NewsSicurezza

Proofpoint e l’importanza della formazione per contrastare il phishing

Lo State of the Phish Report 2023 di Proofpoint ha evidenziato che gli attacchi tramite e-mail phishing restano la minaccia più diffusa – e che la formazione aziendale può fare la differenza. Non solo: l’80% delle organizzazioni lo scorso anno ha subito almeno un attacco di phishing via e-mail, che nel 7% dei casi ha causato una perdita economica diretta. Sebbene i team di sicurezza possano fare poco per evitare che i criminali prendano di mira le loro organizzazioni, il fatto che le persone continuino a giocare un ruolo significativo nel successo di tali attacchi dovrebbe essere fonte di preoccupazione. La maggior parte di essi, infatti, continua a sfruttare gli utenti prima dei sistemi. Il fattore umano fa quindi la differenza: ma come abbassare i rischi per le aziende? Emiliano Massa, Area Vice President Sales Southern Europe di Proofpoint, ci aiuta a capirlo.

Proofpoint: come limitare il phishing con la formazione

I CISO sanno bene che l’ampliamento della superficie di attacco ha ha aumentato le possibilità di subire attacchi. Gli ambienti remoti e ibridi aumentano i rischi, tanto che molti CISO hanno dato priorità alla protezione di queste configurazioni. Per farlo, hanno dovuto aumentare i controlli innovativi e le tecnologie. Ma hanno anche dovuto lavorare sulla formazione degli utenti, un elemento chiave di questa strategia di difesa. Tuttavia, dai dati di Proofpoint sul phishing, sembra che la consapevolezza e la comprensione della sicurezza non siano migliorate.

Ancora una volta, la conoscenza di base delle minacce informatiche più frequenti risulta insufficiente. Più di un terzo dei partecipanti al sondaggio State of the Phish a livello globale non è stato in grado di definire il malware o il phishing.

Non tutti sono formati

Nonostante la maggior parte delle organizzazioni affermi di avere un programma di formazione, solo poco più della metà (56%) a livello mondiale forma tutti i membri del proprio team. In Italia questa percentuale si abbassa al 49%. Di conseguenza, in metà dei casi i dipendenti non sono preparati a riconoscere e sventare le minacce informatiche.

Ricerca Zscaler ThreatLabz registra un vertiginoso aumento degli attacchi di phishing

Tuttavia, nel report sul phishing Proofpoint sottolinea come il 75% delle organizzazioni offre una formazione formale di sensibilizzazione. Serve quindi utilizzare il tempo già impiegato per la formazione ma modificare la strategia, piuttosto che creare un programma da zero.

Proofpoint e la formazione contro il phishing

Gli utenti devono sapere come gestire le sofisticate minacce odierne e cosa fare in caso di attacco. Per farlo si possono mettere in pratica diverse simulazioni, usando esche reali. Tuttvia, solo il 35% delle organizzazioni nel mondo le utilizza.

L’analisi di Proofpoint tiene conto del fatto che i budget siano sempre più limitati. Ma risparmiare sulla sicurezza informatica può risultare molto rischioso. Un professionista esperto potrebbe pensare di aver visto tutto nel panorama attuale delle minacce informatiche. Tuttavia, gli attacchi continuano a rinnovarsi: il phishing, il ransomware e la compromissione delle e-mail aziendali (BEC).

Minacce sempre più sofisticate

Il ransomware ha colpito quasi due terzi (64%) delle organizzazioni italiane nel corso dell’ultimo anno. Inoltre, il 44% di esse ha subito un’infezione riuscita. Pagara il riscatto non serve: solo il 38% di chi ha pagato ha recuperato i propri dati al primo tentativo.

Anche il BEC è un’altra minaccia molto diffusa e pericolosa: tre quarti delle aziende a livello globale hanno ricevuto almeno un tentativo di attacco nell’anno passato. In Italia, il 51% delle organizzazioni ha dichiarato di averne subito uno nell’anno precedente. Anche le minacce interne sono un altro fattore di rischio che non va trascurato. Questo soprattutto perché il lavoro da remoto o ibrido ha aumentato le possibilità di negligenza e ha facilitato le azioni fraudolente degli insider. L’anno passato, il 39% delle organizzazioni italiane ha perso dei dati a causa dell’operato di un insider. E il 42% di chi ha cambiato lavoro ha confessato di aver portato via dei dati.

Report Bitdefender: le principali sfide per la sicurezza informatica delle aziende

Infine, stanno emergendo minacce via e-mail sempre più sofisticate. L’anno scorso i cybercriminali hanno spedito ogni giorno centinaia di migliaia di messaggi di phishing. Che cercavano di eludere l’autenticazione a più fattori (MFA) o che richiedevano una chiamata telefonica (TOAD).

La formazione contro il phishing e non solo, l’analisi di Proofpoint

La sicurezza informatica non si basa solo sullo sviluppo di soluzioni tecnologiche. Bisogna investire in conoscenza e formazione. Emiliano Massa di Proofpoint spiega: “Qualunque sia l’avversario, la comprensione e l’educazione dovrebbero sempre essere la base di una strategia di cybersecurity efficace. Quanto più i vostri utenti conoscono gli attacchi che devono affrontare, come li incontreranno e il loro ruolo nel tenerli a bada, tanto più saranno in grado di proteggere la vostra organizzazione e i suoi dati“.

Più i vostri utenti sono informati sui tipi di attacchi che possono subire, sulle modalità con cui li affronteranno e sul ruolo che hanno nel difenderli, più potranno contribuire a salvaguardare la vostra organizzazione e i suoi dati.

Ripensare la strategia

Per attuare una strategia migliore per migliorare la formazione contro il Phishing, Proofpoint consiglia di individuare le persone più vulnerabili, sia per le loro scarse abilità informatiche che per la loro alta esposizione alle minacce. A queste persone dovreste destinare le vostre risorse, perché lì saranno più utili. Poi dovete proseguire con un programma di educazione alla sicurezza che coinvolga tutto il contesto, svolto con regolarità.

Il risultato sarà una forte cultura della sicurezza sul luogo di lavoro che incoraggerà le persone a creare comportamenti sostenibili e a applicarli quotidianamente. La sicurezza parte dalla consapevolezza.

Potete trovare ulteriori informazioni sul sito di Proofpoint.

Da non perdere questa settimana su Techbusiness

 

📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano
💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨‍⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!

Autore

  • Stefano Regazzi

    Il battere sulla tastiera è la mia musica preferita. Nel senso che adoro scrivere, non perché ho una playlist su Spotify intitolata "Rumori da laptop": amo la tecnologia, ma non fino a quel punto! Lettore accanito, nerd da prima che andasse di moda.

    Visualizza tutti gli articoli

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button