Venturebeat.com ha pubblicato un articolo molto utile che condividiamo. Sarebbe difficile trovare oggi una singola organizzazione che non sia consapevole dell’importanza vitale della sicurezza informatica. Tuttavia, nonostante le loro migliori intenzioni, molte aziende stanno ancora commettendo gravi errori di sicurezza e le conseguenze possono essere letali in termini economici e di tempo. Con Halloween alle porte, diamo un’occhiata agli orrori che affliggono il mondo della sicurezza informatica . Ecco cinque dei principali errori commessi dalle piccole aziende nella sicurezza informatica e come possono perseguitare le organizzazioni a lungo termine.

Mancanza di formazione dei dipendenti sulle migliori pratiche di sicurezza

La formazione sulla sicurezza informatica per i dipendenti può sembrare un gioco da ragazzi, qualcosa che molte aziende fanno a livello di base. Tuttavia, con l’aumento dell’ingegneria sociale e degli attacchi di phishing altamente sofisticati come lo spear phishing, è chiaro che, più che mai, gli hacker stanno tentando di sfruttare l’aspetto umano della sicurezza informatica per accedere ai sistemi delle aziende. Basta guardare la recente  violazione di Uber , in cui un hacker ha utilizzato un attacco di esaurimento per indebolire e ingannare un dipendente facendogli condividere le proprie informazioni di accesso. Detto questo, molte aziende commettono l’errore di considerare la formazione sulla sicurezza informatica come qualcosa su cui devono solo spuntare la casella quando, in realtà, deve essere una priorità assoluta, oltre che un’attività continua. È assolutamente essenziale che le aziende investano in una formazione aggiornata sulla sicurezza informatica per i propri dipendenti: iscrivendoli immediatamente dopo l’assunzione e offrendo costantemente corsi di aggiornamento con le migliori pratiche più recenti.

Difficoltà  nel mantenere una corretta visione IT

Questo ci porta perfettamente al secondo errore commesso dalle aziende: non garantire un’adeguata visione IT in tutta la loro organizzazione. Una cosa è condurre la formazione per i dipendenti, un’altra è assicurarsi che le lezioni apprese diventino una pratica comune per tutti. Dopotutto, anche le migliori tecnologie e processi di sicurezza informatica non possono prevenire i potenziali danni causati da un dipendente che utilizza una password debole o non aggiorna regolarmente il proprio software.

Intermezzo promozionale ... continua la lettura dopo il box:

Per prevenire questi e altri errori umani, incluso l’abuso di account privilegiati e il non sapere quali applicazioni sono in esecuzione o quale sia la loro configurazione, le aziende dovrebbero effettuare il check-in per valutare l’igiene IT dei dipendenti durante il loro incarico. Ciò aiuta a garantire che stiano ancora implementando le migliori pratiche di sicurezza informatica nel loro lavoro quotidiano.

Inoltre, le aziende devono stabilire routine e controlli di sicurezza adeguati, tra cui l’individuazione delle risorse, la gestione dell’integrità dei file, la valutazione della configurazione, il rilevamento regolare delle vulnerabilità e l’applicazione della protezione degli endpoint.

Non valutare costantemente la posizione di sicurezza della tua azienda

Spesso le aziende stabiliscono i propri controlli di sicurezza informatica , quindi “lo impostano e lo dimenticano”. Questo non è mai l’approccio giusto. Al contrario, ogni organizzazione dovrebbe condurre frequenti valutazioni dei rischi per la sicurezza per valutare dove sono forti le proprie difese e dove possono esserci vulnerabilità, sia dal punto di vista umano che tecnologico.

Solo quando le organizzazioni hanno un quadro chiaro della loro preparazione alla sicurezza informatica possono intraprendere con sicurezza le misure giuste per rafforzare ciò che stanno già facendo correttamente e puntellare eventuali punti deboli che devono essere affrontati.

Ancora una volta, è importante sottolineare che questa deve diventare una pratica continua. Man mano che il panorama della sicurezza cambia sotto i piedi delle aziende, è altrettanto importante che si adattino, rimangano agili e valutino regolarmente la loro posizione di sicurezza. Devono anche praticare importanti attività di riduzione del rischio, inclusi test di prontezza ed esercizi di simulazione di eventi.

Non sapere dove vengono utilizzate, condivise o archiviate le tue risorse di dati

I dati oggi sono più “liquidi” che mai. Tra la presenza di numerose integrazioni, partnership con fornitori di terze parti e più endpoint o dispositivi, può diventare estremamente complicato in modo estremamente rapido per le aziende monitorare e gestire i propri dati.

Sfortunatamente, la realtà è che molte aziende semplicemente non sanno dove risiedono i loro dati, anche se la loro superficie di attacco è in aumento.

Inoltre, poiché i dipendenti continuano a lavorare in remoto o in ambienti ibridi, le aziende devono affrontare un altro livello di complessità per mantenere i dati al sicuro. Per quanto i professionisti IT e della sicurezza possano preparare i dipendenti al successo, non possono controllare se un dipendente accede ai sistemi aziendali su un laptop personale o quanto può essere sicura la rete domestica.

Sebbene non esista una soluzione perfetta a un problema così complicato, è assolutamente necessario che le aziende inizino monitorando regolarmente tutti i loro endpoint. Ciò include laptop, personal computer, server fisici, macchine virtuali, istanze cloud e persino infrastrutture cloud native. Insieme a una mappatura dei dati aggiornata, questo crea una solida prima linea di difesa nella lotta per la sicurezza dei dati, riducendo significativamente le vulnerabilità che possono portare ad attacchi informatici.

Trattare la sicurezza solo come un problema IT

La sicurezza informatica è molto più della semplice installazione di software antivirus sui computer aziendali e si estende ben oltre l’ambito del reparto IT. Tuttavia, molte organizzazioni non riescono a stabilire un approccio olistico alla sicurezza.

La creazione di una vera e pervasiva cultura della sicurezza informatica richiede non solo la tecnologia giusta, ma anche le politiche e i processi giusti per sostenerla. E tutti in azienda, dall’alto verso il basso, devono essere responsabili e responsabili della protezione dei dati dell’azienda.

Ciò significa che spetta ai leader dell’azienda dare il tono, comunicare l’importanza vitale della consapevolezza delle minacce, mettere in atto strategie di sicurezza informatica efficaci e fornire gli strumenti e la formazione giusti per proteggere l’azienda. Questo significa non solo parlare, ma camminare.

In definitiva, commettere uno qualsiasi di questi errori di sicurezza informatica può tornare a perseguitare un’azienda, con un impatto su tutto, dai dati personali dei clienti alle operazioni, alla reputazione e ai profitti. Questo è il motivo per cui è così importante implementare una strategia di sicurezza informatica completa, quindi valutarla e migliorarla costantemente, per garantire che la tua organizzazione sia sempre un passo avanti rispetto a potenziali aggressori.

Fonte : https://venturebeat.com/