Madrid, 30 ottobre 2023.-. Secondo un recente studio di Deloitte, i dipendenti sono responsabili del 63% degli incidenti di sicurezza interna. Pertanto, oltre a investire nella tecnologia, è fondamentale che le aziende si concentrino sulla sensibilizzazione e sulla responsabilizzazione dei propri collaboratori, poiché rappresentano il punto più vulnerabile agli attacchi informatici.
Fanny Pérez Santiago, Direttore corporatvo di Sicurezza dell’informazione e Rischi Tecnologici del Gruppo Codere, osserva che “Codere è costantemente esposta a rischi in materia di sicurezza informatica, come tutte le aziende. Ciò richiede che sia i dipendenti che i sistemi siano aggiornati. Per affrontare questa situazione, manteniamo un approccio preventivo e di miglioramento continuo che rafforziamo attraverso diverse iniziative e attraverso un piano di sensibilizzazione alla sicurezza informatica”.
Con il recente sviluppo del telelavoro, gli attacchi informatici sono diventati più sofisticati e vengono condotti da reti organizzate che sfidano costantemente le strategie, le tecnologie e le barriere delle aziende.
I criminali informatici ora utilizzano diverse tattiche di ingegneria sociale per ottenere informazioni sensibili. Una di queste è il phishing, che consiste nell’invio di e-mail o messaggi di testo che sembrano legittimi, ma che in realtà contengono collegamenti dannosi o richiedono informazioni sensibili Un’altra è il pretexting, che cerca di usurpare l’identità di una persona fidata per ottenere informazioni riservate. A volte la frode assume la forma di phishing, in cui l’aggressore si finge un dipendente dell’azienda o un fornitore di servizi per ottenere l’accesso ai sistemi dell’organizzazione, come la nota Frode del CEO.
Inoltre, sono emerse nuove modalità di truffa, come QRLjacking e QRishing, che dirottano account di messaggistica istantanea per sostituire l’identità delle persone, con l’intento di richiedere pagamenti non autorizzati e rubare informazioni sensibili. Vengono eseguite tramite un codice QR che, una volta scansionato, reindirizza a siti falsi dove vengono custodite le informazioni sensibili degli utenti (principalmente dati personali e bancari).
Tutte queste forme di attacco possono compromettere la sicurezza dei dati o la disponibilità di servizi critici. Per evitare di essere vittime, l’educazione e la consapevolezza dei dipendenti sono cruciali. Dobbiamo sapere identificarli e applicare una serie di consigli come:
- Non fidarsi delle email inaspettate.
- Non leggere i codici QR che arrivano via posta o che si vedono per strada.
- Prestare attenzione agli URL a cui desideri reindirizzarci.
- Controllare l’ortografia e il mittente delle e-mail ricevute.
- Evitare di fornire informazioni personali attraverso moduli o richieste di accesso.
La gestione del cambiamento è essenziale nell’incorporazione di nuove tecnologie, come nel caso dell’implementazione di Okta come MFA per proteggere le identità dagli attacchi di phishing; Netskope, per proteggere la navigazione; o EDR, per rafforzare la tutela dei posti di lavoro.
Fanny Pérez spiega che “Grazie al supporto dell’alta direzione e di tutti i partner, possiamo continuare a migliorare il livello di maturità della sicurezza informatica. Il nostro obiettivo va oltre l’imposizione di una serie di misure, l’implementazione di nuove soluzioni o processi che minimizzino i rischi. Abbiamo la sfida di consolidare una cultura di sensibilizzazione interna che renda i dipendenti una barriera insormontabile di protezione”.
Formazione per la prevenzione
La formazione sulla cybersecurity è inclusa fin dal processo di inserimento di nuovi dipendenti, oltre ad essere rafforzata periodicamente durante l’anno attraverso diverse iniziative (comunicazione, esercitazioni, casi d’uso, ecc.).
Le ultime campagne di phishing sviluppate nel 2023 mostrano una diminuzione dei dipendenti che espongono le proprie credenziali (il Messico ha registrato una crescita e ci sono altre unità come Colombia e Italia che rimangono sopra la media sia nella compromissione delle credenziali che nell’accesso a un collegamento apparentemente dannoso – (Vedi grafici in fondo) fondo). Questo ci spinge a continuare a dare importanza alla sensibilizzazione e alla formazione dei nostri dipendenti.
In vista dell’ultimo trimestre del 2023, l’azienda promuove una nuova fase di formazione relativa all’aggiornamento di questa materia per l’America Latina (Argentina, Colombia, Panama e Uruguay) con circa 5.000 collaboratori, che avranno accesso online attraverso la piattaforma Codere Personas Digital (CPD). Il team di Codere Online (Spagna e Israele) aggiornerà questi contenuti anche attraverso altre piattaforme fino a quando non saranno progressivamente incorporati in CPD.
La nuova formazione riguarderà temi di grande rilevanza nei seguenti blocchi tematici: Introduzione alla sicurezza informatica; Sicurezza delle password; Ingegneria sociale e malware; Sicurezza sul posto di lavoro; Sicurezza nell’utilizzo di dispositivi rimovibili; Utilizzo di dispositivi mobili e wifi.
Per José Manuel León Alegría, responsabile della formazione aziendale dell’area Persone, “La formazione è progettata per aiutare i dipendenti a proteggere le informazioni che creano, utilizzano o gestiscono nella loro attività quotidiana; che si tratti di dati personali o corporativi, consapevoli che la sicurezza delle informazioni inizia da ognuno di noi.”
Con queste azioni, Codere non solo rispetta le certificazioni di sicurezza informatica, ma rafforza anche la responsabilità individuale dei suoi collaboratori nella protezione delle informazioni. L’obiettivo finale è raggiungere il 100% dei collaboratori del gruppo e sviluppare una solida cultura interna della sicurezza informatica.
Ll’azienda continuerà a migliorare la sua maturità nella sicurezza informatica attraverso processi, tecnologia e formazione, per una sicurezza informatica olistica.