La minaccia del social engineering

di Tullio Matteo Fanti

22 Settembre 2011 16:30

Gli attacchi di social engineering sono una realtà sempre più concreta per le aziende, con costi correlati da non sottovalutare. Occorre maggiore consapevolezza e misure preventive.

Quasi una azienda su due ritiene di essere stata vittima di social engeninirg, con almeno 25 attacchi negli ultimi due anni e perdite legate agli incidenti quantificate tra i 25 e i 100.000 dollari. Quali gli strumenti di attacco più diffusi oggi grazie al Web 2.0 e agli strumenti mobile, e come difendersi?

Alla domanda cerca di rispondere la ricerca “The Risk of Social Engineering on Information Security“, condotta per mano di Check Point Software Technologies su oltre 850 professionisti dell’IT e della sicurezza.

Tra le fonti più comuni di social engineering, le email di phishing (47%), seguite dai siti di social networking, in grado di sottrarre e diffondere informazioni private o professionali (39%) e dispositivi mobile non sufficientemente protetti (12%).

Tra le motivazioni alla base degli attacchi di ingegneria sociale, il ritorno economico (46%), seguito dall’accesso a informazioni proprietarie (46%), vantaggio concorrenziale (40%) e vendetta (14%). Ben l’86% dei professionisti dell’IT e della sicurezza sono consci o estremamente consci dei rischi associati a tele tipologia di attacco.

In ultima analisi, lo studio individua l’essere umano come l’anello più debole all’interno delle aziende, in quanto può essere raggirato o commettere errori. Tra gli elementi a maggior rischio appaiono di conseguenza i nuovi dipendenti, seguiti dai fornitori (44%), dagli executive assistant (38%), dalle risorse umane (33%), dai leader aziendali (32%) e dal personale IT (23%).

Diventa così importante, al fine di prevenire gli attacchi di social engineering, avviare pratiche di training proattivo dei dipendenti e aumentare la consapevolezza in termini di policy per quanto concerne l’accesso a reti, dati e applicazioni aziendali. Dalla ricerca emerge come il 34% delle aziende non abbia ancora attivato alcuna policy di sicurezza o di training dei dipendenti, sebbene il 19% lo abbia in programma.