12 temi essenziali di formazione sulla sensibilizzazione della sicurezza per il 2021
Nel 2021, sta diventando più importante che mai educare e formare gli utenti finali sulle migliori pratiche di sicurezza informatica sul posto di lavoro. Per questo motivo, qui sotto abbiamo elencato i 12 temi da tenere in considerazione. Con minacce digitali sempre più sofisticate, formare il tuo personale sulle migliori pratiche di sicurezza informatica è il modo più efficace per risparmiare tempo e prevenire violazioni alla sicurezza.
Sono stati raggiunti dei traguardi importanti nel 2020, nonostante le circostanze difficili. Il più evidente è stato il modo in cui le persone e le aziende si sono adattate ad affrontare gli ambienti di lavoro a distanza. Con questo sono arrivate enormi sfide. Rischi come il phishing, il malware e la conservazione dei dati sono stati solo accentuati, insieme a tattiche più aggressive da parte degli hacker rispetto al passato, un aumento del X%.
Con tutto questo in mente, abbiamo aggiornato la nostra lista di 12 temi da tener d'occhio nell'anno del 2021.
Quali argomenti di sensibilizzazione alla sicurezza dovrei includere?
La maggior parte delle aziende dedicano grandi quantità di tempo e denaro all'implementazione di software per proteggere le loro informazioni, con un budget medio destinato alla sicurezza online di circa il 10%. Tuttavia, "l'hardware umano" è di gran lunga l'elemento più vulnerabile di qualsiasi azienda e quest'ultime dovrebbero operare su una base di prevenzione piuttosto che di cura.
L'errore umano è la causa di almeno il 95% delle violazioni della sicurezza informatica, e con semplici corsi di formazione sulla sensibilizzazione questo numero può essere drasticamente ridotto. Stime recenti suggeriscono che solo la metà di tutti i dipendenti riceve il training solo una volta all'anno.
Dalle PMI alle grandi imprese, il dipendente è l'ultima linea di difesa nella sicurezza di un'azienda, il "firewall umano". Quindi, quali sono gli argomenti di formazione sulla sensibilizzazione alla sicurezza più importanti per il tuo personale?
Quali sono gli argomenti più importanti della formazione sulla sensibilizzazione alla sicurezza?
Abbiamo elencato la formazione di sensibilizzazione alla sicurezza informatica più significativa per i dipendenti nel 2021:
I 12 migliori temi di formazione sulla sensibilizzazione alla sicurezza informatica: |
Educa i tuoi utenti su tutti questi argomenti con uLearn. Provalo gratuitamente » |
1. Attacchi di Phishing
L'anno scorso abbiamo assistito ad un enorme aumento degli attacchi di phishing. In particolare c'è stata l'enorme quantità di email di phishing legate alla pandemia. Il Threat Analysis Group di Google ha riferito a metà aprile di aver bloccato 18 milioni di malware a tema COVID-19 ed e-mail di phishing al giorno.
Gli attacchi di phishing sono ancora la causa più comune di violazioni della sicurezza informatica. Le cifre attuali riflettono chiaramente la necessità di sensibilizzazione su questi attacchi, infatti la ricerca suggerisce che il 91% degli attacchi informatici di successo sono il risultato di una truffa di phishing.
Anche se le aziende sono sempre più consapevoli del phishing, è ancora una minaccia crescente nel 2021, in parte a causa della mancanza di consapevolezza tra i dipendenti. Guidando la formazione sulla sicurezza come parte della filosofia dell'azienda attraverso una formazione ricorrente sulla sensibilizzazione alla sicurezza, questo numero può essere drasticamente ridotto nel tempo.
Lo "Spearphishing" è una forma di attacco più sofisticata e mirata, che utilizza specifici lavoratori dell'azienda per legittimare un'e-mail a un determinato gruppo di utenti finali. Un'e-mail che impersona l'amministratore delegato, per esempio, è probabile che venga cliccata dalla maggior parte dei dipendenti e potrebbe contenere in allegato un malware. L'efficacia di questi attacchi ha portato a nuovi e sofisticati sviluppi, come il Voice Phishing e l'SMS phishing.
Formando i vostri utenti finali a riconoscere le e-mail potenzialmente dannose e a segnalare quelle sospette, questa minaccia può essere drasticamente ridotta. Offrendo corsi di formazione sulla cybersecurity, la sensibilizzazione dei dipendenti su tali attacchi può essere drasticamente migliorata con una formazione costante. Gli attacchi di phishing simulati possono dimostrare il rischio che potrebbe correre la vostra azienda a causa di tali attacchi.
