In occasione del mese della sensibilizzazione sulla sicurezza informatica, Microsoft ha pianificato e pubblicato una serie di consigli per aiutare le persone a proteggere i propri dati sia al lavoro che a casa e a rimanere tutti #CyberSmart.
Il 2022 potrebbe aver offerto una tregua rispetto allo scorso anno per abilitare una forza lavoro ibrida e remota, ma il maggiore utilizzo di dispositivi personali ha anche lasciato i professionisti della sicurezza con ancora più endpoint da gestire e proteggere. La tecnologia può fare molto, ma sono le persone che rimangono la più grande forza di difesa per proteggere ciò che conta. Ecco perché Microsoft ha colto questa opportunità durante il Cybersecurity Awareness Month per aiutare i professionisti della sicurezza a istruire i propri dipendenti sui fondamenti evidenziati dalla National Cybersecurity Alliance, come la protezione delle loro identità, l’aggiornamento di software e dispositivi e non cadere preda di schemi di phishing.
La sicurezza inizia con la consapevolezza
«Nel posto di lavoro senza confini di oggi, una sicurezza completa è essenziale. Questo tipo di protezione a 360 gradi richiede educazione e consapevolezza per salvaguardare identità, dati e dispositivi. I programmi di sensibilizzazione consentono ai team di sicurezza di gestire efficacemente i propri rischi umani modificando il modo in cui le persone pensano alla sicurezza informatica e aiutandoli a mettere in pratica comportamenti sicuri. Il SANS 2022 Security Awareness Report ha analizzato i dati di più di mille professionisti della sicurezza in tutto il mondo per identificare come le organizzazioni gestiscono i propri rischi umani. Il report ha rilevato che oltre il 69% dei professionisti della security awareness sono part-time, il che significa che dedicano meno della metà del loro tempo alla security awareness.
Secondo il rapporto SANS, i professionisti della security awareness dovrebbero sforzarsi di:
- Coinvolgere la leadership concentrandosi su termini che risuonano con loro e dimostrando supporto per le loro priorità strategiche. “Non parlare di quello che stai facendo, parla del perché lo stai facendo.”
- Considerare di avere un rapporto di 10 a 1 tra professionisti della sicurezza tecnica e professionisti della sicurezza incentrati sull’uomo.
- Collaborare con altri dipartimenti dell’organizzazione, come comunicazioni, risorse umane e operazioni aziendali, per coinvolgere e comunicare con la propria forza lavoro.
- Rendere la formazione semplice da capire e da seguire. “Proprio come l’allenamento: è la frequenza che è importante.” E dedicare del tempo alla raccolta di informazioni sull’impatto dei propri programmi di sensibilizzazione.
Sta a ciascuno di noi #BeCyberSmart
Nel 2022, le cause più comuni di attacchi informatici sono ancora il malware (22%) e il phishing (20%). Nonostante l’ascesa del ransomware as a service (RaaS) e di altri strumenti sofisticati, gli esseri umani rimangono il vettore di attacco più affidabile e a basso costo per i criminali informatici di tutto il mondo. Per questo motivo, è fondamentale essere tutti informati su come prevenire le violazioni e difenderci, sia al lavoro che a casa.
Ecco alcuni passaggi di base che tutti possiamo seguire per #BeCyberSmart:
Phishing: e-mail ingannevoli, siti Web fasulli, messaggi di testo falsi: questi tipi di truffe di phishing hanno rappresentato il 30% degli attacchi nel 2021. Durante il Torneo annuale di Gone Phishing di Terranova lo scorso anno, il 19,8% dei partecipanti ha fatto clic sul collegamento dell’e-mail di phishing, mentre il 14,4% scaricato il documento falso. Allora, come possiamo evitare di abboccare?
- Controllare l’indirizzo e-mail del mittente per informazioni di contatto verificabili. I comuni suggerimenti di phishing includono un indirizzo del mittente errato o non correlato. In caso di dubbio, non rispondere. Invece, crea una nuova email per rispondere.
- Non fare clic sui collegamenti o aprire allegati di posta elettronica a meno che non sia stato verificato il mittente.
- Per ulteriori suggerimenti, visita il sito di phishing della Federal Trade Commission.
