Errori umani che compromettono la rete aziendale 

La tutela dei dati aziendali è uno dei più importanti argomenti del settore della cyber security: se fino a pochi anni fa il principale problema di chi lavorava con i terminali aziendali poteva essere quello di dimenticare una password o di cancellare per errore un file, oggi le vulnerabilità delle reti aziendali sono molto più numerose, soprattutto in seguito all’incremento dei malware nonché al sempre maggiore uso di ambienti cloud a cui ogni dispositivo aziendale può avere accesso.

In questo post verranno presentati alcuni dei più comuni errori umani che possono verificarsi sul luogo di lavoro, con conseguente compromissione dei dati aziendali.

Errare è umano

Va subito chiarito che nell’ambito della sicurezza dati, l’errore umano non solo è possibile, ma in qualche modo deve essere previsto per poter realizzare una perfetta strategia di cyber security. In un contesto completamente informatizzato, infatti, il semplice fruitore dei servizi aziendali può sbagliare perché non in grado di relazionarsi in maniera corretta con il mondo delle macchine. Questo porta a commettere errori che, in alcuni casi, possono essere causati da vere e proprie ingenuità mentre, in altri casi, possono dipendere da distrazioni.

Prima di evidenziare quali sono i più comuni errori umani che si possono registrare in un’azienda che fa uso di informazioni in rete e/o su cloud, è necessario specificare che l’errore umano per definizione riguarda ogni tipo di sbaglio che viene fatto dall’uomo nel momento in cui opera con una macchina connessa al sistema aziendale. Ma attenzione: non si tratta solo di cliccare distrattamente su un link che scarica un virus, ma anche di molte altre azioni, più o meno complesse, che minano la sicurezza dei dati aziendali.

Dispositivi e software obsoleti

Avere un dispositivo di ultima generazione non è solo una questione di moda: chi lavora con la gestione di dati, infatti, non sceglie di acquistare un tablet nuovo semplicemente perché più bello ma sicuramente perché più sicuro. Tutti i dispositivi mobili, i sistemi operativi, le app e i software installati sui terminali fissi andrebbero infatti regolarmente aggiornati: solo così, infatti, si potrà garantire la massima sicurezza con antivirus, firewall e altri strumenti diagnostici in grado di riconoscere anche le ultime generazioni di malware.

La scelta delle password

I moderni sistemi di scelta di password spesso suggeriscono il livello di sicurezza di una sequenza di lettere e numeri scelta per l’accesso a determinate informazioni. Tuttavia non si tratta solo di selezionare una sequenza sicura, ma anche di evitare di utilizzare, nelle password, informazioni personali, come date di nascita o il proprio nome. Per quanto si tratti di una soluzione comoda da ricordare, infatti, questo tipo di chiave di sicurezza è molto semplice da hackerare, non solo da parte di esperti di informatica ma anche da chi ha un minimo di conoscenza della persona.

Ma non solo: una password non può essere lasciata invariata a lungo. Per una maggiore sicurezza è necessario cambiare regolarmente la chiave di accesso a determinate informazioni. Considerando che spesso si lavora ai dati in cloud dal proprio tablet, dallo smartphone o dal computer, è fondamentale che questi vengano dotati di password sicure. Nel caso di smartphone e tablet è importante non confondere la password con il PIN: questo, infatti, può essere valido come blocca schermo, per evitare che il telefono si attivi mentre lo si tiene in tasca o in borsa, ma per proteggere da accessi indesiderati al proprio telefono è insufficiente.

Per intervenire nella sicurezza aziendale in questo settore possono essere svolti dei corsi di formazione specifici, che permettano non solo di apprendere quali sono le modalità più sicure per la scelta delle chiavi di sicurezza, ma anche di conoscere l’esistenza di software specifici per la gestione di password. Questi sono in grado di generare codici complessi che vengono memorizzati tramite una crittografia sicura in un database: in caso di perdita della password, quindi, si potranno recuperare le informazioni tramite il software stesso che si pone così come uno strumento di sicurezza elevata non solo per la generazione, ma anche per il recupero. Non solo: i migliori software di questo tipo permettono di associare degli strumenti in grado di effettuare conteggi sulla durata periodica di ciascuna password, avvisando gli utenti di cambiarle regolarmente.

Il problema legato alle password è una delle vulnerabilità maggiori, che evidenzia come il fattore umano sulla cyber security sia fondamentale. Nel 2018 il Wombat’s User Risk Report riportava come oltre il 65% delle persone intervistate non facesse uso di software di gestione di password e, soprattutto, utilizzava sempre la stessa password per i propri account online. Si può facilmente comprendere come la perdita o la compromissione di una password di questo tipo significa un rischio per tutte le informazioni, personali o aziendali, alle quali si può accedere con un’unica chiave.

