Una indagine di Check Point Software evidenzia come i rischi associati al social engineering siano reali. I dipendenti sono la prima linea di difesa.
Non c’è l’Italia tra i Paesi monitorati in questa indagine promossa da Check Point Software, ma i risultati sono sufficienti a far suonare un campanello d’allarme che le nostre imprese non possono ignorare.
I rischi associati al social engineering non sono solo una teoria da studiare sui manuali di sicurezza: sono reali e hanno costi elevati per le aziende che si trovano a fronteggiarli.
Secondo il report, il 48% delle aziende si dichiara già vittima di social engineering e, soprattutto, sostiene di aver subito non meno di 25 attacchi negli ultimi due anni, il cui costo singolo, associato all’interruzione di business, ai danni ai clienti, alla perdita di profitto e di immagine, varia dai 25.000 ai 100.000 dollari.
La consapevolezza del rischio e dei costi ad esso associati è fortunatamente elevata, tanto che l’86% degli interpellati, tutti It professional, ne è conscio.
Si sa che il bersaglio preferito è rappresentato da soggetti che hanno conoscenza o accesso a informazioni confidenziali e si sa che il primo obiettivo di questi attacchi è di natura prettamente economica, seguito dalla possibilità di accedere a informazioni, di guadagnare vantaggio concorrenziali o ancora dalla vendetta.
I rischi di social engineering passano soprattutto dalle email di phishing, considerate tra le tecniche più comuni utilizzate, dai social network o ancora dai dispositivi mobili non protetti in modo adeguato.
Parimenti, i nuovi assunti risultano tra i soggetti a maggior rischio, a causa della loro scarsa familiarità con le policy di sicurezza dell’azienda, seguiti da fornitori, executive assistant, Hr e personale It.
Per tutti, in ogni caso, è importante organizzare attività di training proprio per aumentare la consapevolezza in termini di security.
In effetti, è proprio quest’ultimo il punto cruciale.
Perché sebbene la consapevolezza sia elevata, ancora il 34% delle imprese non ha attivato policy di sicurezza specifiche o training mirati dei propri dipendenti, trascurando il fatto che la prima linea difensiva è rappresentata necessariamente proprio dal personale.