2. Supporti Rimovibili
Un altro argomento sulla sicurezza che viene utilizzato quotidianamente dalle aziende riguardano i supporti rimovibili. I supporti rimovibili sono un mezzo di archiviazione portatile che permette agli utenti di copiare i dati sul dispositivo e poi rimuoverli da un dispositivo ad un altro e viceversa. I dispositivi USB contenenti malware possono essere lasciati per essere trovati dagli utenti finali, quando lo inseriscono nel loro dispositivo.
"I ricercatori hanno lasciato cadere quasi 300 chiavette USB nel campus dell'Università dell'Illinois Urbana-Champaign. Il 98% di queste chiavette è stato raccolto! Inoltre, il 45% di queste chiavette non solo è stato raccolto, ma gli individui hanno cliccato sui file che hanno trovato all'interno "*.
Oltre a comprendere i rischi, i vostri dipendenti devono sapere come usare questi dispositivi in modo sicuro e responsabile nella vostra azienda. Ci sono numerose ragioni per cui un'azienda decide di usare supporti rimovibili nel proprio ambiente. Tuttavia, con tutte le tecnologie, ci saranno sempre rischi. Oltre ai dispositivi stessi, è importante che i vostri dipendenti proteggano i dati su questi dispositivi. Che siano personali o aziendali, tutti i dati hanno una qualche forma di valore.
Alcuni esempi comuni di supporti rimovibili che tu e i tuoi dipendenti potreste usare sul posto di lavoro sono:
- Dispositivi USB
- Scheda SD
- CD
- Smartphone
Questo argomento dovrebbe essere incluso nella vostra formazione con esempi di supporti rimovibili. Inoltre dovrebbe essere discusso il perché sono usati nelle aziende, e come i vostri dipendenti possono prevenire i rischi come la perdita o il furto di dispositivi rimovibili, le infezioni da malware e la violazione del copyright.
3. Password e Autenticazione
Un elemento molto semplice ma spesso trascurato che può aiutare la sicurezza della vostra azienda è la sicurezza delle password. Spesso le password comunemente usate saranno indovinate da soggetti malintenzionati nella speranza di ottenere l'accesso ai vostri account. Usare password semplici, o avere modelli di password riconoscibili può rendere semplice l'accesso ai crimnali informatici. Una volta che queste informazioni vengono rubate, possono essere rese pubbliche o vendute per profitto sul deep web.
L'implementazione di password randomizzate può rendere molto più difficile per gli individui malintenzionati ottenere l'accesso a una serie di account. Altri passi, come l'autenticazione a due fattori, forniscono ulteriori livelli di sicurezza che proteggono l'integrità dell'account.
4. Sicurezza Fisica
Se sei una di quelle persone che lascia le proprie password su foglietti adesivi sulla scrivania, sarebbe meglio buttarli via. Anche se è probabile che molti attacchi avvengano attraverso mezzi digitali, tenere al sicuro i documenti fisici sensibili è vitale per l'integrità del sistema di sicurezza della tua azienda.
La semplice consapevolezza dei rischi di lasciare documenti, computer incustoditi e password in giro per l'ufficio o per casa può ridurre il rischio di sicurezza. Implementando una "clean-desk" policy, la minaccia che i documenti incustoditi vengano rubati o copiati può essere significativamente ridotta.
5. Sicurezza dei Dispositivi Mobili
Il panorama mutevole delle tecnologie IT ha aumentato gli ambienti di lavoro flessibili, e insieme ad essa gli attacchi alla sicurezza più sofisticati. Con molte persone che ora hanno la possibilità di lavorare on-the-go utilizzando dispositivi mobili, questa maggiore connettività ha comportato il rischio di violazioni della sicurezza. Per le aziende più piccole questo può essere un modo efficace per risparmiare sul budget, tuttavia la responsabilità dell'utente-dispositivo è un aspetto sempre più rilevante della formazione nel 2021, soprattutto per i lavoratori in viaggio o in remoto. L'avvento di applicazioni mobili dannose ha aumentato il rischio di telefoni cellulari contenenti malware che potrebbero potenzialmente portare a una violazione della sicurezza.
