Video: La gestione della sicurezza e del rischio informatico nelle PA - Pietro Marchionni (Settembre 2024)
Quando gli hacker attaccano, le risorse umane (HR) sono uno dei primi posti in cui colpiscono. Le risorse umane sono un obiettivo popolare a causa dell'accesso del personale delle risorse umane ai dati commercializzabili sul Web oscuro, inclusi nomi, date di nascita, indirizzi, numeri di previdenza sociale e moduli W2 dei dipendenti. Per mettere le mani su quel tipo di informazioni, gli hacker usano di tutto, dal phishing alla posa come dirigenti aziendali che chiedono documenti interni, una forma di phishing che alcuni chiamano "caccia alle balene", allo sfruttamento delle vulnerabilità nel servizio di gestione stipendi basato su cloud e servizi tecnologici delle risorse umane.
Per reagire, le aziende devono seguire protocolli informatici sicuri. Ciò include la formazione di risorse umane e altri dipendenti affinché siano in guardia dalle truffe, adottando pratiche che proteggono i dati e controllando i fornitori di tecnologia delle risorse umane basata sul cloud. In un futuro non troppo lontano, anche la biometria e l'intelligenza artificiale (AI) possono essere d'aiuto.
Gli attacchi informatici non stanno andando via; semmai peggiorano. Le aziende di tutte le dimensioni sono sensibili agli attacchi informatici. Le piccole imprese, tuttavia, potrebbero essere maggiormente a rischio perché generalmente hanno meno persone nello staff il cui unico compito è tenere d'occhio il crimine informatico. Le organizzazioni più grandi potrebbero essere in grado di assorbire i costi associati a un attacco, compreso il pagamento di rapporti di credito per un paio di anni per i dipendenti le cui identità sono state rubate. Per le piccole imprese, le conseguenze del furto digitale potrebbero essere devastanti.
Non è difficile trovare esempi di violazioni dei dati sulle risorse umane. A maggio, gli hacker hanno utilizzato l'ingegneria sociale e le cattive pratiche di sicurezza presso i clienti ADP per rubare i numeri di previdenza sociale dei loro dipendenti e altri dati del personale. Nel 2014, gli hacker hanno sfruttato le credenziali di accesso a un numero indeterminato di clienti della suite di gestione stipendi e gestione delle risorse umane UltiPro di Ultimate Software per rubare i dati dei dipendenti e presentare dichiarazioni fiscali fraudolente, secondo Krebs on Security.
Negli ultimi mesi, i dipartimenti delle risorse umane di numerose società sono stati oggetto di truffe contro la caccia alle balene del W-2. In diversi casi ben segnalati, il reparto buste paga e altri dipendenti hanno fornito agli hacker informazioni fiscali sul W-2 dopo aver ricevuto una lettera di parodia che sembrava una richiesta legittima di documenti da un dirigente dell'azienda. A marzo, Seagate Technology ha dichiarato di aver inavvertitamente condiviso informazioni sul modulo fiscale W-2 per "diverse migliaia" di dipendenti attuali ed ex attraverso un simile attacco. Un mese prima, SnapChat aveva affermato che un dipendente del suo reparto paghe aveva condiviso i dati sui salari per "un numero" di impiegati attuali ed ex con uno scammer che si presentava come CEO Evan Spiegel. Weight Wallers International, PerkinElmer Inc., Bill Casper Golf e Sprouts Farmers Market Inc. sono stati anch'essi vittime di simili stratagemmi, secondo il Wall Street Journal.
Addestrare i dipendenti
Rendere consapevoli i dipendenti di potenziali pericoli è la prima linea di difesa. Formare i dipendenti affinché riconoscano gli elementi che verrebbero o meno inclusi nelle e-mail dei dirigenti dell'azienda, come il modo in cui in genere firmano il loro nome. Presta attenzione a ciò che l'email richiede. Non c'è motivo per un CFO di chiedere dati finanziari, ad esempio, perché è probabile che ce l'abbiano già.
Un ricercatore della conferenza sulla sicurezza informatica di Black Hat a Las Vegas di questa settimana ha suggerito che le aziende dicono ai loro dipendenti di essere sospettosi di tutte le e-mail, anche se conoscono il mittente o se il messaggio soddisfa le loro aspettative. Lo stesso ricercatore ha ammesso che la formazione sulla consapevolezza del phishing può ritorcersi contro se i dipendenti impiegano così tanto tempo a verificare che i singoli messaggi e-mail siano legittimi e che diminuiscano la loro produttività.
La formazione sulla consapevolezza può essere efficace, se il lavoro svolto dalla società di formazione sulla sicurezza informatica KnowBe4 è indicativo. Nel corso di un anno, KnowBe4 ha inviato e-mail simulate di attacco di phishing a 300.000 dipendenti di 300 società clienti su base regolare; hanno fatto questo per addestrarli su come individuare le bandiere rosse che potrebbero segnalare un problema. Prima della formazione, il 16 percento dei dipendenti ha fatto clic sui collegamenti nelle e-mail di phishing simulate. Solo 12 mesi dopo, quel numero è sceso all'1%, secondo il fondatore e CEO di KnowBe4 Stu Sjouwerman.
