Nel 40% delle aziende di tutto il mondo i dipendenti nascondono gli incidenti di sicurezza IT. Questo è quanto emerge dalla nuova indagine di Kaspersky Lab e B2B International dal titolo Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within. La ricerca ha inoltre rivelato che, ogni anno, il 46% degli incidenti di sicurezza IT vengono causati dagli impiegati.

I dipendenti disinformati o distratti sono una delle cause principali degli incidenti di sicurezza informatica, secondi solamente ai malware. La disattenzione del personale costituisce infatti una delle principali falle sfruttate dai cyber criminali per lanciare attacchi mirati alle aziende. Anche gli hacker che fanno uso di tecniche avanzate e malware personalizzati iniziano spesso il loro attacco sfruttando il punto d’accesso più debole: il fattore umano.

Secondo i risultati della ricerca, nel corso dell’ultimo anno, un attacco mirato su tre (28%) è stato lanciato attraverso phishing o tecniche di social engineering. Ad esempio, un contabile distratto potrebbe facilmente aprire un file nocivo mascherato da fattura inviata da uno dei numerosi fornitori dell’azienda. Il malware potrebbe, quindi, fermare completamente l’infrastruttura dell’azienda, trasformando il contabile in un complice involontario dei criminali.

Spesso i cyber criminali sfruttano gli impiegati come punto d’accesso per infiltrarsi in un’infrastruttura aziendale. Email di phishing, password deboli e false chiamate da parte del supporto tecnico sono solo alcuni esempi delle tattiche utilizzate. Anche una semplice memoria flash trovata nel parcheggio dell’ufficio o vicino alla scrivania della segretaria potrebbe compromettere l’intera rete. Basta semplicemente che qualcuno all’interno dell’azienda, con scarse competenze di sicurezza informatica, connetta il dispositivo alla rete, dove potrà iniziare a creare scompiglio” ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab.

I dipendenti che nascondono gli incidenti in cui sono stati coinvolti possono comportare marcate conseguenze, aumentando il danno complessivo causato. Anche un singolo evento non riferito potrebbe denotare una violazione molto più ampia e i team di sicurezza devono essere in grado di identificare rapidamente le minacce che si trovano a dover affrontare per scegliere le tattiche di mitigazione più adeguate.

Tuttavia, lo staff sembra preferire mettere a rischio l’azienda non riportando il problema per paura di venire puniti o per l’imbarazzo di essere i colpevoli di un malfunzionamento.

Il modo migliore per proteggere la propria azienda dalle minacce rappresentate dal fattore umano è combinare i migliori tool con le giuste abitudini. Per far ciò, è necessario coinvolgere le risorse umane e il management, per motivare e incoraggiare i dipendenti a fare attenzione e cercare aiuto in caso di incidenti. Il primo passo è sicuramente organizzare corsi di security awareness per lo staff, che offrano chiare linee guida invece di lunghi documenti, rafforzino competenze e motivazione e promuovano la giusta atmosfera lavorativa.

Relativamente alle tecnologie di sicurezza, la maggior parte delle minacce che prendono di mira il personale disinformato o disattento possono essere affrontate con una soluzione di sicurezza endpoint. Questo tipo di prodotto può coprire le necessità specifiche di PMI e grandi aziende in termini di funzionalità, protezione preconfigurata o impostazioni di sicurezza avanzate, per ridurre al minimo i rischi.