Gli attacchi informatici non avvengono nel vuoto. Un recente studio dimostra che il modo migliore per combattere uno schema di phishing è affrontare lo stress dei dipendenti.
È ormai assodato che, in materia di sicurezza informatica, molte delle vulnerabilità di un’organizzazione sono da ricercare nei suoi dipendenti. Che sia perché non sono stati addestrati a identificare le minacce o perché semplicemente non hanno prestato attenzione, l’errore dei dipendenti è responsabile di uno schiacciante 88% delle violazioni.
Un recente studio psicologico ha analizzato più a fondo il motivo di questo fenomeno, scoprendo che lo stress è uno dei fattori principali. Lo studio, condotto presso il Pacific Northwest National Laboratory del Dipartimento dell’Energia degli Stati Uniti, ha rilevato che i dipendenti che riferivano un alto livello di stress legato al lavoro avevano molte più probabilità di cadere in un’e-mail di phishing simulata.
Ai dipendenti è stato chiesto di auto-segnalare i propri livelli di stress, in particolare la sensazione di tensione quando si trovano in una situazione difficile e non riescono a gestire efficacemente il proprio carico di lavoro. I ricercatori hanno scoperto che ogni aumento di un punto del livello di stress auto-riferito aumenta del 15% la probabilità di rispondere a un tentativo di phishing simulato.
Tra i link di phishing più efficaci cliccati dai dipendenti:
“Questa politica entrerà in vigore tre giorni dopo la ricezione di questo avviso… accettate immediatamente i cambiamenti” (49%)
“… si attenga a questa modifica del codice di abbigliamento o potrà essere soggetto a provvedimenti disciplinari” (47%), e
“Secondo l’Ufficio del Consiglio generale…” (38%).
La chiave per ridurre questi rischi, suggeriscono i ricercatori, è aiutare i dipendenti a riconoscere quando si sentono più stressati, in modo che possano diventare più consapevoli e cauti durante i periodi di vulnerabilità. Potrebbero essere utili gli avvisi automatici, simili a quelli delle automobili che percepiscono la stanchezza del conducente e consigliano una pausa. Ma una strategia più semplice potrebbe essere quella di far controllare regolarmente ai capi team il benessere dei dipendenti, prima che lo stress o la stanchezza si traducano in una costosa violazione.