Comprendere i rischi per la sicurezza
Obiettivi di apprendimento
Al completamento di questa unità, sarai in grado di:
- Spiegare in che modo il crimine informatico può colpire la tua azienda.
- Indicare i principali comportamenti umani sfruttati dagli intrusi.
- Descrivere i metodi comunemente usati dai criminali per ottenere accesso alle informazioni.
La sicurezza dei comportamenti dei dipendenti è importante quanto la sicurezza della tecnologia
Considerando che utilizziamo la tecnologia tutto il giorno nella nostra vita personale e sul lavoro, è logico che la criminalità informatica sia all'attenzione di tutti. Il rapporto di Verizon del 2021 sulle indagini sulle violazioni dei dati ha segnalato un totale record di 157.525 incidenti in categorie che vanno dal malware all'hacking, dalle violazioni tramite social engineering al ransomware. E i crimini informatici continuano a evolversi. Alcuni dei vettori di attacco che hanno avuto più successo in tempi recenti, come il phishing, hanno come obiettivo le persone, non la tecnologia. Secondo il rapporto del 2022, phishing e furto delle credenziali degli utenti sono stati i principali vettori di attacco nel 2021.
Il panorama delle minacce è più complesso che mai e per i team della sicurezza è sempre più difficile prevenire, rilevare, analizzare e rispondere alle minacce. I criminali informatici hanno spostato le loro tattiche dagli attacchi tecnologici agli assalti mirati ai dipendenti, sfruttando i comportamenti umani di base. Con l'avanzare della tecnologia di sicurezza, gli hacker cercano di accedere al punto più debole della rete, che il più delle volte si rivela essere l'errore umano. Le opportunità di formazione sulla sicurezza, come questo badge, sono più importanti che mai. Poiché i dipendenti rappresentano il bersaglio più facile per gli hacker, è fondamentale che tutti imparino a proteggere se stessi e la propria azienda. Oggi più che mai, ogni persona ha un impatto sulla sicurezza, indipendentemente dalla sua funzione o dal suo titolo.
Basta che un solo dipendente apra un'email di phishing per innescare una catena di eventi che possono compromettere i dati dell'azienda. Ciò significa che la sicurezza deve essere parte integrante del lavoro di tutti. In questo modulo esamineremo alcuni comportamenti di base che ogni dipendente può adottare per contribuire a rendere l'azienda più sicura.
Gli intrusi sfruttano i comportamenti umani
Vediamo in che modo la natura umana gioca a favore della criminalità informatica. I criminali hanno imparato a sfruttare i sentimenti tipici degli esseri umani, come la curiosità e il desiderio di piacere, per rubare le credenziali e infiltrarsi nelle reti. Analizziamo alcuni dei messaggi che suscitano queste emozioni.
-
Paura: "Se non mi dai quelle informazioni, parlo con il tuo responsabile".
-
Fiducia: "Il tuo conto bancario è stato chiuso. Fai clic qui per riattivarlo".
-
Etica: "Può tenere aperta la porta dell'ufficio per me? Ho un braccio rotto e questo pacco pesa".
-
Premio: "La mia azienda sta valutando la possibilità di investire nei vostri prodotti. Può rispondere prima a qualche domanda sulla sua organizzazione?".
-
Conformità: "Bill Stevens dell'ufficio finanziario mi aggiorna sempre sugli utili del secondo trimestre, ma non riesco a contattarlo. Puoi aiutarmi con il rapporto?".
-
Curiosità: "Wow... Guarda questo video di un serpente gigante che mangia un guardiano dello zoo!".
Identificare i principali metodi di attacco
Gli hacker colpiscono le loro vittime in diversi modi. I metodi di accesso ai punti di ingresso riportati di seguito sono tecniche comuni che i criminali informatici usano per sfruttare i nostri comportamenti e ottenere l'accesso a informazioni sensibili o alle reti.
-
Phishing: tentativo di acquisire informazioni sensibili, come nomi utente e password (altrimenti note come credenziali utente), dati di carte di credito e informazioni bancarie, spacciandosi per entità affidabili. Esistono diversi tipi di phishing. Alcuni dei metodi più usati sono il phishing via email, il phishing via telefono (vishing), il phishing via messaggi di testo o SMS (smishing) e il phishing mirato diretto a una persona con un alto livello di accesso (spear phishing).
-
Malware: ingannare gli utenti per indurli a scaricare un software dannoso (malware) creato per accedere, danneggiare o controllare un dispositivo o una rete, spesso recapitato tramite un link o un allegato in un'email di phishing.
-
Social engineering: manipolare le persone in modo che intraprendano un'azione o rivelino informazioni riservate.
-
Sfruttamento di informazioni pubbliche: usare informazioni disponibili a tutti su Internet (ad esempio, una piattaforma di social media) per progettare un attacco di social engineering, decifrare una password o creare un'email di phishing mirata.
-
Tailgating: per ottenere l'accesso a un'area protetta, il tailgater segue il legittimo titolare di un badge o convince qualcuno a farlo entrare.
-
Intercettazione: ascoltare di nascosto conversazioni private.
-
Dumpster diving: raccogliere dai contenitori per il riciclaggio o dal cestino informazioni sensibili che non sono state distrutte in modo appropriato.
-
Installazione di dispositivi non autorizzati: accedere a una rete protetta installando un router wireless o una chiavetta USB contenente software dannoso.
Risorse
- Guida di Salesforce: Guida alla sicurezza di Salesforce
- Salesforce: Procedure ottimali per la sicurezza di Salesforce