{"id":27469,"date":"2022-12-22T18:04:39","date_gmt":"2022-12-22T16:04:39","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27469"},"modified":"2022-12-22T18:04:39","modified_gmt":"2022-12-22T16:04:39","slug":"i-dipendenti-sono-un-rischio-per-la-sicurezza","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/i-dipendenti-sono-un-rischio-per-la-sicurezza\/27469\/","title":{"rendered":"I dipendenti sono un rischio per la sicurezza?"},"content":{"rendered":"

Le societ\u00e0 finanziarie sono considerate un bersaglio redditizio da parte dei cybercriminali<\/strong> non solo per i forti flussi di denaro registrati e le enormi quantit\u00e0 di dati sensibili dei clienti, ma per il grado di digitalizzazione del settore che, dall\u2019inizio della pandemia, ha dovuto gestire l\u2019accesso da remoto per i dipendenti. Un quarto delle aziende <\/strong>italiane <\/strong>del settore bancario e finanziario, durante la pandemia, ha subito una violazione causata <\/strong>volontariamente o involontariamente <\/strong>dai dipendenti, con un leggero aumento <\/strong>nel<\/strong>le organizzazioni pi\u00f9 piccole (31%).<\/strong> Secondo la nostra ultima ricerca<\/a> e quanto dichiarato dai decision maker IT intervistati in Italia il fattore umano <\/strong>deve<\/strong> essere considerato<\/strong> come<\/strong> l\u2019anello pi\u00f9 debole<\/strong> quando si tratta di minacce informatiche nel settore finanziario<\/strong>.<\/p>\n

I dipendenti come punto di accesso per gli attacchi informatici<\/h2>\n

Il comportamento e le competenze dei dipendenti in materia di rischi informatici sono un fattore da non sottovalutare nel settore finanziario italiano. Il 13%<\/strong> considera i dipendenti che non conoscono le policy e le pratiche aziendali in materia di cybersecurity la principale minaccia per la sicurezza<\/strong> informatica<\/strong>, percentuale che cresce fino al 22% tra le aziende di piccole e medie dimensioni (50-999 dipendenti) e che si riduce sensibilmente fino all\u20198% nelle grandi aziende (oltre 1.000 dipendenti). Il 7% indica lo smart-working e i lavoratori da remoto come potenziale rischio e vulnerabilit\u00e0<\/strong>. Tra gli intervistati \u00e8 diffusa la consapevolezza che un minimo errore involontario possa mettere in pericolo interi segmenti dei sistemi aziendali.<\/p>\n

I dipendenti che ignorano o non conoscono le policy aziendali sono ritenuti pericolosi quanto la mancanza di personale dedicato alla sicurezza IT (13%). Un altro aspetto interessante \u00e8 che gli altri \u201csoliti sospetti\u201d della sicurezza informatica ricoprono un ruolo minore nel settore finanziario. Ad esempio, solo l\u20198% degli intervistati afferma che i programmi non aggiornati sono stati utilizzati come gateway per accedere alla rete aziendale dall\u2019inizio della pandemia. Un numero leggermente superiore (10%) riferisce di aver subito attacchi tramite un service provider esterno o tramite un\u2019azienda partner.<\/p>\n

La formazione dei dipendenti sulla cybersecurity \u00e8 ancora scarsa<\/h2>\n

Che si tratti di aprire un allegato, cliccare un link infetto o effettuare il download di un software non autorizzato, i criminali informatici spesso prendono di mira i dipendenti per trovare una via d\u2019accesso alla rete aziendale. D\u2019altra parte, sono diversi i dipendenti che non hanno ancora ricevuto una formazione IT adeguata. Nonostante le societ\u00e0 finanziarie garantiscano una formazione sulla sicurezza informatica al personale IT maggiore rispetto a quella offerta a qualsiasi altro ruolo professionale, c\u2019\u00e8 sicuramente ampio margine di miglioramento. Le sessioni regolari di formazione dei dipendenti non sono ancora abbastanza diffuse. <\/strong><\/p>\n

