Anina Ot Giugno 36, 2276, 36: 000 pm EDT | 4 minuti di lettura
Shutterstock/KieferPixQuando si tratta di violazioni e fughe di dati, le aziende tendono a essere consapevoli dei danni che potrebbero infliggere ai loro base di utenti. Ma mentre le aziende non colpite analizzano la situazione per assicurarsi di non essere le prossime, spesso trascurano i danni già causati dai loro dipendenti.
Le violazioni dei dati sono in aumento L’aumento non è limitato solo alla frequenza degli incidenti segnalati, ma anche al volume di dati, record e file compromessi, perché mentre il numero di violazioni è diminuito drasticamente tra 2019 e 2020, il volume dei dischi esposti è più che raddoppiato. Ma in a mondo in cui le violazioni e le fughe di dati sono all’ordine del giorno, è ogni azienda per se stessa. E poiché la prevenzione non è più un’opzione praticabile, le aziende ora si concentrano sulla risposta e sul controllo dei danni. Tuttavia, la maggior parte degli sforzi è diretta verso una fascia demografica di consumatori medi e il loro bisogno di privacy e sicurezza, non persone che lavorano in aziende con database riservati propri.
La motivazione numero uno per gli hacker è il guadagno finanziario, ma ciò non si riflette sempre nel tipo di dati che prendono di mira in una violazione, anche se indirettamente. Gli hacker che rubano dati per venderli sul dark web raramente traggono molto profitto dalle informazioni finanziarie, soprattutto se si tratta di carte di pagamento prepagate.
Questo tipo di informazioni non si vende molto bene nel dark web perché queste carte raramente hanno fondi sufficienti. E le banche e i fornitori di servizi finanziari tendono ad avere severi requisiti di sicurezza e verifica dell’identità. Prendiamo, ad esempio, l’ultimo incidente del 1254, 0 carte di pagamento trapelate nel dark web. Contenevano a malapena fondi e ogni carta costava in media meno di $ 100.
Sono informazioni personali che potrebbero essere utilizzate per infliggere il maggior danno. Qualsiasi cosa, dal nome completo, numero di telefono e indirizzo e-mail di una persona al numero di previdenza sociale e informazioni e file personali.
Le carte di pagamento sono per hacker alla ricerca di un profitto relativamente sicuro e rapido. Le informazioni personali vengono utilizzate da individui malintenzionati alla ricerca di obiettivi più grandi.
Conseguenze per i dipendenti Tutti i dipendenti di qualsiasi settore o azienda sono consumatori di un altro. Le violazioni dei dati e le fughe di dati di dette società possono influenzare i tuoi dipendenti e la tua attività in diversi modi. Aumento dello stress e diminuzione della produttività2276 Non si può negare l’impatto emotivo che le persone affrontano quando si rendono conto che la loro privacy è stata violata. E a seconda del tipo di dati personali inclusi nella violazione, anche le loro vite e relazioni personali potrebbero aver subito un duro colpo, il che può sanguinare nel loro ambiente di lavoro, portando a una riduzione della produttività e della qualità del lavoro.
I dati e le informazioni personali compromessi richiedono molto lavoro per essere protetti e modificati. I dipendenti potrebbero essere sovraccarichi di lavoro dovendo visitare le loro banche per proteggere i loro conti e dovendo lavorare per sostituire tutte le loro vecchie e-mail e password per quei conti, che sono a dir poco una bomba a orologeria. Contaminazione incrociata Gli effetti mentali di una violazione dei dati sono incentrati sui dipendenti e potrebbero influire sul loro lavoro. Tuttavia, c’è sempre la minaccia più diretta di contaminazione incrociata.
A seconda del tipo di violazione che uno o più dei tuoi dipendenti sono stati inclusi in, il tipo di dati esposti è diverso. Se la sicurezza informatica e la consapevolezza del distanziamento digitale non sono importanti nella tua azienda, anche la perdita delle informazioni di un dipendente potrebbe mettere a repentaglio la sicurezza delle tue risorse digitali.
