Sicurezza Informatica e Vacanze

21/07/2025 | Blog

Durante il periodo delle vacanze estive c’è chi, invece di andare in vacanza, ne approfitta per acuire ancor più la propria azione malevola. Stiamo parlando dei cyber criminali che, ingolositi dalla ridotta presenza del personale in azienda e dall’attenzione diminuita alla sicurezza, possono rendere le aziende particolarmente vulnerabili durante il periodo estivo agli attacchi di ingegneria sociale.

Per mantenere un adeguato livello di Sicurezza Informatica dobbiamo considerare due aspetti: vulnerabilità tecnologiche e vulnerabilità umane.

1) Vulnerabilità Tecnologiche

Per mantenere sicura la rete aziendale dal punto di vista tecnologico, è necessario adottare sempre le seguenti misure precauzionali, ma in special modo consigliamo un check approfonditoogniqualvolta si va incontro a un periodo (anche di pochi giorni) di chiusura dell’azienda o di un sensibile calo del personale presente al lavoro:

  • BACKUP Assicurati che siano stati fatti backup completi di tutti i dati all’ultimo giorno di operatività. Spesso le aziende sono dotate di un servizio automatico di backup fornito dai responsabili della componente ICT, ma non darlo per scontato e poni la domanda a un responsabile. Nel dubbio, puoi sempre fare una copia fisica su un dispositivo di archiviazione, con attivo un codice di criptaggio e da conservare con cura e sottochiave.
  • AGGIORNAMENTI

Controlla di aggiornare tutti i dispositivi, software e applicazioni con gli ultimi aggiornamenti disponibili al giorno precedente la chiusura o l’assenza per ferie, avvalendoti della protezione delle ultime patch di sicurezza in risposta alle minacce note.

  • SPEGNI TUTTO

Ogni computer e dispositivo IoT non in uso per più giorni dovrebbe essere sempre spento, poiché in questo modo si evita la possibilità di sfruttarli come “porte di ingresso” per gli hacker.

  • UTILIZZO DELLE RETI

Ogni dipendente e operatore informatico dell’azienda deve assicurarsi di utilizzare reti wi-fi pubbliche che siano protette da Password e attraverso dispositivi dotati di servizi di sicurezza come: Antivirus, Firewall, Antimalware e VPN.

2) Vulnerabilità Umane

Torniamo ora a parlare dell’ingegneria sociale, in inglese Social Engineering.

Si tratta della tattica con la quale i criminali informatici fanno leva sulle vulnerabilità psicologiche delle persone per costruire letteralmente delle vulnerabilità informatiche. Gli hacker, infatti, sono soliti sfruttare queste circostanze per manipolare i dipendenti e per ottenere accesso a informazioni riservate o privilegi di accesso alla rete aziendale.

Il Social Engineering è una tecnica molto efficace e sempre in evoluzione, utilizzata dai criminali informatici per indurre le persone a divulgare informazioni riservate o a compiere azioni che compromettano la sicurezza, approfittando delle reazioni emotive a stimoli psicologici di vario genere.

Questi attacchi diretti alle risorse umane dell’azienda (le persone appunto) sono forme di Phishing che si possono manifestare con diverse caratteristiche.

Principali attacchi di Social Engineering durante il Periodo Estivo

Innanzitutto, vale sempre la pena ricordare che il Social Engineering è la tattica con la quale i criminali informatici fanno leva sulle vulnerabilità psicologiche del personale, per giungere a vulnerabilità informatiche della rete dell’azienda. Questo può avvenire con particolare insidiosità nel momento in cui tendiamo (giustamente!) a rilassarci di più: le vacanze estive.

Vediamo l’elenco delle tecniche di Social Engineering da cui è necessario difendersi consapevolmente tutto l’anno, ma con qualche suggerimento in più legato alle giornate di ferie:

  • E-mail di Phishing

Gli attaccanti inviano e-mail apparentemente legittime da parte di colleghi o superiori, chiedendo informazioni sensibili o l’esecuzione di trasferimenti di denaro. Durante le vacanze, quando molti dipendenti sono fuori sede, è più facile che le richieste sospette passino inosservate.