I corsi online che offrono insegnamenti sulle best practice per chi lavora con i dispositivi mobili possono aiutare a educare i dipendenti a evitare i rischi, senza protocolli di sicurezza ad alto costo. I dispositivi mobili dovrebbero sempre avere informazioni sensibili protette da password, criptate o con autenticazione biometrica in caso di perdita o furto del dispositivo. L'uso sicuro dei dispositivi personali è una formazione necessaria per tutti i dipendenti che lavorano sui propri dispositivi.
La soluzione migliore è assicurarsi che i lavoratori debbano firmare una direttiva sull' uso sicuro dei dispositivi mobili.
6. Smartworking
Nel 2021, il bisogno di lavoro a distanza ha portato molte aziende a prendere misure drastiche inerentemente alle nuove politiche dello smartworking. Il lavoro a distanza può essere positivo per le aziende e stimolante per i dipendenti, promuovendo una maggiore produttività e un maggiore equilibrio tra lavoro e vita privata. Questa tendenza, tuttavia, pone una maggiore minaccia di violazioni della sicurezza quando non si è educati in modo sicuro sui rischi del lavoro a distanza. I dispositivi personali che vengono utilizzati per scopi di lavoro dovrebbero rimanere bloccati quando sono incustoditi e avere un software anti-virus installato. Se un'azienda vuole offrire questo incentivo, dovrebbe concentrarsi sulla formazione dei dipendenti remoti sulle pratiche di lavoro sicuro.
Andando verso il 2021 è probabile che questa tendenza continui. Anche se speriamo di vedere la riapertura degli uffici e un ritorno alla vita lavorativa normale, le aziende hanno assunto sempre più lavoratori remoti, e coloro che si sono adattati allo stile di vita in smartworking potrebbero preferire lavorare in questo modo. La necessità di formare i dipendenti a comprendere e gestire la propria cybersecurity è evidente. Come abbiamo visto, c'è un crescente numero di minacce che prendono di mira questi individui. Assicurarsi che mantengano la sicurezza in mente è un tema fondamentale per il 2021.
7. Wi-Fi Pubblico
Alcuni dipendenti che hanno bisogno di lavorare in remoto, che viaggiano sui treni e che lavorano in movimento, potrebbero aver bisogno di una formazione supplementare per capire come utilizzare in modo sicuro i servizi Wi-Fi pubblici. False reti Wi-Fi pubbliche, spesso spacciate per Wi-Fi gratuite nelle caffetterie, possono lasciare gli utenti finali vulnerabili a inserire informazioni in server pubblici non sicuri.
Educare i tuoi utenti all'uso sicuro del Wi-Fi pubblico e ai segni comuni per individuare una potenziale truffa aumenterà la consapevolezza delle aziende e minimizzerà il rischio. La rivista WIRED fornisce un'utile guida su come evitare i rischi del Wi-Fi pubblico.
8. Cloud Security
Il cloud computing ha rivoluzionato le imprese, il modo in cui i dati sono memorizzati e accessibili. Queste applicazioni digitali stanno trasformando le aziende, tuttavia, con grandi quantità di dati privati immagazzinati in remoto arriva il rischio di hacking su larga scala. Molte grandi aziende stanno lavorando sulla protezione dei dati, ma scegliendo il giusto fornitore di servizi cloud il cloud-storage può essere un modo molto più sicuro ed economico di archiviare i dati della tua azienda.
Proprio come per gli altri argomenti menzionati fin'ora, l'insider hacking è una minaccia molto più grande per le aziende cloud su larga scala. Gartner prevede che entro il prossimo anno, il 99% di tutti gli incidenti di sicurezza del cloud sarà colpa dell'utente finale. Pertanto, la formazione sulla consapevolezza della sicurezza informatica può aiutare a guidare i dipendenti nell'uso sicuro delle applicazioni basate sul cloud.
9. Utilizzo dei Social Media
Tutti noi condividiamo grandi parti della nostra vita sui social media: dalle vacanze agli eventi e al lavoro. Ma l'eccesso di condivisione può portare alla divulgazione di informazioni sensibili, rendendo facile per un soggetto malintenzionato spacciarsi per una fonte attendibile (vedi: ingegneria sociale).
Istruire i dipendenti sulla protezione delle impostazioni di privacy dei loro account di social media e prevenire la diffusione di informazioni pubbliche della vostra azienda ridurrà il rischio della potenziale leva che gli hacker possono ottenere da questo accesso alla vostra rete personale.