I dispositivi o gli utenti non autorizzati

Alcuni errori umani sono quelli legati a ingenuità nelle modalità di collegamento ai dati aziendali. Rientrano in questo campo le connessioni che vengono effettuate tramite dispositivi non autorizzati o non sicuri. Ad esempio non è raro che si abbia la necessità di salvare dei dati e si prendano in prestito una pen-drive o un hard disk esterno non verificati, ossia contenenti malware che possono compromettere i dati ai quali si sta lavorando nonché altri file o cartelle del dispositivo su cui su usano.

Quando si parla di dispositivi non autorizzati si deve pensare anche alle connessioni WiFi non protette, pubbliche o addirittura unknown. Connettersi a reti non protette significa infatti rendere vulnerabili tutte le informazioni aziendali, nonché eventuali dati personali presenti sul dispositivo mobile con il quale si effettua il collegamento.

Ugualmente, una delle criticità comuni è quella di fare utilizzare i dispositivi aziendali ad utenti non autorizzati, come amici o famigliari. Questi, non formati né informati sulle normative di sicurezza aziendali possono accedere per sbaglio a file di lavoro e danneggiarli nonché connettersi tramite i social o tramite siti non sicuri scaricando inavvertitamente un malware compromettendo in tal modo i dati disponibili sul dispositivo nonché quelli in cloud.

Per ovviare a questo tipo di criticità è fondamentale che i dipendenti acquisiscano un’elevata consapevolezza sulla sicurezza informatica e, allo stesso tempo, che i capi definiscano delle linee guida specifiche sulle modalità di utilizzo dei dispositivi aziendali a casa o comunque quando non si è al lavoro.

Il phishing

L’hackeraggio via mail è ancora una delle forme più comuni di violazioni; ricevere delle mail che sembrano provenire da clienti, fornitori o comunque mittenti attendibili porta spesso a fare uno degli errori più ingenui che si possano fare, ossia cliccare su link inviati da truffatori o pirati informatici. Uno degli aspetti più peculiare del phising è che si tratta di uno dei modi più vecchi per la trasmissione di virus e malware ma nonostante tutto ancora oggi molte persone non sono a conoscenza della facilità con cui si può essere attaccati tramite questa procedura.

Anche in questo caso, come nei precedenti, è fondamentale che l’azienda possa fornire un’accurata formazione ai propri dipendenti che sapranno così come muoversi e riconoscere eventuali mail rischiose per il proprio computer o dispositivo mobile e per la sicurezza aziendale. Inoltre può incrementare i filtri anti-spam per proteggere le mail ed evitare che questo tipo di comunicazioni raggiungano le mail aziendali.

Prevenire è meglio che curare

In un’ottica di sicurezza aziendale, diventa chiaro che ridurre al massimo la possibilità di commettere errori è fondamentale. Ecco perché se da un lato le aziende devono necessariamente prevedere una formazione continua dei dipendenti che garantisca contro la mancata conoscenza di comportamenti sbagliati nel settore della cyber security, dall’altro è fondamentale anche garantire ai dipendenti stessi le tecnologie più adeguate per la sicurezza dei dati.

In linea di massima va sottolineato che non esistono soluzioni oggettivamente adatte a tutti: ogni azienda può avere esigenze specifiche e, all’interno dell’azienda, i vari dipartimenti, uffici o settori possono necessitare di tecnologie diverse.

Tuttavia, ci sono alcuni elementi comuni che vanno considerati, come ad esempio la ricezione e l’invio di e-mail, oggi mezzo principale di comunicazione tra le aziende e i fornitori nonché i clienti. Per avere la garanzia di non scaricare file infetti o di non cliccare su link contenenti malware è pertanto fondamentale avere un sistema di controllo della posta in entrata e in uscita, un anti-spam nonché un software di scansione della posta. I software di email security sono fondamentali non solo perché assicurano una verifica di tutti i messaggi in entrata o in uscita ma anche perché sono progettati per garantire una perfetta archiviazione, con cartelle specifiche che permettono anche una più facile gestione della posta.

Ugualmente, anche le tecniche di backup per lo storage dei dati è fondamentale e, inoltre, devono essere adeguate alle esigenze moderne di raccolta e conservazione. Ecco perché le classiche metodologie di raccolta su nastro magnetico o comunque su supporto meccanico vengono sempre più sostituite dallo storage in remoto, che permette di avere un’elevata sicurezza purché si scelgano prodotti garantiti. In questo contesto il Remote Backup Storage assicura non solo un’elevata sicurezza, ma anche una maggiore praticità nella gestione dei dati stessi.

Infine, per avere la sicurezza della massima di una perfetta gestione e conservazione dei dati è fondamentale poter definire un piano di disaster recovery, che tenga conto di un Media Off Site Storage, ossia un luogo fisico delocalizzato rispetto all’area di lavoro, in cui poter creare un archivio sicuro e a prova di errori umani.