Il processo di digitalizzazione, anche tra le piccole e medie imprese, ha subito una forte accelerazione e nell’ultimo periodo - complici anche gli sforzi fatti per limitare quanto possibile la diffusione del Covid-19 sui luoghi di lavoro - si stanno affermando modi nuovi di lavorare che hanno sempre più necessità di appoggiarsi alle tecnologie informatiche.
In questo ambito si innesta la problematica della sicurezza informativa e si inserisce la questione della protezione dei dati aziendali, sempre più risorsa fondamentale non solo per le grandi imprese ma anche in contesti aziendali più piccoli.
Garantire un’adeguata sicurezza dei sistemi informatici aziendali e dei dati in essi archiviati è oggi una questione di fondamentale importanza nell’organizzazione dell’attività d’impresa.
Se è assodato che avere un buon livello di sicurezza informatica mediante l’utilizzo di misure “tecniche” – cioè applicabili direttamente ai sistemi, quali ad esempio un backup dei dati regolare e sicuro, predisporre software antivirus adeguati, implementare credenziali di accesso, ecc. – è requisito fondamentale per salvaguardare il sistema informatico aziendale, è anche vero che buona parte delle minacce e dei danni causati in ambito informatico deriva da comportamenti scorretti degli operatori, spesso frutto di una scarsa o nulla preparazione in tema di sicurezza informatica e di corretta gestione degli strumenti che l’azienda mette loro a disposizione.
Al contrario di quanto si ritiene, infatti, l’operatore umano ricopre un ruolo fondamentale nella rete di difesa delle informazioni in azienda.
Accade spesso che, pur avendo predisposto tutte le misure tecniche necessarie (antivirus di ultima generazione, server di rete con firewall, ecc.), un’azienda possa subire un attacco informatico ed andare incontro ad un cospicuo danno economico a causa di un operatore che, anche inavvertitamente, compia un’operazione errata (es. apertura di una e-mail, apparentemente innocua e proveniente da una fonte riconoscibile, contenente una richiesta di comunicare credenziali personali di accesso, un click su un link presente in una comunicazione ritenuta credibile, ecc.)
Secondo un indagine di IBM (fonte: Report IBM “X-Force Threat Intelligence Index 2020”),circa il 60% degli attacchi informatici ad aziende utilizza come vettore di accesso proprio qualcosa di analogo a quanto sopra descritto considerando ad esempio la somma di phishing (31%) e uso non autorizzato di credenziali (29%).
Nel caso del phishing, ad esempio, l’attacco mira a carpire informazioni sensibili in possesso dell’utente mediante una corrispondenza apparentemente sicura e proveniente da soggetti riconoscibili (Agenzia delle Entrate, Poste Italiane, Istituti Bancari, ecc.) che ovviamente non hanno nulla a che vedere il messaggio malevolo. L’obiettivo di questi attacchi è impossessarsi di credenziali e, appunto, successivamente sottrarre denaro, eseguire attacchi mirati successivi ottenendo l’accesso al sistema aziendale, per esempio per bloccarlo e richiedere un “riscatto” per riaverne il controllo oppure per utilizzare il sistema dell’azienda per successivi attacchi ad altri.
In questi casi l’azienda esce danneggiata a diversi livelli: anzitutto a livello economico - il denaro sottratto, il costo di ripristino e messa in sicurezza dei sistemi, l’assistenza tecnica e legale necessaria a seguito dell’accaduto, ecc. - ma anche a livello reputazionale, qualora gli hacker utilizzino i sistemi aziendali per diffondere comunicazioni malevole ad altre organizzazioni o privati.
Qualche dato: uno studio condotto da Allianz (fonte: “Allianz Risk Barometer 2015”, Indagine sui principali rischi di perdita a seguito di attacco malevolo.) evidenzia che le cause di perdita riportate più frequentemente dalle aziende intervistate sono proprio la perdita di reputazione (61%), l’interruzione dell’attività economica (49%) e i danni causati dal risarcimento a causa della perdita dei dati (41%).
In questi casi le misure di sicurezza tecniche da sole non sono particolarmente efficaci, poiché chi esegue l’attacco le aggira sfruttando l’impreparazione di chi opera all’interno dell’azienda.
Inutile dire che una preparazione più adeguata dell’operatore nel riconoscere questa tipologia di minacce riduce sensibilmente le possibilità che l’attacco possa andare a buon fine.
Inutile dire che una preparazione più adeguata dell’operatore nel riconoscere questa tipologia di minacce riduce sensibilmente le possibilità che l’attacco possa andare a buon fine.
Come difendersi allora?
Accanto all’adozione di adeguati sistemi di protezione tecnica:
- prevedere una formazione specifica per i lavoratori che utilizzano il sistema informatico aziendale;
- evitare comportamenti poco avveduti (es. condivisione o comunicazione di credenziali tramite canali non verificati, errata gestione degli spazi di archiviazione in azienda, ecc.);
- prevedere delle procedure codificate per la gestione determinati eventi (es. disattivazione indirizzi e-mail non più utilizzati);
- adottare una regolamentazione aziendale specifica sulle modalità di utilizzo gli strumenti di lavoro (pc, mail aziendale, rete informatica, smartphone, ecc.) forniti dell’azienda.
Questi ed altri piccoli accorgimenti permettono, con uno sforzo economico minimo, di prevenire la maggior parte delle minacce derivate dall’errore umano nell’utilizzo delle tecnologie informatiche.
Il nostro ufficio resta a disposizione per qualsiasi chiarimento in merito alle migliori pratiche di protezione dalle minacce informatiche.
Ufficio Privacy CNA Reggio Emilia
E-mail: gdpr@cnare.it
Davide Piccinini – 0522 356340, Dario Varsalona – 0522 356612
Ufficio Privacy CNA Reggio Emilia
E-mail: gdpr@cnare.it
Davide Piccinini – 0522 356340, Dario Varsalona – 0522 356612
Sei interessato a ricevere maggiori informazioni sulla consulenza completa offerta dal nostro ufficio?
Segui questo link e compila il questionario per essere ricontattato:CLICCA QUI
Segui questo link e compila il questionario per essere ricontattato:CLICCA QUI