Oggi i cyber criminali utilizzano le persone ed i loro errori come mezzo per carpire i dati. Tali errori spesso nascono dalla mancanza di comprensione del panorama della cybersecurity, ma a volte derivano anche da cali di concentrazione e pigrizia. Purtroppo, errare è umano e le aziende devono quindi adottare delle misure di precauzione per proteggere i propri dati ed i propri dipendenti.
Qualche anno fa la sicurezza informatica aziendale si basava su avanzati hardware e software di protezione, ma nel panorama odierno le tecniche e le tipologie di Social Engineering si sono evolute. I cyber attacchi possono assumere diverse forme: Phishing (un’e-mail, un SMS o persino una telefonata fatta per ingannare l’utente), Pretexting (il criminale contatta la vittima telefonicamente e, inventando una situazione “urgente”, induce l’utente a commettere frettolosamente un’azione e/o rivelare informazioni), Baiting (adescamento che sfrutta la curiosità degli utenti), Trashing (le informazioni sensibili vengono cercate nel “cestino digitale” delle vittime), Quid pro quo (il social engineer offre un servizio o un aiuto in cambio di un benefit, solitamente rappresentato da informazioni) e Tailgating (il cybercriminale segue un dipendente autorizzato o chiede di entrare in un’area riservata fingendo di aver dimenticato il badge di accesso).
Anche i canali coinvolti sono molteplici: e-mail, telefoni, app di messagistica istantanea, siti web, Social Media, servizi Cloud.
Il Social Engineering sfrutta “l’anello debole” delle aziende: la componente umana. Questo è possibile grazie alla non formazione dei dipendenti in materia di cybersicurezza. Per proteggere le aziende dai cyber attacchi è quindi necessario diffondere una cultura della sicurezza digitale.
Diversi studi hanno dimostrato che è possibile insegnare ai dipendenti come riconoscere e affrontare i cyber attacchi attraverso esercitazioni e simulazioni. Una divisione di cybersecurity interna all’azienda diventa un comparto fondamentale, in grado di controllare che le implementazioni di sicurezza funzionino e di occuparsi della formazione del personale. Un esempio di provvedimento utile puo’ essere stabilire un protocollo di sicurezza che definisca quali dati sensibili debbano essere conservati e come/dove. Da regolamentare sono anche i rifiuti: le aziende devono assicurarsi che tutte le informazioni sensibili vengano cestinate in modo appropriato. Inoltre, le aziende che utilizzano un’infrastruttura cloud ibrida risultano più resistenti agli attacchi e subiscono meno violazioni.
Il Social Engineering è talmente diffuso oggi che le aziende devono essere sempre pronte. I dati mostrano che nel 2022 il 92% delle organizzazioni è stato vittima di attacchi di phishing e nel 2023 le e-mail spam inviate ogni giorno sono circa 3,4 miliardi.
Dal momento che questa forma di cyber attacco sfrutta la vulnerabilità delle persone, è su queste che bisogna lavorare. Le aziende devono adottare strategie mirate alla sensibilizzazione dei dipendenti in materia di sicurezza informatica e privacy. È necessario ideare programmi di formazione, in modo che i dipendenti siano aggiornati e consapevoli dei rischi e acquisiscano le competenze necessarie non solo per prevenire gli attacchi, ma anche per saper reagire di fronte ad eventuali situazioni critiche.
M.M.
Get real time update about this post categories directly on your device, subscribe now.