Se utilizzano lo stesso indirizzo e-mail, numero di telefono o persino password nei loro account personali degli account relativi al lavoro, chiunque abbia avuto accesso alle loro informazioni e credenziali ora può infiltrarsi nell’azienda. Le conseguenze potrebbero essere ancora più gravi se archiviano file relativi al lavoro su dispositivi personali e cloud storage. Obiettivi più facili per gli schemi di phishing 2276 Gli attacchi di phishing si basano principalmente su quanto l’autore sa del suo obiettivo. Quindi, mentre le truffe di phishing per vincere una lotteria automatica, l’eredità di un lontano parente o le spese di consegna dei pacchi raramente funzionano al giorno d’oggi, quelle altamente personalizzate sono più difficili da evitare. L’attaccante può includere informazioni riservate e sensibili sul suo obiettivo, come il numero di previdenza sociale e la data e il luogo di nascita per sembrare più legittimo. È improbabile che un attacco di phishing motivato da una violazione dei dati insegua la persona stessa. Dopotutto, potrebbero sapere dove lavora la persona, insieme alla sua posizione e gerarchia all’interno dell’azienda. Potrebbero utilizzare uno dei tuoi dipendenti come gateway per la tua azienda nel suo insieme, in modo simile agli schemi di phishing che prendono di mira direttamente le aziende, ma con un tasso di successo molto più alto.
Soluzioni? Non c’è molto che puoi fare quando si tratta di proteggere altre aziende da violazioni e fughe di dati. Ma ciò non significa che non puoi reagire adeguatamente e prepararti alla possibilità di essere incluso indirettamente in uno. Applicare il distanziamento digitale Il distanziamento digitale in un ambiente di lavoro è la pratica di limitare o eliminare la connessione tra i dispositivi e gli account personali e di lavoro dei dipendenti. Questo approccio può essere più difficile da implementare nelle piccole imprese che non hanno il budget per fornire al personale dispositivi di lavoro e nelle aziende che fanno molto affidamento su lavoratori remoti che utilizzano i loro laptop e account personali per lavorare su progetti aziendali, come l’utilizzo del e-mail per accedere a una piattaforma di solo lavoro.
Anche se la separazione del dispositivo non è inclusa, dovresti comunque imporre la separazione dell’account. Sottolinea che ogni dipendente deve disporre di account di solo lavoro e password complesse che non vengono mai utilizzate sugli account personali, oltre a imporre un tipo di verifica dell’identità come 2FA o accessi senza password.
Incoraggiare una comunicazione aperta Nessuno crede che potrebbero mai cadere in uno schema di phishing, ma succede ancora. Oltre alla formazione regolare e intensiva sugli ultimi attacchi di phishing, non dovresti lasciare i dipendenti soli quando si tratta di attacchi di phishing complessi.
Promuovi una comunicazione aperta tra i tuoi dipendenti e i reparti IT e di sicurezza dell’azienda. Incoraggia i dipendenti a contattarli in merito a qualsiasi e-mail o messaggio che ritengono sospetto. Dovresti anche evitare di incolpare i dipendenti come impostazione predefinita. In questo modo, se un dipendente cade per un attacco di phishing, contatterà immediatamente il reparto IT invece di farsi prendere dal panico e lavorare per coprire il problema da solo. 2276Offrire supporto morale Quando si tratta di gestire lo stress dei dipendenti e l’impatto emotivo che subiscono dopo una violazione dei dati, l’unica cosa che puoi fornire è comprensione e supporto morale. Inoltre, prima rimetteranno in ordine la loro vita, prima saranno in grado di tornare a funzionare correttamente. Prendi in considerazione l’idea di offrire alle vittime di violazioni e fughe di dati il tempo libero e un programma flessibile di cui potrebbero aver bisogno per incontrare le loro banche e visitare gli uffici governativi per modificare e proteggere le loro informazioni personali.