Dispositivi e software: dispositivi e software non aggiornati e privi di patch sono un punto di accesso principale per i criminali informatici. Ecco perché praticare una buona cyber hygiene è così importante per evitare malware distruttivi che possono rubare le informazioni personali degli utenti. Per proteggere i tuoi dispositivi:
- Abilita la funzione di blocco su tutti i tuoi dispositivi mobili.
- Attiva l’autenticazione a più fattori sulle tue app e account sensibili.
- Esegui il software antivirus e installa immediatamente gli aggiornamenti di sistema.
Truffe: i criminali ti contatteranno spesso cercando di “riparare” un problema inesistente. L’e-mail o il messaggio di testo conterrà un senso di urgenza, ad esempio “Agisci ora per evitare che il tuo account venga bloccato!” Se vedi questo tipo di messaggio, non fare clic sul collegamento. E ricorda di segnalare sempre qualsiasi truffa sospetta in modo che l’organizzazione possa agire. Alcuni consigli da ricordare:
- Sii scettico nei confronti di chiamate di supporto tecnico non richieste o messaggi di errore che richiedono un’azione urgente.
- Non seguire le istruzioni per scaricare software da siti Web di terze parti.
- In caso di dubbio, apri una pagina del browser separata e vai direttamente alla pagina Web dell’azienda.
Password: le password sono la nostra prima linea di difesa contro l’accesso non autorizzato ad account, dispositivi e file. Tuttavia, la persona media ora ha più di 150 account online; la fatica della password è sempre un pericolo. Alcuni suggerimenti su come proteggere le tue password includono:
- Usa il generatore di password del tuo browser per creare password più forti.
- Evita di accedere a dati personali e finanziari utilizzando una rete wireless pubblica.
- Usa un gestore di password o considera di passare alla passwordless.
Promuovere una forza lavoro più diversificata per la cybersecurity
Ad aprile 2022, risultano più di 700.000 posizioni vacanti di sicurezza informatica negli Stati Uniti, con una previsione di 3,5 milioni di posizioni di sicurezza informatica non occupate in tutto il mondo entro il 2025. Ecco perché Microsoft continua a contattare studenti, veterani, persone che rientrano nel mondo del lavoro, chiunque abbia interesse a diventare un difensore della sicurezza informatica. Quest’anno, in occasione del Cybersecurity Awareness Month, agiamo anche in base alle iniziative di Microsoft per aumentare l’accesso all’istruzione sulla sicurezza informatica e contribuire a colmare il divario tra la forza lavoro. In collaborazione con il Last Mile Education Fund, Microsoft punta a raggiungere almeno 25.000 studenti entro il 2025 con borse di studio e risorse aggiuntive legate ai percorsi di sicurezza informatica.
Aiutare a creare la prossima generazione di difensori della sicurezza informatica è di fondamentale importanza e in Microsoft ci si vuole assicurare che le porte siano aperte a tutti. Ecco perché Microsoft continua la partnership con Girl Security, aiutando a responsabilizzare le ragazze adolescenti, le donne e le minoranze di genere demistificando la cybersecurity e sviluppando le competenze richieste per l’occupazione. Microsoft sta inoltre collaborando con altre organizzazioni per sfruttare il messaggio di questo momento nell’ottobre 2022 per portare più donne nel settore.
Rimani cyber smart tutto l’anno
Il mese della sensibilizzazione sulla sicurezza informatica è un momento speciale per noi mentre ci riuniamo collettivamente – industria, università e governo – per promuovere l’importanza di un ambiente online sicuro. Sappiamo che i criminali informatici sono persistenti e motivati, lavorano tutto il giorno, tutti i giorni senza giorni di riposo. Ecco perché dobbiamo lavorare insieme sulla sensibilizzazione e l’educazione tutto l’anno e costruire una cultura dei difensori informatici. Continua a visitare il cybersecurity awareness and education website per saperne di più sui programmi di formazione sulla sicurezza informatica di Microsoft e ottenere il nuovo kit di formazione sulla cybersecurity da utilizzare nella propria organizzazione. Tutti hanno un ruolo da svolgere nella sicurezza informatica e, quando impariamo insieme, siamo più al sicuro insieme».
