Comprendere l'Human Risk: il fattore 48%

Il rischio informatico inizia con il comportamento umano 

La sicurezza informatica non riguarda i firewall e i sistemi di monitoraggio, ma le persone. Secondo il Rapporto Mimecast Exposing Human Risk 2024, il 48% dei dipendenti si impegna in comportamenti online rischiosi che espongono le loro organizzazioni alle minacce informatiche. Si tratta di quasi la metà dei dipendenti che lasciano le loro organizzazioni vulnerabili agli attacchi. 

Il fronte della difesa informatica si è spostato. Mentre le minacce esterne da parte di hacker esperti si stanno evolvendo, l'elemento umano interno rimane una sfida significativa. Per affrontare questo problema, dobbiamo capire quali sono i comportamenti che i dipendenti mettono in atto, perché esistono questi rischi e come le aziende possono rispondere. 

48% dei comportamenti a rischio più comuni dei dipendenti 

Il rapporto Mimecast identifica tre comportamenti chiave che espongono costantemente le organizzazioni ai rischi informatici:

1. Cliccare sulle e-mail di phishing: I dipendenti continuano a cadere nei link di phishing, con 3% degli utenti che falliscono le simulazioni di phishing e gli attacchi di phishing veri e propri. 
2. Scaricare o eseguire malware: I dipendenti eseguono involontariamente un software che apre la porta ad attori malintenzionati. 

Violazione delle politiche di navigazione sul web: Dalla visita di siti web rischiosi all'ignorare i protocolli IT, gli errori di navigazione spesso portano a vulnerabilità. È interessante notare che, mentre la maggior parte dei comportamenti a rischio si verificano come incidenti isolati, il 13% dei dipendenti si impegna in più azioni a rischio, aumentando in modo significativo la probabilità di causare una violazione. 

Il rapporto evidenzia che il rischio informatico non è equamente distribuito. Alcuni ruoli e livelli di inquadramento sono più esposti di altri. 

• I manager sono il gruppo più bersagliato, ma anche il meno propenso a cliccare sulle e-mail di phishing. Tuttavia, il loro tasso di targeting più elevato significa che affrontano il rischio annuale maggiore. 
• I nuovi assunti sono particolarmente vulnerabili alle e-mail di phishing, con tassi di clic che diminuiscono con l'aumentare della permanenza. Al contrario, i dipendenti di lunga data vengono presi di mira più spesso, semplicemente perché i loro indirizzi e-mail sono più conosciuti. 
• I dipendenti del laboratorio e i clienti, pur non essendo molto bersagliati, hanno tassi di clic allarmanti, il che indica che la formazione di questi gruppi potrebbe ridurre drasticamente il rischio. 

Inoltre, i venditori e i membri dei consigli di amministrazione, entrambi ruoli molto pubblici, ricevono frequenti tentativi di phishing. I loro ruoli spesso garantiscono loro privilegi di accesso elevati, il che rende qualsiasi attacco riuscito a questi utenti particolarmente devastante. 

Perché i dipendenti rimangono rischiosi dopo la formazione? 

Un aspetto particolarmente rivelatore dello studio è che il rischio umano non è puramente comportamentale, ma anche situazionale. I dipendenti che ricoprono ruoli pubblici o di livello superiore sono intrinsecamente più esposti, semplicemente per la natura del loro lavoro. 

Per esempio, i manager hanno un tasso di clic sulle e-mail di phishing inferiore a quello della maggior parte dei dipendenti, ma hanno a che fare con un numero molto maggiore di tentativi. Il volume degli attacchi eleva il loro profilo di rischio, suggerendo che la protezione dalle minacce (attraverso sistemi di filtraggio potenziati) è fondamentale quanto la formazione aggiuntiva. 

Come possono le aziende affrontare l'Human Risk in modo efficace? 

La gestione del rischio umano richiede una strategia multiforme. Le organizzazioni non possono affidarsi esclusivamente a programmi di formazione o a soluzioni tecniche uniche. Gli interventi su misura sono la chiave del successo. 

1. Identificare i gruppi ad alto rischio: Comprendendo quali sono i dipendenti più bersagliati o più propensi a cliccare sulle e-mail di phishing, può dare priorità agli sforzi dove avranno il massimo impatto. 
2. Programmi di formazione su misura: Invece di lezioni generiche, offra indicazioni specifiche per ruoli distinti. Per esempio, i venditori potrebbero aver bisogno di imparare a esaminare le e-mail con occhio critico, mentre i dipendenti IT hanno bisogno di continui promemoria sulle politiche di navigazione web. 
3. Prevenire il targeting: Per ruoli come i dirigenti o i membri del consiglio di amministrazione, proteggerli dagli attacchi di phishing attraverso difese informatiche avanzate può essere più efficace di un'ulteriore formazione. 
4. Rinforzi la formazione in modo continuo: La cybersecurity non è un corso unico e definitivo. I dipendenti hanno bisogno di aggiornamenti regolari e di simulazioni in evoluzione per rimanere preparati.

Nessuna azienda è immune dai rischi informatici, ma il rapporto Mimecast Exposing Human Risk chiarisce una cosa: la mitigazione del rischio inizia con la comprensione dei suoi dipendenti. I dati dimostrano che i comportamenti a rischio possono essere ridotti attraverso un'educazione mirata, strategie di difesa più intelligenti e un approccio proattivo all'identificazione delle vulnerabilità.

Vuole saperne di più? Scopra come la sua azienda può combattere oggi i rischi informatici guidati dall'uomo. Legga il rapporto completo Exposing Human Risk.