Cisco analizza le policy di sicurezza aziendali

Cisco analizza
le policy di sicurezza aziendali

Lo
studio identifica il gap nella conoscenze delle policy aziendali da parte degli
impiegati: 1 azienda su 4 si disinteressa delle policy di sicurezza

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Cisco ha annunciato
i risultati della seconda fase di uno studio relativo alla perdita di dati (Data
Leakage), che rivela la diffusione e l’efficacia delle policy di sicurezza
nelle aziende e le motivazioni che spingono gli impiegati a non rispettarle
o al contrario ad adeguarsi. Lo studio permette ai team IT di individuare i
rischi alla sicurezza comuni agli impiegati in modo che possano creare policy
specifiche che rispecchino ciò di cui hanno realmente bisogno le persone
per lavorare.

Questi nuovi risultati
della scaturiscono dalla seconda parte di una ricerca annunciata lo scorso mese
relativa alle attività pericolose compiute dagli impiegati e alla conseguente
perdita di dati. I risultati relativi alle policy di sicurezza aziendale derivano
da interviste effettuate a oltre 2.000 impiegati e professionisti IT di 10 paesi:
Stati Uniti, Inghilterra, Francia, Germania, Italia, Giappone, Cina, India,
Australia e Brasile. Lo studio, condotto da InsightExpress, è stato commissionato
da Cisco in un momento in cui il data leakage (www.cisco.com/dlp) rappresenta
la principale preoccupazione delle aziende. Poiché la linea di demarcazione
tra lavoro e casa si fa sempre più sottile, e poiché gli impiegati
utilizzano applicazioni collaborative e dispositivi mobili, il ruolo ricoperto
dalle policy di sicurezza nella protezione dei dati sensibili diventa sempre
più importante.

“Lo studio
conferma l’esigenza di rivedere le policy di sicurezza aziendale e la
modalità con cui vengono comunicate – ha commentato John N. Stewart,
Chief Security Officer di Cisco -. Se un impiegato ritiene che le policy
di sicurezza siano ingiuste in quanto ostacolo al loro lavoro, queste perdono
automaticamente la loro efficacia. Troppo spesso scriviamo le policy come se
fossero dei regolamenti senza però darne la giusta spiegazione, e se
associamo questo aspetto alla conoscenza, all’educazione e alla comunicazione,
ecco svelato il perché le policy sono necessarie, importanti e in grado
di aiutare. Capendo ciò di cui hanno bisogno gli impiegati per fare il
loro lavoro, possiamo sviluppare policy realistiche che operano in modo coesivo
ed efficiente con la sicurezza, risultando in un ambiente maggiormente sicuro”.

Leggi anche:  Il nuovo report di WatchGuard Threat Lab rivela nuove tendenze di social engineering basate su browser

I risultati:
questione di policy

Fortunatamente,
la ricerca ha riscontrato che la maggior parte delle aziende (77%) ha attuato
delle policy. Comunque sia, in un’azienda su quattro tra quelle che non
l’ha fatto, il trend relativo alla mobilità, alla collaborazione
e al “lavoro senza confini” presenta maggiori problematiche rispetto
a quelle aziende che tentano di impostare policy ufficiali sulle modalità
e i tempi di accesso ai dati, alle applicazioni e alle reti aziendali. L’assenza
di policy di sicurezza è maggiormente diffusa in Giappone (39%) e in
Inghilterra (29%), mentre in Italia la policy e’ assente nel 23% dei casi.

Comunque sia, la
ricerca rileva che, anche nel caso in cui le aziende abbiano implementato delle
policy, gli impiegati spesso non le rispettano o le ignorano. Oltre la metà
degli impiegati intervistati ha ammesso di non aderire alle policy di sicurezza
aziendale. Tra tutti i paesi, la Francia (84%) ha la percentuale più
elevata di impiegati che hanno ammesso di non rispettare le policy, occasionalmente
o costantemente. Migliore la situazione in Italia, dove il 46% degli intervistati
ha ammesso di non aderire alla policy. Sono numerosi i fattori che influenzano
le decisioni che spingono gli impiegati ad aderire o meno a tali policy:

Consapevolezza:
un dato particolarmente significativo è rappresentato dal gap tra il
numero di impiegati e professionisti IT che sono a conoscenza delle policy.
In base al paese di appartenenza, il numero di professionisti IT che è
consapevole dell’esistenza di una policy è superiore del 20-30%
al numero di impiegati. Il gap più notevole (31%) è stato riscontrato
in America, Brasile e Italia. A fronte di questi dati ci si domanda se l’IT
comunichi le policy agli impiegati e in che modo.

