Uno studio Cisco identifica i quattro profili comportamentali dei dipendenti che hanno più probabilità di mettere a rischio i dati aziendali
Secondo una ricerca condotta in Italia da Cisco, i dati aziendali critici sono a rischio poiché le aziende si concentrano sull’applicazione di policy e risorse per la sicurezza IT per la protezione da minacce esterne, come ad esempio i criminali informatici e gli hacker, e non abbastanza sulla minacce che possono provenire dall’interno.
· Un sorprendente 54% dei dipendenti intervistati non è a conoscenza delle recenti violazioni alla sicurezza di alto profilo (come ad esempio Heartbleed)
· Secondo il 61% dei dipendenti la criminalità informatica organizzata è una delle prime tre più grandi minacce alla sicurezza dei dati – mentre il comportamento dei dipendenti è al terzo posto con il 37% seguito dagli hacktivisti con il 45%
· Il 64% ritiene che la propria azienda abbia attuato policy di sicurezza, l’11% che non le abbia attuate e il 25% non ne è a conoscenza
· Il 56% degli intervistati rispetta moderatamente le policy e una persona su 14 elude consapevolmente le policy di sicurezza IT aziendale
· Il 29% ritiene che la sicurezza IT stia soffocando l’innovazione e la collaborazione all’interno dell’azienda, rendendo più difficile fare il proprio loro lavoro
I risultati, elaborati sulla base delle risposte fornite da oltre 1.000 dipendenti di aziende italiane, portano alla luce due temi importanti. Il primo indica come il comportamento dei dipendenti sia il vero e proprio anello debole nella sicurezza informatica e stia diventando una fonte crescente di rischio – più per noncuranza e ignoranza che per malizia. Le aziende infatti tengono talmente all’oscuro i dipendenti su quelle che sono le minacce quotidiane, che gli stessi dipendenti si aspettano che le impostazioni di sicurezza settate dall’azienda si occupino di tutto. Il secondo aspetto indica che un numero crescente di persone ritiene che le policy di sicurezza stiano ostacolando l’innovazione e la collaborazione, e che i costi derivanti dalla perdita di opportunità di business superino quelli legati alla violazione della sicurezza – a tal punto che alcuni dipendenti cercano di eludere le policy.
E’ necessario evolvere le strategie di sicurezza tenendo conto sia dei comportamenti dei dipendenti che delle minacce esterne
La ricerca mostra che vi è un urgente bisogno di evolvere le policy di sicurezza in modo che si continui a fornire la miglior difesa possibile contro gli attacchi provenienti dall’esterno ma che, allo stesso tempo, si tenga conto dei diversi comportamenti dei dipendenti. E’ stato chiesto ai dipendenti di identificare le tre principali fonti di rischio per la sicurezza dei dati: il comportamento dei dipendenti (37%) è al terzo posto della classifica dopo la criminalità informatica organizzata (61%) e gli hacktivisti (45%). Tutti gli intervistati utilizzano la rete della propria azienda per attività personali – tra le più diffuse, il personal banking e lo shopping online (58%), seguiti dai social network (45%) e dai viaggi (36%).
Stefano Volpi, Responsabile della Sicurezza in ambito Enterprise di Cisco, ha dichiarato. “Questo studio conferma quelle che sono le complesse sfide che le aziende devono affrontare in materia di sicurezza IT. Secondo i risultati della ricerca, i dipendenti riconoscono il fatto che le minacce provenienti dai criminali informatici sono reali e che sia necessaria una protezione costante, ma allo stesso tempo rivelano che è proprio la noncuranza dei dipendenti nei confronti della sicurezza IT a far aumentare i rischi per le aziende italiane. Un dipendente che si fida ciecamente è un “anello debole” nella catena della sicurezza. E’ colui che espone l’azienda a rischi maggiori, fornendo agli hacker più intraprendenti maggiori punti di ingresso per il furto dei dati sensibili.
“I risultati indicano anche che le strategie di sicurezza IT in atto al momento non corrispondono con il modo in cui la gente preferisce lavorare. I dipendenti ci stanno dicendo che le policy di sicurezza esistenti devono cambiare in modo che le aziende possano mantenere una cultura innovativa e volta alla collaborazione, proteggendo allo stesso tempo la rete aziendale, i dispositivi e il Cloud da attacchi esterni. Poiché la sicurezza informatica non è solo un rischio strategico, le organizzazioni cercano di renderla un processo di business formale in cui l’organizzazione ha una visione olistica dei rischi e migliora continuamente le procedure di sicurezza informatica. Questa dovrebbe essere una parte fondamentale delle attività quotidiane per proteggere l’azienda da minacce interne e esterne, al fine di garantire che non ci siano anelli deboli derivanti dal comportamento di un dipendente e di agevolare l’agilità, l’innovazione e la crescita del business”.
