L’emergenza dovuta al coronavirus ha costretto i dipendenti delle piccole e medie imprese (PMI) italiane a lavorare a distanza: uno scenario che quasi la metà delle aziende non era preparata a fronteggiare, soprattutto in termini di risposta al rischio legato ad attacchi informatici e sicurezza informatica aziendale . Infatti, come emerso in un precedente studio di Capterra, il 47% delle PMI non era pronta a fronteggiare l’emergenza.
Inoltre, il nostro sondaggio ha sottolineato che la scarsità di hardware e software dedicati al lavoro a distanza, la mancanza di concentrazione e le difficoltà di comunicazione con colleghi e clienti stanno ponendo a dura prova gran parte dei lavoratori nel corso di questa quarantena.
Stiamo vivendo il più grande esperimento di lavoro a distanza mai condotto nel nostro Paese e, in questa situazione eccezionale, un’altra sfida fondamentale che le organizzazioni sono costrette ad affrontare riguarda la sicurezza informatica aziendale e l’essere pronti a contrastare gli attacchi informaticiche stanno crescendo sempre di più . Ora più che mai, infatti, risulta essenziale che i lavoratori seguano le best practice e dispongano di strumenti specializzati per proteggersi e mettere in sicurezza i dati aziendali dagli attacchi informatici dei cybercriminali.
Data l’importanza del tema, Capterra ha deciso di realizzare un’indagine* ad hoc per verificare se i dipendenti delle piccole e medie imprese che stanno attualmente realizzando lavoro a distanza sono preparati in termini di sicurezza informatica aziendale .
La selezione dei partecipanti a questo studio è composta da dipendenti che normalmente lavorano in ufficio e che ora sono costretti a lavorare da casa, da impiegati che prima lavoravano a distanza alcuni giorni della settimana e da collaboratori che hanno sempre svolto smart working a tempo pieno.
I punti che tratteremo nello studio saranno:
- Sicurezza informatica aziendale : dati preoccupanti sull’utilizzo di antivirus e VPN
- Sicurezza informatica aziendale : la gestione delle password deve essere migliorata
- Sicurezza informatica aziendale: la necessità di utilizzare diverse password e di cambiarle regolarmente
- Sicurezza informatica aziendale: prevenire le frodi di phishing rimane una sfida
- Sicurezza informatica aziendale: la formazione dei dipendenti in materia di sicurezza informatica è indispensabile per il lavoro a distanza
- Le PMI non passano l’esame del coronavirus
Punti salienti dello studio sulla sicurezza informatica aziendale e gli attacchi informatici
- Solo il 21% dei dipendenti accede al server aziendale attraverso una VPN;
- Solo il 26% dei dipendenti ha installato un antivirus;
- Il 37% dei dipendenti è stato vittima di phishing;
- Il 22% dei dipendenti non ha mai ricevuto alcuna formazione in materia di sicurezza informatica.
Sicurezza informatica aziendale: dati preoccupanti sull’utilizzo di antivirus e VPN
I risultati dello studio condotto sulla gestione della sicurezza aziendale mostrano una situazione preoccupante in merito all’adozione di best practice di sicurezza informatica aziendale basiche ed essenziali.
Solo il 26% degli intervistati dichiara di avere installato un antivirus, esponendosi in questo modo ad attacchi informatici . È un dato abbastanza allarmante, considerato che non si tratta di una tecnologia recente né tanto meno innovativa.
La sua assenza espone i nostri dispositivi al rischio di essere infettati ed attaccati.
Un altro fatto preoccupante è che solo il 21% dei dipendenti intervistati dichiara di utilizzare un software VPN per accedere al server aziendale. Si tratta di una tecnologia altamente raccomandata per lavorare a distanza, in quanto protegge i dati trasmessi via Internet attraverso una connessione sicura e criptata.
Anche le cifre relative ad altre misure di gestione della sicurezza aziendale di uso comune sono allarmanti: meno del 20% degli intervistati dichiara di installare regolarmente gli aggiornamenti dei software utilizzati, di avere un firewall installato o di seguire la raccomandazione di caricare tutti i file di lavoro in un cloud sicuro.
I dati raccolti sono ancora più preoccupanti se si tiene conto del fatto che più della metà degli intervistati è composta da dipendenti con un’ampia esperienza lavorativa alle spalle (41%) e da manager dotati di potere decisionale sui progetti e con report diretti (23%).
Se i dipendenti più esperti non capiscono la necessità di adottare le giuste misure per garantire la gestione ottimale della sicurezza aziendale , sarà più complicato diffondere la cultura della sicurezza informatica aziendale e della protezione necessaria per contrastare gli attacchi informatici all’interno delle organizzazioni interessate. La sicurezza dei dati e delle informazioni è un punto imprescindibile del processo di digitalizzazione delle PMI.
Nei prossimi paragrafi ci concentreremo nello specifico su alcuni aspetti particolarmente critici della sicurezza informatica aziendale :
- La gestione delle password;
- Gli attacchi di phishing;
- La formazione dei dipendenti sulle best practice per la sicurezza informatica aziendale.
Sicurezza informatica aziendale: la gestione delle password deve essere migliorata
Un punto particolarmente interessante risulta essere la gestione delle password all’interno delle organizzazioni. Dai dati raccolti si evince come solo il 20% degli intervistati dichiara di utilizzare un software per la gestione delle password. Si tratta di strumenti che consentono agli utenti, specialisti e non, di proteggersi attraverso la possibilità di reimpostare o sbloccare le proprie password, di sincronizzarle tra diversi dispositivi e di generare chiavi casuali per motivi di sicurezza.