  • Telefonate fraudolente (Vishing e Phone Scams)

Gli attaccanti chiamano i dipendenti fingendosi tecnici IT o rappresentanti di aziende partner, chiedendo credenziali di accesso o informazioni sensibili. La ridotta presenza di personale IT rende più difficile verificare la legittimità di queste chiamate.

  • Messaggi di testo ingannevoli (Smishing)

Gli attaccanti inviano messaggi di testo contenenti link a siti web malevoli o richieste di informazioni sensibili. I dipendenti, in vacanza e meno attenti, possono cadere più facilmente in queste trappole.

  • Phishing “faccia a faccia”

In alcuni casi, gli attaccanti possono tentare di incontrare fisicamente i dipendenti, ad esempio in eventi sociali aziendali, per ottenere informazioni. Durante le vacanze, i dipendenti potrebbero essere meno in allerta e, quindi, più inclini a condividere informazioni.

 

Come PROTEGGERTI:

 

  • CONSAPEVOLEZZA

Formarsi e formare sempre colleghi e/o dipendenti su come riconoscere tentativi di Ingegneria Sociale. Un metodo molto efficace è quello delle simulazioni di phishing o workshop teorico/pratici che possono aiutare a dare concretezza ai concetti nel momento del bisogno.

  • RISERVATEZZA

In vacanza si è facilmente tentati nel postare foto sui social dei bei momenti vissuti e dei luoghi visitati. Questo, purtroppo, ad occhi indiscreti e malintenzionati rappresenta sempre un grave fattore di vulnerabilità delle proprietà sia fisiche (ufficio e casa incustoditi) e digitali. Perciò consigliamo vivamente di evitare di postare immagini durante la vacanza ma, piuttosto, di farlo al ritorno condividendone i ricordi. Al giorno d’oggi è un atteggiamento che può sembrare bigotto e antisociale, ma solo per chi non è veramente consapevole dei seri rischi ad esso associati.

  • AUTENTICAZIONE A PIÙ FATTORI (MFA)

Uno dei metodi più affidabili per la protezione utilizzando dispositivi da remoto è l’autenticazione a più fattori. Per l’accesso ai sistemi critici riduce il rischio che le credenziali rubate vengano utilizzate con successo. Ahinoi è un metodo ancora troppo poco utilizzato rispetto alla sua grande importanza.

  • RESTRIZIONE DEGLI ACCESSI

Limitare l’accesso ai sistemi che contengono dati sensibili solo al personale essenziale durante le vacanze. Questo riduce drasticamente il numero di potenziali bersagli per gli attaccanti.

  • MONITORAGGIO E RISPOSTA AGLI INCIDENTI

Implementare strumenti di monitoraggio per rilevare attività sospette e rispondere prontamente. Avere un team di risposta agli incidenti disponibile H24 anche durante le vacanze è fondamentale per scongiurare situazioni critiche.

“Le cornici psicologiche influenzano il modo in cui sperimentiamo e interpretiamo una situazione.”  ROBERT DILTS

La scarsa operatività e l’ingegneria sociale sono le vulnerabilità più pericolose per la sicurezza aziendale durante le vacanze estive. Tuttavia, con una preparazione adeguata e l’implementazione di misure di sicurezza appropriate, la tua azienda può ridurre significativamente il rischio di cadere vittima delle potenziali minacce analizzate in questo articolo. La chiave è sempre quella di mantenere alta la consapevolezza, implementare procedure rigorose e utilizzare tecnologie avanzate per proteggere le informazioni e i sistemi critici.

In un sistema sano e consapevole, anche le vacanze estive possono essere solo e soltanto un bellissimo e prezioso momento di ristoro per corpo e psiche.

Articolo a cura di CSS CyberSec Services

Categorie

Archivio

Post recenti

Potrebbero interessarti