I tre elementi che i responsabili IT devono considerare per garantire la sicurezza aziendale

Si è concluso il Mese Europeo della Sicurezza Informatica, e questo ha posto in luce molte problematiche. Questa iniziativa si pone come obiettivo quello di aumentare la consapevolezza nell'ambito della cybersecurity. Numerose aziende, infatti, non sono ancora sufficientemente preparate, come rivelato da una recente ricerca Hiscox, e se si considera l'aumento degli attacchi verso le imprese, questa mancanza di preparazione è preoccupante: nel 2018 oltre la metà delle imprese è stata vittima di un attacco informatico. In particolare, a metà di quest'anno è stato stimato un incremento del 15% degli attacchi ransomware e del 500% di quelli DDoS, mentre il phishing è raddoppiato.

"Difendersi da cyber criminali sempre più sofisticati è una sfida su più fronti. I responsabili IT devono garantire che i device dei dipendenti, equipaggiati con funzionalità di sicurezza avanzate, siano il cuore della strategia di sicurezza informatica dell'azienda, insieme alla formazione dei lavoratori", ha dichiarato Massimo Arioli, Business Unit Director Italy, Dynabook Europe.
Nonostante ci siano ancora molti passi da fare, le aziende oggi stanno capendo quanto la sicurezza sia una priorità e secondo Dynabook Europe sono tre gli elementi fondamentali che i responsabili IT devono considerare per una strategia di protezione aziendale di successo:
a) Proteggere i device fuori dall'ufficio: il mobile working e l'accesso da remoto offrono numerosi vantaggi, ma aprono nuovi possibili scenari di attacco e nuove sfide relative alla gestione dei dispositivi. Tuttavia, i dipendenti sono la prima linea di difesa dell'azienda contro gli attacchi informatici, per cui è fondamentale che i dispositivi utilizzati quotidianamente siano all'altezza del compito e forniscano una solida protezione contro potenziali rischi. I notebook con funzionalità biometriche avanzate e di archiviazione delle credenziali basate su hardware offrono un meccanismo di difesa più forte contro la violazione di password o accessi. Altre misure, come le soluzioni zero client, vanno oltre e aiutano ad annullare le minacce relative ai dati, non archiviandoli sul dispositivo ma su un sistema centrale basato sul cloud, proteggendo dall'accesso non richiesto alle informazioni in caso di perdita o furto di un dispositivo.

b) La formazione è essenziale: secondo una ricerca, quasi il 90% delle violazioni dei dati è causata dall'errore umano. Per questo, è fondamentale che le aziende formino i propri dipendenti sui concetti di sicurezza informatica e su come gestire correttamente le informazioni sensibili. Parte di questa formazione dovrebbe includere informazioni sulla configurazione di sicurezza dell'azienda, sul perché e come vengono implementate determinate soluzioni e sulla loro responsabilità nell'eseguire buone pratiche di sicurezza informatica.
c) Implementare un approccio multi-layer: nonostante la formazione, i criminali informatici hanno metodi sempre più sofisticati per colpire i dipendenti, come attacchi ransomware sono sempre più mirati, email di phishing più convincenti e malware più avanzati che mai. Dal momento che molti dei più comuni attacchi informatici di oggi sono stati progettati per sfruttare l'errore umano anche il più diligente dei dipendenti potrebbe esserne vittima. A questo panorama si aggiunge lo stato dell'attuale infrastruttura di rete, che non è stata costruita pensando alla sicurezza di oggi, obbligando le aziende a fare un ulteriore passo avanti e a implementare soluzioni di protezione a livello di rete con un approccio multi-layer, che integra sia hardware sia software.

"La minaccia di un cyber-attacco non è una novità per le aziende. È essenziale che la sicurezza sia un fattore chiave nella loro strategia, fornendo ai dipendenti gli strumenti giusti per affrontare le minacce sia a livello hardware che software. Sebbene le soluzioni tecnologiche siano fondamentali, la formazione dei dipendenti è imprescindibile. Le organizzazioni che non mettono in primo piano i dispositivi dei dipendenti o che non investono nella formazione, potrebbero trovarsi a far parte della lista sempre più ampia delle vittime dei criminali informatici di oggi", ha concluso Massimo Arioli.