Hai un antivirus, uno spyware, un firewall e magari anche un software per la crittografia.
Leggi gli alert, fai gli aggiornamenti e tieni monitorata l’infrastruttura IT.
Tutto questo per proteggere la tua azienda e i tuoi dati dagli hacker.

Ma c’è un fattore che, per quanto tu ti sforza, sfugge al tuo controllo. È il fattore umano.

Puoi impostare policy per password con lettere maiuscole, minuscole, numeri e caratteri speciali lunghe almeno 20 caratteri… ma poi basta un post it e tu resti fregato.

Scherzi a parte, secondo un recente report pubblicato da Check Point, l’84% delle aziende analizzate nel corso del 2014 era infetto da malware. Nel 33% dei casi la porta di accesso è stato il download di un file contenente un malware sconosciuto.

Allo stesso modo, l’analisi  Gobal State of Information Security, realizzata da PwC Italia, evidenzia 14 milioni di attacchi hacker nel 2014 nel mondo, con un aumento del 48% rispetto all’anno scorso. E, forse il dato più allarmante, un aumento del 10% dei casi di attacchi dovuti al personale interno, e del 17% dovuti a collaboratori e fornitori esterni.

Molto spesso si tratta di “incidenti” involontari: apertura di email ingannevoli, download di file, perdita di dispositivi.

Questi attacchi costano molto alle aziende: pensiamo a prodotti tutelati da brevetti, progetti, e dati personali che possono poi essere rivenduti o utilizzati per carpire informazioni bancarie.

Cosa può fare l’IT per cercare di arginare e tenere sotto controllo quello che viene definito “l’anello debole” della catena di sicurezza?

La parola chiave è formazione.

Una tempestiva e costante attività informativa in merito ai rischi che si corrono, alle tecniche utilizzate dagli hacker, ai gesti quotidiani che tutti facciamo e che possono inavvertitamente compromettere la sicurezza aziendale.

Pensiamo ad esempio all’utilizzo degli smartphone e dei tablet: aziendali o personali vengono ormai costantemente utilizzati per accedere a dati aziendali.
E, come ha dimostrato una recente ricerca, spesso non viene associato il rischio hacker all’utilizzo del cellulare. Viene, infatti, considerato solo un telefono che permette di fare molte cose ma rimane sempre un telefono. Per questo capita che non vi sia installato o aggiornato un antivuris, perché l’utente non ne percepisce il rischio. Però con quello stesso telefono naviga sul web e scarica file. E magari accede anche alla posta e a dati aziendali. Ecco che la frittata è fatta.

Adottare un valido sistema di sicurezza è il primo passo che il CIO deve fare, ed è superfluo ricordarlo. Considerare i fenomeni della consumerization e del bring your own device è il passo successivo. Gli utenti oggi vogliono traslare in azienda l’esperienza d’uso che vivono nel privato, vogliono poter accedere ai dati da dispositivi diversi dal pc.
Diamo agli utenti ciò che desiderano ma formiamoli così che acquistino consapevolezza dei rischi informatici.