È interessante notare quali siano i metodi più utilizzati per gestire le password: la maggior parte degli intervistati dichiara di conoscerle a memoria (29%) e di annotarle nei propri appunti (16%). Si tratta di abitudini abbastanza inefficienti ma soprattutto pericolose. Cosa succederebbe se la password venisse dimenticata o, peggio, gli appunti andassero persi? Si comprometterebbe la sicurezza dei dati aziendali .
Anche l’abitudine di condividere le password tra colleghi risulta molto pericolosa. A parte problemi tecnici derivanti dall’utilizzo di uno stesso account per più persone – pratica non consigliata – si apre anche uno scenario insidioso a livello interno: ad esempio un furto di dati da parte di un dipendente.
Sicurezza informatica aziendale: la necessità di utilizzare diverse password e di cambiarle regolarmente
Per garantire un livello di sicurezza informatica sufficiente nel lavoro a distanza, è consigliabile che un dipendente disponga di più password e non utilizzi sempre la stessa. In questo modo, se uno degli account viene violato da un cybercriminale, quest’ultimo non avrà accesso a tutte le altre credenziali della vittima e il danno causato sarà minore.
I risultati raccolti evidenziano che il 34% degli intervistati utilizza un’unica password , mentre il 29% dichiara di avere alcune password principali che ripete in varie occasioni.
Per promuovere una cultura di sicurezza informatica aziendale , è necessario incentivare l’uso di molte password differenti, meglio ancora se gestite da un amministratore.
Il consiglio degli esperti informatici è quello di cambiare con frequenza le proprie password per prevenire cyber attacchi e dallo studio emerge che l’85% degli intervistati segue queste direttive, avendo cambiato le proprie credenziali negli ultimi 6 mesi.
Sicurezza informatica aziendale: prevenire le frodi di phishing rimane una sfida
Il phishing è uno dei metodi di attacco informatico più comuni utilizzati dai criminali informatici per ottenere dati preziosi dalla vittima. Si tratta di inviare un’e-mail che sembra provenire da un’altra persona o società per indurre il destinatario a rivelare informazioni private, come password, dati bancari o dati aziendali riservati.
L’indagine condotta evidenzia che il 37% degli intervistati è stata vittima di un attacco di phishing, il 15% dei quali nel corso della pandemia dovuta al coronavirus. Sul sito del CERT-PA vengono evidenziati tutte le tipologie di attacco informatico legate all’emergenza COVID-19, come la campagna di malware verso dispositivi Android o il Malspam Ursnif. Ciò indica che informazioni private e sensibili sono state messe a rischio: questa attività malevola si traduce in un’importante vulnerabilità delle PMI su questo argomento.
La formazione dei dipendenti in tema di sicurezza dei dati aziendali per il riconoscimento delle e-mail di phishing dovrebbe essere considerata primaria, per le PMI: una violazione della sicurezza può infatti causare danni irreversibili a un’organizzazione di dimensioni ridotte, per esempio distruggendone la reputazione o portandola al fallimento.
Sicurezza informatica aziendale: la formazione dei dipendenti in materia di sicurezza informatica è indispensabile per il lavoro a distanza
Ci sono buone notizie sul fronte sicurezza informatica: la formazione dei dipendenti sembra essere una priorità per le PMI , secondo il 79% degli intervistati. Le modalità di fruizione dei corsi variano dalla formazione presenziale al corso certificato, fino ad arrivare alla formazione online.
Un altro segnale positivo è che nel 77% delle PMI esistono esperti dedicati alla sicurezza informatica e dunque, in caso di necessità, i dipendenti sanno chi contattare. In un attacco informatico il tempo è un elemento molto importante e una risposta rapida può interromperlo o contribuire a minimizzare i danni; al contrario, agire in ritardo può essere fatale, poiché in breve tempo le informazioni possono essere manomesse, rubate o cancellate dal sistema.
Le PMI non passano l’esame del coronavirus
L’indagine è stata condotta per conoscere la situazione dei dipendenti che lavorano a distanza durante il coronavirus, e le PMI italiane non sembrano superare l’esame imposto dall’attuale crisi.
Le organizzazioni e i loro dipendenti sono consapevoli del fatto che devono proteggere e mettere in sicurezza i dati aziendali e garantire la sicurezza della rete e degli stessi, ma non sono preparate come dovrebbero per evitare o quantomeno ridurre al minimo i rischi di un attacco informatico.
L’isolamento sociale in cui il mondo è immerso ha aumentato l’uso dei canali di comunicazione su Internet, esponendo i dati sensibili ad attacchi informatici. La protezione dei trasferimenti di dati, l’accesso al computer e l’accesso a piattaforme o servizi sono attività che le aziende e i loro dipendenti dovrebbero considerare obbligatorie.
Per questo esistono diversi strumenti, ma è anche necessario cambiare la cultura della sicurezza informatica aziendale e capire che in questa realtà iperconnessa il saper proteggere il proprio mondo digitale è essenziale per il business ed è un compito che deve necessariamente essere svolto ogni giorno.
* Metodologia del sondaggio:
Per raccogliere i dati di questo studio abbiamo condotto un sondaggio online. Le risposte provengono da un campione appartenente al mercato italiano. Il questionario è stato inviato a 612 persone, di cui 584 sono state selezionate per partecipare allo studio. I partecipanti qualificati sono impiegati (a tempo pieno o part-time) in piccole e medie imprese (PMI), lavorano in diversi settori e sono attualmente lavoratori a distanza su base obbligatoria a causa dello stato di allarme legato al coronavirus.