Perdita di dati aziendali? Meglio cautelarsi. E’ una delle indicazioni più significative che emergono dalle aziende italiane intervistate nell’ambito di uno studio realizzato da Symantec sul tema della Data Loss Prevention (DLP). Lo studio ha preso in esame più di 1.500 imprese (102 delle quali italiane) di dimensioni piccole, medie e grandi della regione EMEA (Austria, Belgio, Francia, Germania, Italia, Olanda, Polonia, Spagna, Svizzera, UK, Israele, Turchia) operanti nei settori più diversi, dall’industria automobilistica fino all’ambito dei servizi di consulenza.
La frequenza di casi esemplari di furto e perdita di dati aziendali ha risvegliato in maniera significativa l’attenzione e la consapevolezza nei confronti della confidenzialità dei dati riservati. Il 67% delle aziende italiane intervistate (50% la media EMEA) ha affermato di temere una possibile perdita di informazioni e addirittura il 51% ha ammesso di aver già subito almeno una volta episodi simili. Il 47% ha anche dichiarato un conseguente danno economico, con valori che oscillano dai 10.000 agli oltre 100.000 Euro.
In termini generali, a fronte dei rischi elevati e della consapevolezza maturata, dallo studio risulta che l’Italia sembra prestare alla prevenzione della perdita dei dati un’attenzione superiore alla media degli altri Paesi. Infatti, l’82% delle imprese italiane (contro una media del 72%) ha implementato strategie di base mirate a prevenire la perdita delle informazioni. Fra gli strumenti maggiormente utilizzati emergono i controlli degli accessi alla rete (63%), il controllo dei dispositivi (46%) e le tecniche di cifratura (45%). In misura minore invece il ricorso a soluzioni ad hoc di gestione della sicurezza a livello endpoint (23%) e di data loss prevention (27%).
Il 55% ha predisposto anche misure per prevenire la perdita di dati sui dispositivi mobili (dato che scende al 46% nella media EMEA). Inoltre solo il 37% delle nostre aziende (contro il 43%) autorizza i propri dipendenti a utilizzare dispositivi storage portatili senza restrizione alcuna.
“Lo studio ha messo in evidenza come la maggioranza delle imprese italiane sia consapevole dei pericoli derivanti dalla perdita delle informazioni – ha spiegato Fabio Battelli, Practice Manager, CISSP, CISA Advisory Practice, Symantec consultino -. Però le misure adottate nel tentativo di approcciare il problema necessitano di ulteriori miglioramenti; soprattutto nel caso della sicurezza dei terminali portatili, dai quali i clienti, i partner e i dipendenti si aspettano sempre più funzionalità dedicate allo scambio mobile delle informazioni”.
Attenzione alle spie!
Dai risultati emerge che le aziende italiane temono il verificarsi di casi di spionaggio industriale, fenomeno che in passato si avvaleva dell’installazione di piccolissime videocamere ma che oggi ha assunto la forma di attacchi diretti ai database aziendali. Il 40%, contro una media del 32%, ammette infatti di sentirsi vittima potenziale di un evento di questo tipo, assegnando un punteggio “alto” o “molto alto” alla possibilità che si verifichi. D’altra parte il 37% degli italiani intervistati è a conoscenza di uno o più episodi di spionaggio avvenuti nel proprio settore industriale (media 32%), mentre il 25% (media 18%) lo è di episodi subiti dalla propria azienda, con il 42% di questo sottocampione che sostiene che questi attacchi hanno prodotto effetti tangibili e negativi sul loro livello di competitività (media 10%).
Non è un caso, in definitiva, se ben il 49% del nostro campione nazionale possiede piani strategici ad hoc per contrastare eventuali attacchi di questo genere, percentuale ben superiore alla media del 40% risultante dall’intero campione inetrvistato
Dati che diventano sempre più mobili
La proprietà intellettuale sta diventando sempre più mobile: il 77% (media 70%) circa delle imprese italiane mette a disposizione dei propri dipendenti notebook di proprietà aziendale, mentre il 35% (media 37%) fornisce smartphone e PDA (personal digital assistant). Ed è proprio con questo tipo di supporti che si rende necessaria la massima attenzione e prevenzione in quanto i dati in essi contenuti presentano un livello di esposizione significativamente superiore a quello delle informazioni archiviate all’interno del contesto corporate.
A livello italiano, il 43% (media 35%) delle aziende intervistate ha definito linee guida molto rigide per regolamentare l’utilizzo e la gestione di questi terminali portatili (fra cui anche i dispositivi storage come le chiavette USB). Il 20% (22%) ha predisposto un documento molto basilare di linee guida inerenti la gestione dei dispositivi portatili che non prende però in considerazione i supporti storage. Il 37% (media 43%) delle aziende consenta un utilizzo totalmente illimitato di tutti i dispositivi storage portatili, esponendo di conseguenza i dati in essi contenuti a livelli di rischio alquanto elevati.
Qualora un dispositivo di questo tipo andasse smarrito, è possibile prevedere una serie di misure atte a evitare che i dati contenuti possano essere utilizzati da individui non autorizzati. Queste tecniche di prevenzione sono in effetti adottate dal 55% (media 46%) circa degli intervistati e nella maggior parte dei casi constano di funzioni di controllo degli accessi e gestione dei dispositivi mobili.
“I dipendenti – spiega Battelli – desiderano poter utilizzare i loro dispositivi personali, come i PDA per esempio, anche nel contesto aziendale, abbattendo le barriere fra le informazioni personali e quelle corporate. Questo si traduce in un incremento della richiesta di interventi di gestione IT per quanto riguarda la sicurezza e la gestione dei dati, presupponendo linee guida di base, formazione dei dipendenti e la cifratura e il controllo degli accessi per dare alle imprese la possibilità di sapere come e quando le informazioni vengono utilizzate”.
