Controllo 2 –
I servizi web (social network, cloud computing, posta elettronica, spazio web, etc…) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
Le truffe portate avanti con la social engineering possono essere molto creative e confidano spesso sulle informazioni che l’utente o l’azienda stessa fornisce al pubblico. Il canale dei social e ogni sistema di comunicazione che porta dati e informazioni all’esterno dell’azienda, come anche la posta elettronica, deve essere presidiato e utilizzato da utenti che conoscono bene lo strumento. Il rischio di attacchi ben congeniati di phishing o direttamente la compromissione dell’account e-mail possono portare a incidenti molto gravi che per una piccola impresa rischiano di essere fatali.
La social engineering consiste nell’utilizzo di metodi che hanno come scopo quello di ottenere informazioni personali tramite l’inganno.
Negli ultimi anni, i controlli di sicurezza informatica sono diventati sempre più robusti, spingendo hacker, truffatori e altri criminali a sfruttare non solo le vulnerabilità tecnologiche ma anche quelle umane. Gli esseri umani tendono a fidarsi dei membri dei loro gruppi sociali, rendendoci tutti vulnerabili alle manipolazioni durante queste interazioni. Generalmente, come certamente avrai già sentito dire, siamo l’anello più debole nel contesto della sicurezza informatica.
Molte tecniche di social engineering vengono utilizzate per ingannare e manipolare le persone affinché disattivino o bypassino i controlli tecnici, dando agli attaccanti accesso non autorizzato e inappropriato a sistemi e informazioni preziose. Perché perdere giorni o settimane cercando di hackerare una rete sicura quando basta una piccola ricerca sui social media, seguita da una telefonata o un’email a un dipendente ingenuo per rubare la sua password e ottenere l’accesso?
Controlli correlati
#1 – Inventario dispositivi e software
Controllo 1 - Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale. Non conoscere quali e quanti dispositivi aziendali ci sono in giro e da chi vengono...
#3- Inventario dispositivi e software
Controllo 3 - Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti. Non tutte le informazioni che manipoliamo quotidianamente in azienda hanno la stessa importanza, così i dispositivi informatici utilizzati....
#4- Inventario dispositivi e software
Controllo 4 - È stato nominato un referente per la cybersecurity, che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici. Anche se la nostra impresa non ha l’obbligo di nomina del responsabile...
#6 Protezione da malware
Controllo 6 - Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc...) regolarmente aggiornato. Non esiste una protezione totale (100% sicuri) alle infezioni e agli attacchi di malintenzionati, ma possiamo cercare di...
#15 – Prevenzione e mitigazione
Controllo 15: Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi. L'ultimo controllo chiude il cerchio richiamando il #controllo1, sulla...
Rimani aggiornato
Mentibus Training Academy
Mantieni la tua organizzazione aggiornata e conforme ai principali regolamenti e norme in materia di Cybersecurity e data protection.