“Il bilanciamento tra abilitazione e protezione del business richiederà un cambio fondamentale nel modo in cui approcciamo la sicurezza IT. Sarà necessario adattarsi ai comportamenti degli utenti come parte di un approccio favorito dalla visibilità, incentrato sulle minacce e basato su una piattaforma. Le imprese che persistono con l’utilizzo di soluzioni di sicurezza tradizionali saranno esposte a maggiori rischi, poiché tale approccio crea delle brecce nella sicurezza a beneficio degli hacker. Ciò è particolarmente rischioso quando entrano in azienda i nativi digitali che hanno dimestichezza nell’utilizzo della tecnologia IT e dotati di conoscenze e mezzi per bypassare queste policy, come testimoniato da 1 intervistato su 14 che confessa di aggirare le policy di sicurezza IT quando lo ritengono necessario. ”
Presunzione e ignoranza sono all’ordine del giorno
Secondo la maggioranza degli studi sulla sicurezza, la minaccia interna più pericolosa nasce da un senso di noncuranza o troppa presunzione che porta i dipendenti a dare per scontato che l’azienda li protegga quando navigano online. Lo studio rivela che il 35% degli intervistati si aspetta che siano le impostazioni di sicurezza definite dall’azienda a proteggerli da ogni rischio, mentre solo la metà ritiene che sia proprio compito mantenere al sicuro i propri dati personali e quelli dell’azienda. Uno sconcertante 70% degli intervistati è talmente all’oscuro di quelle che sono le possibili minacce da ritenere che il proprio comportamento non metta a rischio la sicurezza dell’azienda.
Questa attitudine può derivare dal fatto che le policy – e le minacce che le determinano – non sono di altro profilo. Mentre il 64% dei dipendenti sa che l’azienda per cui lavora ha implementato delle policy di sicurezza, un quarto (il 25%) non ne è a conoscenza (secondo l’11% l’azienda non ha implementato policy di sicurezza). Un terzo degli intervistati ha dichiarato di non essere disturbato dal fatto che ci siano delle policy poiché non interferiscono con ciò che fanno, mentre il 52% si accorge della presenza di una policy solo nel momento in cui viene fermato dalle impostazioni di sicurezza mentre sta facendo qualcosa. Il 56% degli intervistati invece dichiara di rispettare moderatamente o poco le policy in vigore mentre quasi il doppio ammette di seguire più scrupolosamente le politiche di sicurezza dei dati applicate a casa (il 28%) che a lavoro (il 15%).
Inoltre, un sorprendente 54% degli intervistati non è a conoscenza dei recenti bug di sicurezza di alto profilo come ad esempio Heartbleed. Ne risulta che il 24% degli intervistati non ha cambiato il proprio comportamento nei confronti della sicurezza e il 55% ammette di non avere ancora impostato password differenti per ogni sito e applicazione.
“Una strategia di sicurezza efficace permette a un’azienda di proteggersi prima, durante e dopo un attacco. Un dato preoccupante che emerge della ricerca è che molti dipendenti si sentono talmente sicuri di non poter subire un attacco che non cambiano il loro comportamento ne prendono precauzioni. E questo aspetto deve essere risolto urgentemente” continua Volpi.
Approcci antiquati alla sicurezza ostacolano il flusso lavorativo e frenano l’innovazione
I dipendenti Italiani considerano la sicurezza IT come una barriera piuttosto che un fattore abilitante per il business. La ricerca rivela che un intervistato su sette (il 14%) crede che il focus sulla sicurezza IT freni l’innovazione e la collaborazione e il 15% ritiene che renda più difficile il lavoro. Un intervistato su sei ritiene che i costi legati alla perdita di un’opportunità di business superino quelli associati a una potenziale violazione della sicurezza.
Policy di sicurezza su misura dell’utente
In Italia, la ricerca Cisco ha identificato quattro profili comportamentali che potrebbero rappresentare la base per la creazione di strategie di sicurezze incentrate sull’utente. Ciascun profilo mostra un livello diverso di minaccia alla sicurezza dei dati e richiede un approccio specifico per limitare il rischio pur lasciando le persone libere di lavorare con il massimo dell’efficienza:
· I consapevoli – coloro che conoscono i rischi e che si impegnano per proteggersi adeguatamente
· I ben intenzionati – coloro che cercano di rispettare le policy ma che sono incostanti nella loro applicazione
· I passivi – coloro che si aspettano che sia la società a fornire un ambiente sicuro e quindi non si assumono alcuna responsabilità per la sicurezza dei dati
· [Kaizo Limited A company registered in England and Wales Registered office: 1 Quality Court, Chancery Lane, London, WC2A 1HR Registered Number: 07631425] I cinici annoiati – coloro che credono che la sicurezza informatica sia sopravvalutata e che la sicurezza IT ostacoli le loro prestazioni lavorative. Di conseguenza aggirano le policy.
Lo sviluppo di policy incentrate sull’utente potrebbe far si che, in futuro, i Chief Information Security Officer adottino un’applicazione delle policy di sicurezza gestita centralmente e automatica, abbandonando le procedure tradizionali. Questo trend, favorito dalla mobilità aziendale e dalle mutate aspettative che i dipendenti hanno in fatto di collaborazione e accesso alle informazioni, darà ai manager IT la possibilità di impostare protocolli specifici per l’utente, che agiscono su tutti i dispositivi di ciascun dipendente, dovunque essi siano. Queste politiche di sicurezza “più reattive” dovrebbero permettere alle aziende di essere più agili da una parte e meno esposte ai rischi dall’altra.
“Se da una parte una migliore comunicazione e educazione potrà essere d’aiuto, dall’altra non potrà cambiare questa cultura della noncuranza rilevata da questo studio. I leader dell’IT dovranno definire policy di sicurezza di più facile utilizzo e che soddisfino ciascun profilo comportamentale in modo da ridurre il rischio di violazione nell’azienda”, conclude Volpi. “Se i dipendenti continueranno a credere che la sicurezza IT ostacoli il loro lavoro o a ignorare i pericoli che potrebbero provocare con il loro comportamento, le aziende continueranno a giocare alla roulette russa con la propria sicurezza IT, con danni economici anche gravi”.
