7 modi per distruggere un'azienda con un clic

2024 Autore: Malcolm Clapton | [email protected]. Ultima modifica: 2024-01-15 16:45

Un'e-mail dannosa e un dipendente ingenuo possono costare denaro o reputazione alla tua azienda. Insieme a Microsoft, ti parleremo delle regole di igiene informatica di cui devi parlare con il tuo team.

Trova altri suggerimenti su come proteggerti dalle minacce digitali.

Ogni giorno emergono nuovi tipi di minacce informatiche. Può sembrare che hacker e truffatori cerchino solo i giganti del mercato. Ma questo non è il caso. Il 63% di tutti gli attacchi prende di mira le piccole imprese e il 60% delle piccole imprese chiude dopo un attacco informatico. Inoltre, le vittime degli attentati non sono necessariamente startup della Silicon Valley. La Procura Generale della Federazione Russa ha registrato 180.153 crimini informatici nei primi sei mesi del 2019. E questo è il 70% in più rispetto al 2018.

Anche se hai un intero reparto IT e gli antivirus sono installati su tutti i computer, questo non è sufficiente per una protezione affidabile. Inoltre, c'è sempre un fattore umano: le azioni sbagliate dei dipendenti possono portare a un disastro digitale. Pertanto, è importante parlare con il tuo team delle minacce informatiche e spiegare loro come proteggersi. Abbiamo raccolto sette situazioni in cui l'indiscrezione di una persona può costare cara alla tua azienda.

1. Fare clic su un collegamento dannoso

Situazione: un'e-mail viene inviata alla posta del dipendente, che sembra una normale spedizione da un destinatario familiare. La lettera contiene un pulsante che porta a un sito che non desta sospetti in una persona. Il dipendente segue il collegamento e viene reindirizzato al sito della truffa.

Il meccanismo descritto è il cosiddetto attacco di phishing. La ricerca Microsoft afferma che questo è uno degli schemi fraudolenti più comuni. Nel 2018, il numero di tali attacchi è aumentato del 350%. Il phishing è pericoloso perché include elementi di ingegneria sociale: gli aggressori inviano e-mail via e-mail per conto di un'azienda o di una persona di cui la vittima si fida sicuramente.

Gli schemi fraudolenti stanno diventando sempre più complessi: gli attacchi avvengono in più fasi e le e-mail vengono inviate da diversi indirizzi IP. Un'e-mail di phishing può anche essere camuffata da messaggio di un dirigente aziendale.

Per non essere scoperti, devi leggere attentamente tutte le lettere, notare discrepanze in una lettera o simbolo nell'indirizzo e, in caso di sospetto, contattare il mittente prima di fare qualcosa.

2. Download di un file infetto

Situazione: il dipendente ha bisogno di un nuovo software per funzionare. Decide di scaricare il programma di pubblico dominio e finisce su un sito dove il malware si finge software utile.

I virus su Internet sono spesso mascherati da software funzionante. Questo è chiamato spoofing - falsificazione dello scopo di un programma per danneggiare l'utente. Non appena il dipendente apre il file scaricato, il suo computer cade nella zona a rischio. Inoltre, alcuni siti scaricano automaticamente codice dannoso sul tuo computer, anche senza che tu provi a scaricare qualcosa. Questi attacchi sono chiamati download drive-by.

Ulteriori conseguenze dipendono dal tipo di virus. Il ransomware era prevalente: bloccava il computer e chiedeva un riscatto all'utente per tornare al normale funzionamento. Ora, un'altra opzione è più comune: gli aggressori usano i computer di altre persone per minare le criptovalute. Allo stesso tempo, altri processi rallentano e le prestazioni del sistema diminuiscono. Inoltre, avendo accesso a un computer, i truffatori possono ottenere dati riservati in qualsiasi momento.

Artyom Sinitsyn Direttore dei programmi di sicurezza delle informazioni nell'Europa centrale e orientale, Microsoft.

I dipendenti dell'azienda devono essere consapevoli che il software funzionante non può essere scaricato da Internet. Le persone che pubblicano programmi sul Web non si assumono alcuna responsabilità per la sicurezza dei dati e dei dispositivi dell'utente.

Una delle prime regole della sicurezza informatica è utilizzare software con licenza. Ad esempio, fornisce tutte le soluzioni di cui hai bisogno per il tuo business, garantendo al tempo stesso una protezione completa delle tue informazioni.

Non solo è sicuro, è anche conveniente: con Microsoft 365 puoi usare tutte le app di Office, sincronizzare la posta di Outlook con il calendario e conservare tutte le tue informazioni importanti nel cloud OneDrive da 1 TB.

3. Trasferimento di file su canali non protetti

Situazione: il dipendente deve condividere un rapporto di lavoro con informazioni riservate con un collega. Per renderlo più veloce, carica il file sui social media.

Quando i dipendenti trovano scomodo utilizzare le chat aziendali o altri software per ufficio, cercano soluzioni alternative. Non per nuocere deliberatamente, ma semplicemente perché è più facile così. Questo problema è così comune che esiste persino un termine speciale per esso: shadow IT. È così che descrivono una situazione in cui i dipendenti creano i propri sistemi informativi in contrasto con quelli prescritti dalla politica IT dell'azienda.

È ovvio che il trasferimento di informazioni e file riservati tramite social network o canali senza crittografia comporta un alto rischio di perdita di dati. Spiegare ai dipendenti perché è importante aderire a protocolli controllati dal reparto IT in modo che, in caso di problemi, i dipendenti non siano personalmente responsabili della perdita di informazioni.

