Sicurezza informatica in azienda

Cyber risk: quando il rischio è in azienda

Per garantire la sicurezza informatica è fondamentale lavorare alla formazione del personale, così da ridurre i rischi. Un assessment organizzativo sulla cyber security consente di mappare l'esposizione ai rischi e predisporre un piano di business continuity.

 

Cosa accade quando i cyber risk si annidano nelle maglie larghe dei processi aziendali, coinvolgendo la sicurezza organizzativa prima ancora di quella fisica e logica? Quando le pratiche di phishing mettono a rischio le informazioni presenti in azienda e a cascata l'intera operatività aziendale, diventa vitale lavorare sulla formazione del personale e sui processi aziendali, per ridurre al minimo le conseguenze.

Cyber risk: attenzione a phishing, malware e ransomware

Secondo il Rapporto Clusit 2021, il ricorso al Phishing rappresenta il 15% del totale degli attacchi che minano la sicurezza informatica delle aziende di qualsiasi dimensione esse siano.

Si tratta di una tecnica di truffa che si realizza principalmente attraverso messaggi mail ingannevoli, volti a carpire informazioni importanti, come le credenziali di accesso a conti bancari o ad aree riservate di vario genere. In sostanza il malcapitato, tratto in inganno dal messaggio, fornisce egli stesso le informazioni, in pratica le "chiavi di casa", per l'ingresso ad esempio ai sistemi informativi aziendali.

Ed è sempre a mezzo mail che giungono sulle postazioni di lavoro i malware, i cosiddetti software malevoli creati per infettare PC o dispositivi mobili, utilizzati nel 42% del totale dei casi noti e cresciuti del 7,4% nel 2020. Si tratta di strumenti che possono essere prodotti in massa, a costi contenuti e in infinte varianti, adattandosi a più sistemi. Ci sono in particolare i Ransomware, che puntano a l’accesso ai contenuti finché non viene pagato un riscatto e costituiscono un terzo degli attacchi con danni sempre maggiori ed episodi in continua crescita.

È dunque evidente che il cyber crime punta sui comportamenti dei singoli per fare breccia nei sistemi aziendali ed ottenerne profitto. Ecco perché è importante intervenire non solo sulla sicurezza  fisica e logica, ma anche sulla sicurezza organizzativa, puntando sui processi e sulla formazione del personale.

Cyber risk: organizzazione aziendale

Per affrontare la questione in maniera strategica, il primo passo da compiere è un assessment organizzativo sulla Cyber Security, in modo da mappare l'esposizione ai rischi per la sicurezza informatica.

Nel vademecum della Cyber Security, oltre alla predisposizione di Piani di Continuità e di Disaster Recovery IT e all'elaborazione di un efficace piano di comunicazione in caso di crisi, occorre tener conto dei passaggi di tipo prettamente organizzativo:

  • lavorare sui processi di gestione dei sistemi informativi per migliorarne l’efficacia;
  • considerare il contributo di tutto il personale aziendale e in particolare del personale IT, che deve essere ben preparato e che dovrà essere sostenuto dal Top Management;
  • dotarsi di un’efficace copertura assicurativa, permettendo così all’organizzazione di limitare gli effetti della situazione di crisi, ritornare alla normalità nel minor tempo possibile e proseguire il proprio percorso di sviluppo.

 

Formazione per contrastare il fenomeno del phishing

La formazione dei singoli, che ogni giorno scelgono o meno di aprire una mail, un allegato, di inserire dati anche molto importanti, è senza dubbio la questione su cui insistere in maniera efficace.

Lo slogan del mese europeo della cyber security, nell'ottobre 2020, è molto chiaro: “Prima di cliccare, pensaci” (Think Before U Click). Ogni individuo deve essere formato a reagire in maniera corretta agli stimoli informatici a cui è sottoposto e che nell'operatività quotidiana rappresentano un mix di questioni serie e importanti con messaggi ingannevoli e volti a carpire dati sensibili che mettono in serio rischio la sicurezza e l'operatività aziendale.

Investire sulla formazione del personale è sempre una buona pratica e nel caso della cyber security il ritorno dell'investimento può essere davvero notevole, dal momento che come detto ogni singolo individuo al cospetto di phishing, malware e ransomware può costituire una breccia nella sicurezza aziendale. Dunque occorre essere formati e allenati a reagire correttamente agli stimoli, ponendosi dei dubbi e fermandosi nei casi sospetti.

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI