tre collaboratori discutono a un tavolo in piedi.

Sensibilizzare i collaboratori: un booster per la cyber protezione

Come già accaduto negli anni precedenti, anche dal quarto studio sulle PMI emerge che le misure organizzative di cyber protezione come i training di sensibilizzazione vengono attuate in misura decisamente inferiore rispetto a quelle tecniche. «Sono però fondamentali per la cyber sicurezza di un’azienda», spiega la cyber specialista Nicole Bögli.  

Che cosa significa per la cyber sicurezza di un’azienda il fatto che questa tendenzialmente trascuri le misure organizzative? 
In assenza di misure organizzative di protezione, un’impresa è una facile preda per gli hacker. Se i collaboratori non sono stati istruiti sulla gestione sicura dei sistemi IT, anche le migliori misure tecniche non sono sufficienti per garantire una buona protezione. Per questo motivo, in ogni piano di sicurezza informatica devono rientrare, oltre alle misure tecniche, anche quelle organizzative. 

Quali sono le misure organizzative più importanti? 
Di solito, sono i collaboratori a permettere agli hacker di accedere alla rete aziendale. Da qui è poi semplice per i cyber criminali arrecare danni. La sensibilizzazione dei collaboratori è dunque di vitale importanza. I dipendenti dovrebbero sempre essere in grado di individuare le e-mail di phishing, di utilizzare password sicure e di non cliccare su link sospetti e sconosciuti. 

Grafico attuazione misure organizzative

Attuazione di misure organizzative

Sono disponibili delle cifre sulla frequenza con cui sono i collaboratori a consentire a un hacker l’accesso al sistema? 
Esistono parecchi studi, secondo i quali tra il 70 e il 95% dei cyber attacchi andati a buon fine è da ricondurre a un errore umano. A prescindere dal numero concreto, è chiaro che le persone siano la prima porta di accesso per i cyber attacchi. 

In caso di attacchi di phishing, i cyber criminali tentano di accedere a dati sensibili mediante SMS, telefono, e-mail ecc. per ottenerli illegalmente. Qual è il tipo di attacco di phishing che gli hacker perpetrano con maggior successo?  
Gli hacker ottengono il maggior successo con tematiche che risvegliano immediatamente l’interesse della vittima: confronti salariali in seno all’azienda mediante un nuovo tool, richiesta di pagamento dei dazi doganali per un pacchetto o partecipazione a un’estrazione. Avvalendosi di questi argomenti, gli hacker tentano di scatenare una rapida reazione della vittima con una certa pressione verbale (il cosiddetto social engineering). Vengono chiesti, tra l’altro, dati di login (nome utente, password) e informazioni riguardanti la carta di credito. Meno tempo si ha per riflettere, più velocemente si commette un errore. Sono proprio le PMI a essere spesso vittime del phishing, soprattutto per e-mail, in quanto sono considerate delle prede «più facili» rispetto alle grandi imprese. 

Grafico attuazione misure tecniche

Attuazione di misure tecniche

In che modo le PMI possono sensibilizzare i propri collaboratori sulla cyber protezione? 
Una possibile misure è la creazione di linee guida per la gestione sicura di dati, password e supporti di dati. Occorre inoltre designare una persona responsabile della sicurezza IT, alla quale i collaboratori possono rivolgere le proprie domande. Esistono poi vari tipi di training di sensibilizzazione. Per le PMI sono ideali, ad esempio, i video training, che possono essere svolti online in tutta semplicità. Al termine del training le conoscenze acquisite vengono verificate mediante delle simulazioni di phishing in modo tale da affinare ulteriormente la consapevolezza dei collaboratori. Questi training trattano, tra l’altro, la gestione delle e-mail, la separazione tra sfera privata e professionale e la protezione dei dati sensibili sul posto di lavoro. 

È sufficiente un unico training?  
No. Gli hacker trovano metodi di attacco sempre più raffinati e complessi. È pertanto importante che i collaboratori vengano istruiti regolarmente per essere aggiornati di continuo. Inoltre, la consapevolezza riguardante la cyber sicurezza aumenta solo se questa viene tematizzata periodicamente, facendo così dell’atteggiamento giusto una consuetudine. Occorre una vera e propria cultura della cyber sicurezza in azienda. La formazione e il perfezionamento professionale non sono solo un investimento nella cyber protezione, ma permettono a un’impresa anche di posizionarsi come datore di lavoro responsabile. La cyber protezione non è importante soltanto per le aziende, ma anche per i privati. I collaboratori ne approfittano dunque doppiamente.  

Le PMI dispongono dei mezzi finanziari a tale scopo?   
Le PMI hanno spesso riservato un budget troppo esiguo per la cyber sicurezza o addirittura non lo hanno proprio previsto. Pertanto raccomandiamo loro di integrare la tematica nel budget di pianificazione, al fine di disporre di risorse sufficienti, e di non perderla mai di vista. Abbiamo il sentore che la cyber protezione riguardi sempre più PMI, spesso purtroppo solo dopo che sono state oggetto di un attacco andato a buon fine.

Autrice

Nicole Bögli è la specialista Cyber Risk della Mobiliare. È, tra l’altro, responsabile del funzionamento dei cyber servizi. 

Nicole Bögli

Training di sensibilizzazione ai cyber rischi

Il training di sensibilizzazione ai cyber rischi della Mobiliare comprende: 

  • training online per il riconoscimento delle minacce provenienti da Internet;   
  • simulazioni di attacchi di phishing con valutazione della reazione dei dipendenti;  
  • rapporto finale con i dati principali delle singole sessioni di training.