L’emergenza Covid-19 ha portato un numero sempre più elevato di persone a lavorare da casa o in smart working. Spetta alle risorse umane ricordare al personale le policy da applicare quando si lavora fuori dall’ufficio, in modo da coordinare le attività dei dipendenti, far sì che abbiano le attrezzature necessarie per lavorare comodamente ed in sicurezza, ed assicurarsi che tutti i dati di contatto siano aggiornati.
C’è tanto da fare per HR: tutto è urgente, tutto è cruciale!
Durante questo periodo intenso e frenetico, immaginatevi di essere un responsabile delle risorse umane che riceve una mail da un dipendente il quale comunica di aver cambiato banca e richiede quindi di aggiornare il suo IBAN. Sai che il giorno di paga sta arrivando, quindi devi risolvere più rapidamente possibile il problema. Cosa fai? Telefoni al dipendente per confermare la richiesta contenuta nella sua e-mail, salvo scoprire che non ha mai fatto la richiesta. Segnali la falsa e-mail alla funzione IT e continua la tua giornata. Solo che purtroppo non va sempre così …
Secondo Agari, fornitore specializzato in soluzioni avanzate di sicurezza e-mail, attacchi di phishing focalizzati sulle buste paga sono in forte aumento. E, nell’attuale periodo tumultuoso, è probabile che vedremo un aumento dei criminali informatici che prendono di mira i dipartimenti HR, per rubare denaro o acquisire informazioni confidenziali.
Che cos’è il phishing e come puoi evitarlo?
Il phishing consiste nell’invitare qualcuno a fare clic su un link dannoso in una e-mail, o rispondere a una richiesta apparentemente legittima, di solito al fine di ottenere informazioni finanziarie o personali. È sempre più popolare tra i criminali informatici, in quanto è molto più facile indurre qualcuno a fornire informazioni confidenziali via e-mail, che cercando di oltrepassare i molteplici livelli di sicurezza che proteggono la maggior parte dei sistemi tecnologici moderni.
Queste e-mail sembrano provenire da un dipendente o da un’organizzazione attendibile, ad esempio il fornitore dei servizi paghe. Oppure, potresti ricevere una email che sembra provenire da un manager della tua organizzazione, con una richiesta urgente di informazioni.
Ecco cinque modi per aiutare te e il tuo team HR ad evitare di cadere in queste truffe:
1. Consapevolezza
Assicurarsi che il personale che gestisce informazioni confidenziali o sensibili conosca le proprie responsabilità in merito alla sicurezza delle informazioni, ma soprattutto i rischi connessi ad una errata gestione. Con il GDPR, le violazioni dei dati personali, anche se involontarie, possono comportare multe significative, per non parlare del rischio reputazionale.
Se non si è fatto training sulla sicurezza dei dati, occorre avviarlo immediatamente e assicurarsi che da ora in poi venga aggiornato regolarmente. Sono sempre di più le informazioni disponibili online per aiutare le aziende a proteggersi dalle minacce informatiche e dalle frodi online – ecco qui quelle messe a disposizione dalla Polizia Postale e delle Comunicazioni.
2. Verificate sempre la provenienza delle e-mail
Se ricevi una e-mail in cui vengono fornite informazioni relative ai dipendenti, verifica sempre che sia valida. Assicurati di controllare l’indirizzo e-mail da cui proviene – alcuni criminali informatici possono ancora essere poco attenti nel mimetizzare le loro e-mail.
Ma sappiamo che le e-mail di phishing possono essere anche molto sofisticate, con indirizzi manipolati con tecniche di ‘spoofing’ e stile di scrittura, con loghi e marchi imitati alla perfezione fino all’ultimo dettaglio. In questo caso, non è mai una perdita di tempo contattare il mittente della e-mail – utilizzando un indirizzo e-mail certo e convalidato in modo indipendente, oppure contattarlo ad un numero di telefono di cui si è certi. Non fare mai clic su Rispondi alle e-mail di phishing, nonostante a volte si sia tentati di farlo per semplicità o urgenza.
Suggerimenti ad HR per proteggersi dalle truffe delle false coordinate bancarie
- Non cambiare mai le coordinate bancarie (IBAN) perché qualcuno lo chiede via e-mail
- Controlla sempre l’indirizzo e-mail da cui proviene la richiesta (alcuni hacker non sono troppo attenti a mimetizzarlo)
- Chiedi sempre una conferma inviando al presunto mittente una e-mail all’indirizzo e-mail di lavoro, non utilizzare mai il bottone di risposta presente nella e-mail. E se hai anche il minimo dubbio, contatta telefonicamente la persona che dovrebbe averti inviato la mail!
- Applica le stesse regole ad ogni richiesta simile riguardante dati bancari o personali
- Utilizza una piattaforma HR e payroll online sicura
3. Segnalate tutto alla funzione IT
Se pensi di essere oggetto di phishing o di altra truffa informatica, informa prontamente il tuo team IT. Loro possono verificare se la e-mail è autentica e, in caso contrario, bloccare il dominio da cui proviene, nonché tenere d’occhio qualsiasi altra attività sospetta in qualche modo connessa. Avvisa il tuo team, altri colleghi in HR o amministrazione e finanza e, se pertinenti, i fornitori esterni come il tuo consulente del lavoro o outsourcer payroll.
Se la truffa sembra provenire da uno dei tuoi partner o da un ente, segnalalo anche a loro. La maggior parte degli enti hanno sezioni sul loro sito web con consigli su cosa fare in questi casi.
4. Gestite e conservate in modo sicuro le informazioni
Se hai bisogno di condividere informazioni confidenziali o sensibili, assicurati che siano protette in ogni punto del loro “viaggio”. I fogli di calcolo sono notoriamente facili da hackerare, anche quando sono protetti da password, quindi non inviare fogli di calcolo (o altri documenti) contenenti informazioni sensibili. Dovresti utilizzare sempre un servizio di crittografia end-to-end per le e-mail e non dovresti archiviare i dati HR su computer portatili non crittografati o su altri dispositivi che potrebbero andare persi o rubati.
5. Utilizzate sistemi HR e payroll sicuri
La condivisione dei dati tramite una piattaforma HR sicura evita di dover inviare informazioni sensibili via e-mail, ancor di più in questo periodo di smart working. La sicurezza di un sistema risorse umane digitale consente di decidere chi può visualizzare e/o modificare diversi tipi di informazioni (come informazioni di contatto, dati bancari o stipendi) e i dati in transito sono sempre protetti da crittografia e altre misure di sicurezza.
Se il self-service è abilitato per i dipendenti, è possibile inviare un messaggio di posta elettronica separato per informarli che possono aggiornare i dettagli direttamente nel sistema. Inoltre, la sicurezza può essere definita per l’accesso di terze parti alla piattaforma HR per, ad esempio, il consulente del lavoro, in modo che possano accedere ai dati rilevanti direttamente nel sistema. Non solo si evita il rischio di condividere informazioni via e-mail, ma anche che i dati non siano aggiornati.
Utilizzare quindi un software di gestione risorse umane ed elaborazione paghe sicuro, diventa fondamentale in questo periodo per assicurarti che il passaggio di informazioni tra dipendenti, manager, HR e consulenti, avvenga in sicurezza e sia tracciato, così che i dati su cui tutti lavorano siano sempre aggiornati e privi di errori.
Scopri come Wospee può aiutarti a gestire e proteggere i tuoi dati HR cliccando qui.
