Molte piccole e medie imprese non adottano soluzioni di sicurezza informatica perché non ritengono di essere potenziali obiettivi dei cybercriminali. Tuttavia, un recente studio riporta che quasi il 46% degli attacchi informatici sono diretti proprio alle PMI. Secondo i dati del World Economic Forum, il 95% delle violazioni della sicurezza informatica sono attribuibili a errori umani. Appare quindi evidente da questi dati che le piccole e medie imprese potrebbero non essere consapevoli del fatto che i loro dipendenti, sia involontariamente sia intenzionalmente, possano causare danni alla sicurezza aziendale. Comportamenti inappropriati rischiano di portare a perdite finanziarie, danni alla reputazione e una diminuzione della produttività aziendale. Gli esperti di Kaspersky sottolineano quindi la necessità di verificare come la negligenza dei dipendenti – o peggio azioni volontarie degli stessi – possano influire sulla cybersecurity delle PMI.
Quasi il 22% delle violazioni dei dati nelle PMI è causato dai dipendenti
Secondo la ricerca “Kaspersky 2022 IT Security Economics”, che ha coinvolto oltre 3.000 responsabili della sicurezza informatica provenienti da più di 26 paesi, quasi il 22% delle violazioni dei dati nelle PMI è causato dai dipendenti. La stessa percentuale è attribuibile agli attacchi informatici, il che rende i dipendenti quasi altrettanto pericolosi degli hacker. Questo accade principalmente a causa della negligenza o della mancanza di consapevolezza da parte degli stessi collaboratori. Comportamenti inconsapevoli da parte dei dipendenti possono causare gravi violazioni e compromettere la sicurezza delle piccole e medie imprese.
I principali rischi
1. Password deboli: i dipendenti potrebbero utilizzare password facili da indovinare, consentendo ai criminali informatici di danneggiare facilmente il sistema e accedere a dati sensibili. Esiste addirittura una lista delle password più comuni utilizzate dagli hacker.
2. Truffe di phishing: i dipendenti potrebbero accidentalmente cliccare su link di phishing nelle email, consentendo l’infezione da malware e l’accesso non autorizzato alla rete. La maggior parte degli aggressori è in grado di imitare gli indirizzi email di società legittime, inviando email con allegati che in realtà sono malware. Un esempio recente è stato l’attacco di Agent Tesla che ha colpito utenti in tutto il mondo.
3. Politica BYOD (Bring Your Own Device): a causa dei lockdown dovuti alla pandemia da COVID-19, l’uso dei dispositivi personali per il lavoro da remoto è diventato sempre più comune. Tuttavia, molti di questi dispositivi non hanno adeguate protezioni e possono rappresentare una minaccia per l’azienda. Ogni giorno vengono creati più di 400.000 nuovi programmi maligni. Le aziende che sono bersaglio di attacchi stanno aumentando, ma la maggior parte di esse non blocca completamente l’accesso ai dati aziendali tramite dispositivi personali.
4. Protezione dei dati aziendali: un errore comune dei responsabili IT è non proteggere i dati aziendali contenuti in un notebook personale, che potrebbe essere smarrito o rubato. Alcune aziende risolvono questo problema consentendo ai dipendenti di lavorare solo con PC autorizzati in ufficio, limitando l’invio di dati e vietando l’uso di chiavette USB.
5. Mancanza di patch: se i dipendenti utilizzano i propri dispositivi personali, i responsabili IT potrebbero non essere in grado di monitorare e risolvere i problemi di sicurezza. Inoltre, i dipendenti potrebbero non installare le patch o non aggiornare regolarmente i propri sistemi, lasciando vulnerabilità che i cybercriminali possono sfruttare.
6. Ransomware: in caso di attacco ransomware, è importante effettuare il backup dei dati in modo da poter accedere alle informazioni crittografate anche se i criminali informatici riescono a penetrare nel sistema aziendale.
7. Social Engineering: in risposta a tecniche di inganno come l’ingegneria sociale o il phishing, i dipendenti potrebbero rivelare inconsapevolmente informazioni sensibili come dettagli di accesso, password o altri dati confidenziali.
L’alto tasso di incidenti informatici causati da errori dei dipendenti dimostra che tutte le aziende hanno bisogno di investire nella formazione per insegnare ai dipendenti come evitare gli errori più comuni.
Investire in sicurezza informatica è un imperativo
Investire nella sicurezza informatica e nella formazione dei dipendenti è essenziale per proteggere le piccole e medie imprese dai crescenti rischi informatici e per garantire la continuità operativa, la protezione dei dati e la reputazione dell’azienda.