Artyom Sinitsyn Direttore dei programmi di sicurezza delle informazioni nell'Europa centrale e orientale, Microsoft.

4. Software obsoleto e mancanza di aggiornamenti

Situazione: il dipendente riceve una notifica sul rilascio di una nuova versione del software, ma rimanda continuamente l'aggiornamento del sistema e lavora su quello vecchio, perché non c'è "tempo" e "molto lavoro".

Le nuove versioni del software non sono solo correzioni di bug e bellissime interfacce. È anche l'adattamento del sistema alle minacce che sono sorte, nonché la sovrapposizione dei canali di fuga di informazioni. Flexera segnala che è possibile ridurre la vulnerabilità del sistema dell'86% semplicemente installando gli ultimi aggiornamenti software.

I criminali informatici trovano regolarmente modi più sofisticati per violare i sistemi di altre persone. Ad esempio, nel 2020, l'intelligenza artificiale viene utilizzata per gli attacchi informatici e il numero di hacking del cloud storage è in crescita. È impossibile fornire protezione contro un rischio che non esisteva al momento dell'uscita dal programma. Pertanto, l'unica possibilità per migliorare la sicurezza è lavorare sempre con l'ultima versione.

La situazione è simile con il software senza licenza. Tale software può mancare di una parte importante delle funzioni, e nessuno è responsabile del suo corretto funzionamento. È molto più facile pagare per software con licenza e supportato piuttosto che rischiare informazioni aziendali critiche e mettere a repentaglio il funzionamento dell'intera azienda.

5. Utilizzo di reti Wi-Fi pubbliche per lavoro

Situazione: il dipendente lavora con il laptop in un bar o in un aeroporto. Si collega alla rete pubblica.

Se i tuoi dipendenti lavorano in remoto, informali sui pericoli del Wi-Fi pubblico. La rete stessa può essere un falso, attraverso il quale i truffatori rubano dati dai computer quando tentano di connettersi. Ma anche se la rete è reale, potrebbero sorgere altri problemi.

Andrey Beshkov Responsabile dello sviluppo aziendale presso Softline.

Come risultato di un tale attacco, informazioni importanti, accessi e password possono essere rubati. I truffatori possono iniziare a inviare messaggi per tuo conto e compromettere la tua azienda. Connettiti solo a reti affidabili e non lavorare con informazioni riservate tramite Wi-Fi pubblico.

6. Copiare informazioni importanti ai servizi pubblici

Situazione: il dipendente riceve una lettera da un collega straniero. Per capire tutto esattamente, copia la lettera al traduttore nel browser. La lettera contiene informazioni riservate.

Le grandi aziende sviluppano i propri editor di testo e traduttori aziendali e istruiscono i dipendenti a utilizzarli solo. Il motivo è semplice: i servizi online pubblici hanno le proprie regole per l'archiviazione e l'elaborazione delle informazioni. Non sono responsabili della privacy dei tuoi dati e potrebbero trasferirli a terzi.

Non dovresti caricare documenti importanti o frammenti di corrispondenza aziendale su risorse pubbliche. Questo vale anche per i servizi per i test di alfabetizzazione. Ci sono già casi di fuga di informazioni attraverso queste risorse. Non è necessario creare il proprio software, è sufficiente installare programmi affidabili sui computer di lavoro e spiegare ai dipendenti perché è importante utilizzarli solo.

7. Ignorare l'autenticazione a più fattori

Situazione: il sistema richiede al dipendente di associare una password a un dispositivo e un'impronta digitale. Il dipendente salta questo passaggio e utilizza solo la password.

Se i tuoi dipendenti non memorizzano le password su un adesivo incollato al monitor, è fantastico. Ma non abbastanza per eliminare il rischio di perdita. I bundle "password - login" non sono sufficienti per una protezione affidabile, soprattutto se viene utilizzata una password debole o non sufficientemente lunga. Secondo Microsoft, se un account cade nelle mani di criminali informatici, nel 30% dei casi sono necessari circa dieci tentativi per indovinare la password di altri account umani.

Utilizza l'autenticazione a più fattori, che aggiunge altri controlli alla coppia login/password. Ad esempio, un'impronta digitale, Face ID o un dispositivo aggiuntivo che conferma l'accesso. L'autenticazione a più fattori protegge dal 99% degli attacchi volti al furto di dati o all'utilizzo del dispositivo per il mining.

Artyom Sinitsyn Direttore dei programmi di sicurezza delle informazioni nell'Europa centrale e orientale, Microsoft.

Per proteggere la tua azienda dai moderni attacchi informatici, inclusi phishing, hacking di account e infezioni da posta elettronica, devi scegliere servizi di collaborazione affidabili. Tecnologie e meccanismi per una protezione efficace devono essere integrati nel prodotto fin dall'inizio per poterlo utilizzare nel modo più conveniente possibile, senza dover scendere a compromessi in materia di sicurezza digitale.

Questo è il motivo per cui Microsoft 365 include una gamma di funzionalità di sicurezza intelligenti. Ad esempio, la protezione degli account e delle procedure di accesso dalla compromissione con un modello di valutazione dei rischi integrato, l'autenticazione a più fattori per la quale non è necessario acquistare licenze aggiuntive o l'autenticazione senza password. Il servizio fornisce un controllo dinamico degli accessi con valutazione del rischio e tenendo conto di un'ampia gamma di condizioni. Microsoft 365 contiene anche automazione e analisi dei dati integrate e consente inoltre di controllare i dispositivi e proteggere i dati da perdite.