Leggi anche:  Cybersecurity, la sinergia tra vendor e distributore

Comunicazione:
l’11% degli impiegati ha dichiarato che l’IT non comunica e non
spiega le policy di sicurezza. Tale dato prevale in Europa, dove Inghilterra
(25%) e Francia (20%) hanno registrato il numero più elevato di impiegati
che ha presentato questo tipo di lamentela. Quando i responsabili IT comunicano
le policy agli impiegati, spesso non lo fanno verbalmente ma tramite strumenti
indiretti – messaggi di posta elettronica, messaggi che compaiono nel
processo di login del computer e voice mail.

Aggiornamenti:
3 professionisti IT su 4 (77%) pensa che le policy richiedano maggiori aggiornamenti
(in Italia lo pensa il 79%), mentre la metà degli impiegati (47%) ha
confermato tale esigenza. In Cina (91%) e in India (89%) si sono registrate
le percentuali più elevate. Se combinati con i dati comportamentali relativi
agli impiegati e scaturiti dalla prima fase della ricerca, l’esigenza
di una struttura di sicurezza aziendale è maggiormente sentita nei paesi
con economie avviate e forza lavoro in aumento che si stanno connettendo per
la prima volta a reti Internet.

Imparzialità:
la maggior parte degli impiegati crede che le policy aziendali siano ingiuste.
Ciò succede in 8 paesi su 10; solo in Germania e in America avviene il
contrario. Poiché le aziende diventano sempre più collaborative,
spronate dall’adozione delle applicazioni interattive Web 2.0 e dai dispositivi
video e mobile, diventa sempre più importante per i dipartimenti IT proteggere
gli impiegati che adottano nuove tecnologie senza frustrali con policy particolarmente
rigide.

Non conformità:
tra i dati più significativi spicca la divergenza di opinione tra impiegati
e responsabili IT relativamente alla non conformità alle policy. Secondo
i dipartimenti IT, gli impiegati non rispettano le policy per numerose ragioni,
dalla non comprensione dei rischi alla sicurezza fino all’apatia. In ogni
caso, gli impiegati hanno dichiarato che la ragione principale della non conformità
è che tali policy non sono allineate con ciò che realmente hanno
bisogno per fare il loro lavoro. Oltre 2 impiegati su 5 (42%) hanno presentato
tale lamentela. In Germania, sebbene la maggioranza degli impiegati ha dichiarato
che le policy aziendali sono giuste, oltre la metà di loro (55%) ha dichiarato
di doverle infrangere per portare a termine il loro lavoro; fortunatamente in
Italia la percentuale scende a 33%

Leggi anche:  Kaspersky, la resilienza al tempo degli incidenti human-driven

“La decisione
da parte degli impiegati di aderire o meno alle policy o di aggirarle per completare
il proprio lavoro rappresenta un’importante sfida per l’IT
– ha commentato Marie Hatter, Vice President of network Systems and Security
Solutions di Cisco -. I dipartimenti IT devono ridisegnare le policy per
soddisfare le reali esigenze delle aziende e degli impiegati, o corrono il rischio
di andare incontro a una perdita o violazione dai dati”.

Secondo la ricerca,
le violazioni non riguardano solo le aziende in questione. Il dato più
preoccupante è rappresentato dal fatto che tra i responsabili IT intervistati
che hanno a che fare con violazioni delle policy da parte degli impiegati, 1
su 5 ha dichiarato che tali incidenti sono risultati successivamente in perdita
dei dati dei clienti