I dipendenti devono poter comprendere i potenziali vettori di attacco dei criminali informatici e le conseguenze delle loro azioni. Per questo \u00e8 importante fornire loro gli strumenti per comprendere le tematiche relative alla sicurezza informatica. Inoltre, \u00e8 consigliabile che il programma formativo sia personalizzato da settore a settore e inserito all\u2019interno della routine lavorativa quotidiana, senza dimenticare nessuna figura professionale.<\/p>\n

Nelle societ\u00e0 con oltre 1.000 dipendenti le aree con il maggior numero di personale regolarmente formato su cyber minacce e comportamenti di sicurezza informatica appartengono, come prevedibile al reparto IT, seguiti da dirigenti e analisti. Solo un terzo dei responsabili IT intervistati (33%) ha dichiarato che il 100% del reparto IT effettua training regolari<\/strong> mentre, in generale, hanno stimato che in media due terzi del totale sono regolarmente formati (67%). Questa percentuale si riflette anche tra i dirigenti (64%) e negli altri reparti presi in esame come ad esempio assistenti esecutivi (61%), marketing (56%), analisti e trader (62%) e contabilit\u00e0 (59%). In generale quindi, solo poco pi\u00f9 della met\u00e0 dei dipendenti (dal 54% al 67%) ha seguito sessioni di formazione dedicate alla sicurezza informatica.<\/p>\n

Come garantire la sicurezza delle istituzioni finanziarie contro le minacce informatiche?<\/h2>\n

1. Definite autorizzazioni rigorose<\/h3>\n

Per affrontare uno scenario delle minacce sempre pi\u00f9 sofisticato \u00e8 importante limitare l\u2019accesso ai tool di remote management dagli indirizzi IP esterni alla vostra azienda e garantire che le interfacce remote siano accessibili solo da un numero limitato di endpoint. Definire e applicare delle policy rigorose in materia di password per tutti i sistemi IT e utilizzare l\u2019autenticazione a pi\u00f9 fattori sono procedure ormai imprescindibili indipendentemente dal settore di appartenenza. I privilegi estesi devono essere assegnati esclusivamente a chi ne ha bisogno per poter svolgere il proprio lavoro.<\/p>\n

2. Effettuate backup regolari<\/h3>\n

La sempre maggior diffusione degli attacchi ransomware aumenta il rischio di ritrovarsi con i dati criptati e resi inutilizzabili. Se si effettua regolarmente il backup \u00e8 possibile ripristinare velocemente tutti i dati aziendali, evitando i tempi di inattivit\u00e0 che hanno importati ripercussioni economiche.<\/p>\n

3. Non dimenticate la formazione<\/h3>\n

Oggi sono pochi i dipendenti che seguono programmi di formazione IT adeguati. L\u2019organizzazione di sessioni regolari rivolte ai dipendenti, ad esempio grazie a Kaspersky Security Awareness Training<\/a>, completa le soluzioni tecnologiche implementate ed \u00e8 essenziale per aumentare la consapevolezza sulle minacce digitali.<\/p>\n

4. Scegliete le soluzioni pi\u00f9 adeguate<\/h3>\n

I cyberattacchi sono tra i rischi aziendali pi\u00f9 pericolosi a cui \u00e8 esposto il settore dei servizi finanziari. Sebbene le minacce e le tecniche adottate dai cybercriminali siano in continua evoluzione, molte aziende continuano ad affidarsi a tecnologie di sicurezza obsolete. Il nostro portafoglio offre le soluzioni<\/a> per proteggere tutti i dati e gli asset, garantire la continua disponibilit\u00e0 di servizi, la tutela della propriet\u00e0 intellettuale, proteggendo cos\u00ec le competenze e la reputazione dell\u2019istituzione.<\/p>\n