Sempre più spesso le organizzazioni si dotano, e lo si capisce, di software firewall, anti-malware e antivirus…
E di fronte agli incidenti legati alla sicurezza che si verificano quasi ogni giorno, e che a volte finiscono in prima pagina, è facile capirli.
Tuttavia, questi software hanno un’utilità limitata se non sono accompagnati da una politica di sensibilizzazione del personale in materia di sicurezza e da una formazione sulla gestione delle password.
Sensibilizzare i team alla sicurezza informatica
Potrete disporre delle migliori attrezzature, dei software più recenti e dei servizi dei migliori esperti, ma non servirà a nulla se non sensibilizzerete il vostro personale:
– alle buone pratiche relative alle password, illustrate nel paragrafo seguente.
– ai nuovi rischi (frodi tramite elenchi telefonici, frodi del «presidente», spear phishing).
– al phishing (o «hameçonnage» in francese).
Infatti, indipendentemente dalle misure adottate, nulla potrà impedire a uno dei vostri dipendenti di cliccare su un link che avvia un ransomware sulla vostra rete.
È quindi fondamentale formare regolarmente tutte le persone che hanno accesso a un computer e/o a un indirizzo e-mail, che si tratti del personale di produzione, della forza vendita o dell'amministrazione.
Del resto, non recita forse un famoso detto nel campo della sicurezza:
La sicurezza informatica di un'azienda è forte quanto il suo anello più debole.
In altre parole, se il 99% del vostro personale è consapevole dei rischi legati all'uso delle reti, basta che una sola persona (un nuovo assunto, una persona non coinvolta, un dipendente che utilizza il computer solo un giorno ogni sei mesi, ad esempio) non sia stata formata perché l'intero sistema di sicurezza rischi di crollare.
Le password: il fondamento della sicurezza della vostra organizzazione
Che ve ne rendiate conto o meno, nel 90% delle aziende le password:
– vengono spesso condivisi tra gli utenti, spesso all’insaputa dei capi reparto e del dirigente, cosa da evitare
– create dai dipendenti, sono per lo più facili da indovinare per un hacker di livello medio. Ne dubitate? Provate a inserire alcune delle vostre password su questo sito. Attenzione, potreste rimanere scioccati.
– Per quanto riguarda l’accesso tramite e-mail e l’accesso alla postazione, le procedure sono identiche o quasi identiche.
Ancora più grave è il fatto che molti lavoratori:
– scelgono una password che include la loro città, la data di nascita, il nome, il cognome, il nome dell’organizzazione… Insomma, elementi che chiunque abbia un po’ di pazienza può facilmente scoprire. (È così che un principiante è riuscito ad accedere agli account di Barack Obama).
– o, peggio ancora, scelgono sul lavoro la stessa password che usano per la loro casella di posta elettronica personale…
Immaginate cosa potrebbe succedere se quella password personale «importata nell'organizzazione» venisse divulgata…
Formare, sensibilizzare e fornire promemoria. Non c’è altra soluzione.
Ogni organizzazione ha il dovere di formare il proprio personale in materia di sicurezza informatica, password, rischi legati al phishing…
Del resto, il 55% delle organizzazioni ha annunciato un aumento del budget per il 2017, e la tendenza è ancora in crescita nel 2018.
