroSD esterne e i dischi rigidi dei computer portatili, devono essere criptate. Quando si portano con sé supporti portatili come le unitàUSB e i DVD, è importante eseguire una scansione di questi dispositivi alla ricerca di malware prima di accedere a risorse come i computer di lavoro e la rete. OPSWAT MetaDefender Kiosk offre una soluzione semplice per verificare la sicurezza dei supporti portatili.
8. Segnalazione di dispositivi smarriti o rubati
Avvisate i dipendenti che i dispositivi rubati possono essere un punto di ingresso per gli aggressori per accedere ai dati riservati e che i dipendenti devono segnalare immediatamente i dispositivi smarriti o rubati. Spesso il reparto IT può cancellare i dispositivi da remoto, quindi una scoperta tempestiva può fare la differenza.
9. Assumere un ruolo attivo
Spiegate che i dipendenti devono usare il buon senso e assumere un ruolo attivo nella sicurezza. Se notano attività sospette, devono segnalarle all'amministratore IT. Se i dipendenti si accorgono di un errore, anche dopo che si è verificato, segnalarlo all'IT significa che si possono ancora intraprendere azioni per mitigare i danni. La sicurezza informatica è una questione che riguarda tutti i membri dell'azienda e ogni dipendente deve assumere un ruolo attivo nel contribuire alla sicurezza dell'azienda. Se un dipendente teme di perdere il posto di lavoro per aver segnalato un errore, difficilmente lo farà. Assicuratevi che i dipendenti si sentano a proprio agio nel segnalare gli incidenti.
10. Applicare le impostazioni sulla privacy
Informate i dipendenti che è altamente consigliato applicare le impostazioni di privacy massime sui loro account di social media come Facebook e Twitter. Chiedete loro di assicurarsi che solo i loro contatti possano vedere le loro informazioni personali, come la data di nascita, la posizione, ecc. Limitare la quantità di informazioni personali disponibili online ridurrà l'efficacia degli attacchi di spear phishing. Siate particolarmente attenti a notare qualsiasi cosa anche solo leggermente sospetta proveniente da un contatto LinkedIn. L'account di un contatto LinkedIn compromesso può consentire alcuni degli attacchi di social engineering più sofisticati.
L'orientamento dei nuovi assunti deve includere la documentazione e le istruzioni sulle politiche di sicurezza informatica. Fornite una formazione regolare sulla cybersecurity per garantire che i dipendenti comprendano e ricordino le politiche di sicurezza. Un modo divertente per assicurarsi che i dipendenti comprendano le politiche è quello di fare un quiz che metta alla prova le loro azioni in situazioni esemplificative.
Oltre a informare e formare i dipendenti, le aziende devono garantire l'esistenza di un sistema di monitoraggio e gestione di computer e dispositivi, l'utilizzo di una scansione multipla anti-malware per garantire la sicurezza dei server, degli allegati di posta elettronica, del traffico web e dei supporti portatili e la possibilità per i dipendenti di trasferire file riservati in modo sicuro. Per saperne di più sulle ulteriori misure che le aziende possono adottare per garantire un accesso sicuro in ufficio e a casa.
Per saperne di più su come OPSWAT può aiutare a proteggere la vostra infrastruttura critica, fissate un incontro con uno dei nostri esperti di cybersecurity.
