Il report “Beyond the Phish” analizza la conoscenza dell’utente finale in materia di sicurezza informatica

Share with your network!

Siamo lieti di annunciare il lancio del report Beyond the Phish 2019, la nostra quarta analisi annuale sul livello di conoscenza in materia di sicurezza informatica degli utenti finali dei nostri clienti. Il report di quest’anno presenta un’analisi dei dati relativi a circa 130 milioni di domande sulla sicurezza informatica e offre una visione dettagliata del livello di conoscenza dei dipendenti in 14 categorie, in 16 settori e in oltre 20 tipologie di dipartimenti comunemente utilizzate.

I principali risultati di questo studio sulla formazione di sensibilizzazione alla sicurezza includono quanto segue:

  • In generale, a una domanda su quattro nelle categorie “Identificazione delle minacce di phishing” e “Protezione dei dati in tutto il loro ciclo di vita” è stata data una risposta errata.
  • Quello della comunicazione è risultato il dipartimento con i migliori risultati, poiché gli utenti finali hanno risposto correttamente all’84% delle domande.
  • Il settore con i migliori risultati è stato quello della Finanza, poiché gli utenti finali hanno risposto correttamente all’80% delle domande.
  • Servizio clienti, Strutture e Sicurezza sono stati tra i dipartimenti peggiori, poiché gli utenti finali hanno risposto in modo errato a una media del 25% di domande sulla sicurezza informatica.[1]
  • Gli utenti finali nei settori della Formazione e Trasporti sono quelli che hanno incontrato le maggiori difficoltà, rispondendo in modo errato al 24% delle domande in tutte le categorie.
  • Gli utenti finali nel settore Assicurazioni sono quelli che hanno conseguito risultati migliori in 3 delle 14 categorie analizzate, eccellendo in particolare nella categoria “Evitare gli attacchi di ransomware”.
  • I dipendenti del settore Alberghiero hanno ottenuto il punteggio più basso in 3 categorie, tra cui “Rischi per la sicurezza fisica”, nella quale hanno risposto in modo errato al 22% delle domande.

Perché andare “oltre il phishing”

Il phishing rimane una delle principali preoccupazioni per le aziende in tutto il mondo. Come abbiamo indicato nel nostro report State of the Phish 2019, l’83% delle aziende globali ha subito attacchi di phishing nel 2018, sottolineando l’urgenza di educare gli utenti finali.

Tuttavia, gli attacchi via email non sono l'unica fonte di rischio per l'utente finale di un'azienda. Per esempio:

  • Comportamenti poco attenti sui social media possono rivelare dettagli importanti che i criminali informatici possono sfruttare per creare e lanciare una varietà di attacchi social mirati e plausibili, tra cui phishing, vishing (phishing vocale), smishing (SMS/phishing di testo) e campagne di violazione delle email aziendali (BEC).
  • Procedure per la gestione dei dati e la sicurezza fisica poco attente possono portare a violazioni e perdita o furto di informazioni riservate o proprietarie.
  • Cattive abitudini in materia di password possono portare a violazioni delle credenziali e fornire agli aggressori accesso ai sistemi e ai dati dell'azienda.
  • La mancanza di consapevolezza può trasformare i dipendenti in minacce interne non intenzionali.

Molte aziende fanno affidamento su attacchi di phishing simulati e/o esercizi formativi insoliti per valutare le vulnerabilità degli utenti finali e insegnare buone pratiche per la sicurezza informatica. I criminali informatici hanno ampliato il loro approccio agli attacchi verso l’utente finale, per cui un’attenzione limitata a certi componenti di protezione attiva non è sufficiente per preparare correttamente gli utenti a identificare le minacce e modificare i comportamenti che possono compromettere la sicurezza al lavoro e nelle loro vite personali.

“Le aziende devono essere costanti e accurate nei loro programmi di formazione di sensibilizzazione alla sicurezza, considerando i comportamenti degli utenti finali che influenzano e influiscono sui comportamenti di sicurezza complessivi. Questo report annuale reitera la necessità di andare oltre l’utilizzo dei test di phishing per valutare la vulnerabilità dell’utente finale e la conoscenza delle minacce informatiche”, ha affermato Amy Baker, vice presidente Security Awareness Training Strategy and Development di Proofpoint.

“È importante ricordare che non tutti gli incidenti di sicurezza derivano da un attacco; molti problemi scaturiscono da una conoscenza limitata e da procedure di sicurezza mediocri. La nostra ricerca ha mostrato un aumento significativo dei comportamenti sicuri quando le aziende adottano un approccio costante e ben gestito alla formazione per tutti gli argomenti informatici”.

Scarica una copia del report

Aziende di tutto il mondo si affidano a Proofpoint per educare i propri dipendenti sulle più recenti minacce informatiche e migliori procedure. Una formazione efficace è fondamentale poiché i criminali informatici non attaccano più le infrastrutture ma prendono di mira i singoli individui, rendendo essenziale un approccio alla sicurezza incentrato sulle persone.

Per scaricare il report Beyond the Phish 2019, e consultare un elenco completo di paragoni tra categorie, dipartimenti e settori, visita: Beyond the Phish 2019. Per maggiori informazioni sui risultati, iscriviti al nostro webinar SecureWorld del 28 agosto, “Beyond the Phish: A Snapshot of End-User Behavior.” (Oltre il phishing: una fotografia del comportamento dell’utente finale) Il contenuto sarà accessibile sia in modalità live che on demand e saranno disponibili anche crediti CPE.

 

[1] Definizione dei dipartimenti come indicata da coloro che hanno risposto. Per esempio, il dipartimento della sicurezza potrebbe includere sia la sicurezza fisica che la sicurezza informatica.