Archivia i dati nel cloud
Un altro modo per eseguire un end-run intorno agli attacchi di phishing o di caccia alle balene consiste nel mantenere le informazioni dell'azienda in forma crittografata nel cloud anziché in documenti o cartelle su desktop o laptop. Se i documenti sono nel cloud, anche se un dipendente si innamora di una richiesta di phishing, invierebbe solo un collegamento a un file a cui un hacker non sarebbe in grado di accedere (perché non avrebbe le informazioni aggiuntive di cui aveva bisogno aprilo o decodificalo). OneLogin, una società di San Francisco che vende sistemi di gestione delle identità, ha vietato l'utilizzo di file nel suo ufficio, un'impresa di cui Thomas Pedersen, CEO di OneLogin, ha scritto un blog.
"È per motivi di sicurezza e produttività", ha affermato David Meyer, cofondatore di OneLogin e vicepresidente dello sviluppo prodotto. "Se il laptop di un dipendente viene rubato, non importa perché non c'è nulla."
Meyer consiglia alle aziende di controllare le piattaforme tecnologiche delle risorse umane che stanno prendendo in considerazione per comprendere quali protocolli di sicurezza offrono i fornitori. ADP non commenterebbe le recenti irruzioni che hanno colpito i suoi clienti. Tuttavia, un portavoce di ADP ha affermato che la società fornisce istruzione, formazione alla sensibilizzazione e informazioni a clienti e consumatori sulle migliori pratiche per prevenire problemi comuni di cibersicurezza, come phishing e malware. Un portavoce di un gruppo di monitoraggio dei crimini finanziari di ADP e gruppi di supporto alla clientela avvisano i clienti quando l'azienda rileva frodi o tentativi di accesso fraudolento, secondo il portavoce. Ultimate Software ha anche messo in atto simili precauzioni dopo gli attacchi agli utenti UltiPro nel 2014, tra cui l'istituzione dell'autenticazione a più fattori per i suoi clienti, secondo Krebs on Security.
A seconda di dove si trova la tua attività, potresti avere l'obbligo legale di segnalare le irruzioni digitali alle autorità competenti. In California, ad esempio, le aziende hanno l'obbligo di denunciare il furto di oltre 500 nomi di dipendenti. È una buona idea consultare un avvocato per scoprire quali sono i tuoi doveri, secondo Sjouwerman.
"Esiste un concetto legale che richiede che tu prenda misure ragionevoli per proteggere il tuo ambiente e, in caso contrario, sei essenzialmente responsabile", ha detto.
Utilizzare il software di gestione delle identità
Le aziende possono proteggere i sistemi delle risorse umane utilizzando il software di gestione delle identità per controllare gli accessi e le password. Pensa ai sistemi di gestione delle identità come gestori di password per l'impresa. Invece di fare affidamento sul personale e sui dipendenti delle risorse umane per ricordare e proteggere nomi utente e password per ogni piattaforma che utilizzano per buste paga, benefit, reclutamento, pianificazione, ecc., Possono utilizzare un unico accesso per accedere a tutto. Mettere tutto sotto un unico accesso può rendere più semplice per i dipendenti che potrebbero dimenticare le password dei sistemi HR a cui accedono solo poche volte all'anno (rendendoli più propensi a scriverli da qualche parte o archiviarli online dove potrebbero essere rubati).
Le aziende possono utilizzare un sistema di gestione dell'identificazione per impostare l'identificazione a due fattori per gli amministratori del sistema delle risorse umane o utilizzare il geofencing per limitare gli accessi in modo che gli amministratori possano accedere solo da una determinata posizione, come l'ufficio.
"Tutti questi livelli di tolleranza al rischio di sicurezza per persone diverse e ruoli diversi non sono caratteristiche dei sistemi HR", ha affermato Meyer di OneLogin.
I fornitori di tecnologia delle risorse umane e le aziende di sicurezza informatica stanno lavorando ad altre tecniche per prevenire gli attacchi informatici. Alla fine, un numero maggiore di dipendenti accederà alle risorse umane e ad altri sistemi di lavoro utilizzando la biometria come le impronte digitali o le scansioni della retina, che sono più difficili da decifrare per gli hacker. In futuro, le piattaforme di sicurezza informatica potrebbero includere l'apprendimento automatico che consente al software di addestrarsi per rilevare software dannoso e altre attività sospette su computer o reti, secondo una presentazione alla conferenza di Black Hat.
Fino a quando tali opzioni non saranno più ampiamente disponibili, i dipartimenti risorse umane dovranno fare affidamento sulla propria consapevolezza, formazione dei dipendenti, misure di sicurezza disponibili e fornitori di tecnologia delle risorse umane con cui collaborano per evitare problemi.