10. Utilizzo di Internet Email
Alcuni dipendenti potrebbero essere già stati esposti a violazioni di dati, usando email semplici o che si ripetono per più account. Uno studio ha scoperto che il 59% degli utenti finali usa la stessa password per ogni account. Questo significa che se un account viene compromesso, un hacker può utilizzare questa password sugli account di lavoro e dei social media per ottenere l'accesso a tutte le informazioni dell'utente su questi account.
Spesso i siti web offrono software gratuito infettato da malware, scaricare applicazioni solo da fonti affidabili è il modo migliore per proteggere il computer dall'installazione di qualsiasi software dannoso. Istruire i dipendenti sulle pratiche sicure in internet dovrebbe essere una parte fondamentale di qualsiasi induzione IT, anche se alcuni possono vedere questa formazione come scontata, è una parte fondamentale di qualsiasi programma di sicurezza.
Molti siti web hanno avuto grandi violazioni di dati negli ultimi anni, se le vostre informazioni sono state inserite in questi siti, potrebbero essere state rese pubbliche ed aver esposto le vostre informazioni private.
11. Ingegneria Sociale
L'ingegneria sociale è una tecnica comune che i malintenzionati usano per guadagnare la fiducia dei dipendenti, offrendo esche preziose o usando l'impersonificazione per ottenere l'accesso a informazioni personali. I dipendenti devono essere informati su tematiche inerenti alla sicurezza che coprono le più comuni tecniche di ingegneria sociale e la psicologia dell'influenza (per esempio: scarsità, urgenza e reciprocità), in modo da combattere queste minacce.
Per esempio, fingendosi un cliente affidabile o offrendo incentivi, le informazioni private possono essere inconsapevolmente consegnate a questi malintenzionati. Aumentare la consapevolezza dei dipendenti sulla minaccia di queste impersonificazioni è fondamentale per ridurre il rischio di social engineering.
12. Sicurezza a casa
Purtroppo, la minaccia dei malintenzionati non si ferma quando si lascia il posto di lavoro. Molte aziende permettono ai loro dipendenti di utilizzare i loro dispositivi personali, che è un ottimo metodo di risparmio dei costi e permette un lavoro flessibile, tuttavia ci sono dei rischi associati a questo. Applicazioni scaricate involontariamente con malware sui dispositivi personali possono mettere a rischio l'integrità della rete aziendale se, per esempio, i dettagli di accesso vengono compromessi.
Inoltre, la crescente rete di risorse digitali a disposizione dei lavoratori e delle aziende ha aumentato la connettività e la produttività. Tuttavia, queste applicazioni presentano anche un rischio per l'utente, uno studio di Propeller ha scoperto che le campagne di phishing mirate a dropbox hanno avuto un tasso di click-through del 13,6%. Aumentare la conoscenza dei dipendenti, condividere file criptati e autenticare i download ridurrà il rischio.
Altri argomenti di formazione sulla consapevolezza della sicurezza IT
Oltre a istruire i dipendenti su argomenti di formazione sulla sensibilizzazione alla sicurezza, con l'imposizione di nuovi regolamenti, i corsi di conformità sono sempre più necessari per i dipendenti. La conformità al GDPR nell'UE ha portato a nuovi regolamenti riguardanti la posta elettronica, che possono richiedere una nuova formazione per molti dipendenti. La violazione di queste regole può portare a pesanti multe, come ad esempio è successo a BA e Marriott hotel.
I dipendenti devono anche essere consapevoli dei cambiamenti della normativa finanziaria, della protezione dei dati, delle tasse e altro ancora. Iscrivendosi a piattaforme online automatizzate per la gestione delle normative, potete tenere i vostri dipendenti aggiornati con gli ultimi cambiamenti e assicurarvi che siano sempre al corrente.
Ottenere la giusta formazione per la sensibilizzazione alla sicurezza dell'utente finale
Tutte le aziende hanno esigenze diverse, quindi garantire un corso flessibile di consapevolezza della sicurezza informatica che si adatti agli obiettivi della vostra organizzazione è vitale per ottenere la giusta formazione per il vostro personale.
Promuovendo una cultura basata sul dialogo e sulla consapevolezza nella vostra azienda in maniera regolare attraverso la formazione degli utenti finali, potete mantenere i vostri dipendenti aggiornati sui requisiti per mantenere sicure le loro informazioni personali e aziendali.
Avvia il tuo programma di formazione sulla sensibilizzazione alla sicurezza
Fornisci una formazione video e interattiva, adattata ai rischi specifici di ogni utente e realizzata attraverso un'automazione intelligente.