Una ricerca
commissionata da Cisco identifica i più comuni errori che portano alla
perdita ed al furto dei dati
Uno studio
globale esamina i rischi comportamentali in base al paese e alla cultura –
dall’accesso non autorizzato a strutture e reti alla perdita intenzionale
di informazioni aziendali
Cisco ha annunciato
i risultati di un nuovo studio condotto a livello mondiale e incentrato sulla
sicurezza che evidenzia numerose attività pericolose compiute dai dipendenti
in grado di minare la sicurezza di un’azienda con la conseguente perdita
di informazioni (Data Leakage). Lo studio identifica i più comuni errori
commessi dal personale aziendale di tutto il mondo e causa diretta della perdita
di dati ed è stata condotta con interviste effettuate a oltre 2.000 impiegati
e professionisti di 10 paesi e operanti nell’information technology. I
risultati di tale ricerca mostrano che le azioni pericolose intraprese dai dipendenti
possono variare a seconda del paese di appartenenza e della cultura, e offrono
alle aziende la possibilità di creare piani specifici per la gestione
del rischio per prevenire localmente possibili incidenti.
Lo studio, condotto
da InsightExpress, è stato commissionato da Cisco con lo scopo di esaminare
le implicazioni aziendali legate alla sicurezza e al data leakage (www.cisco.com/go/dlp)
in un momento in cui lo stile di vita dei dipendenti e lo spazio di lavoro stanno
cambiando radicalmente. Poiché il concetto di ufficio centrale sta evolvendo
verso un modello aziendale distribuito e dipendenti remoti, la linea di demarcazione
tra la vita lavorativa e quella personale si fa sempre più sottile. Il
coincidere tra vita lavorativa e personale dipende in gran parte dalla proliferazione
di dispositivi e applicazioni per la collaborazione utilizzati per entrambi
gli aspetti, inclusi telefoni cellulari, computer portatili, applicazioni Web
2.0, supporti video e strumenti sociali.
Questo ambiente
lavorativo in continua evoluzione è stato lo scenario di fondo della
ricerca che include interviste a 1.000 dipendenti e 1.000 professionisti IT
appartenenti a diversi mercati e ad aziende di dimensioni differenti: Stati
Uniti, Inghilterra, Francia, Germania, Italia, Giappone, Cina, India, Australia
e Brasile. Questi paesi sono stati scelti in quanto rappresentano un’insieme
di culture e ambienti sociali diversi, economie emergenti e avviate dipendenti
dalla rete e differenti livelli di adozione di Internet.
“Abbiamo
condotto questa ricerca per capire i comportamenti non la tecnologia in se”,
ha commentato John N. Stewart, Chief Security Officer di Cisco. “Fondamentalmente,
la sicurezza è radicata nel comportamento dell’utente e per tale
motivo le aziende e i dipendenti, indipendentemente dalla loro dimensione o
dalla professione, devono capire come i comportamenti possono essere causa di
perdita di dati – e ciò che significa sia per le persone che per
le aziende. La comprensione da tali aspetti può aiutare le aziende a
rafforzare le relazioni tra i responsabili IT e i dipendenti, creare programmi
educativi e di conoscenza personalizzati, e gestire al meglio il rischio. In
definitiva, le attività di sicurezza sono più efficaci se tutti
gli utenti sono a conoscenza di cosa comportano”.
Di seguito alcuni
fra i più interessanti comportamenti rischiosi:
Alterazione delle
impostazioni di sicurezza sui computer: un dipendente su cinque ha alterato
le impostazioni di sicurezza sui propri dispositivi di lavoro per aggirare le
policy IT e accedere a siti Web non autorizzati. Questo dato è riscontrabile
maggiormente nelle economie emergenti come Cina e India. Oltre la metà
(52%) degli intervistati si è giustificato dicendo semplicemente che
volevano accedere al sito; un terzo degli intervistati a dichiarato di avere
le loro ragioni. In Italia il 15% degli intervistati ha ammesso di aver alterato
le impostazioni di sicurezza sul proprio computer.
Utilizzo di applicazioni
non autorizzate: 7 professionisti su 10 hanno dichiarato che l’accesso
da parte del dipendente a un’applicazione o a un sito web non autorizzato
(ad esempio strumenti sociali non autorizzati, software per il download di musica,
e siti per lo shopping online) è una delle principali cause della perdita
di dati nella loro azienda. Ne sono convinti il 74% degli intervistai in America
e il 79% in India. In Italia, il 49% dei professionisti IT è convinto
che i dipendenti utilizzino programmi e applicazioni non autorizzate.
Accesso non autorizzato
alla rete/struttura: negli anni scorsi, 2 professionisti IT su 5 hanno avuto
a che fare con accessi non autorizzati alla rete o alla struttura. Questa situazione
è stata riscontrata prevalentemente in Cina, dove 2 professionisti su
3 hanno affrontato questa problematica. Tra le persone che hanno affrontato
tale problema, due terzi si sono imbattuti in diversi incidenti negli anni passati,
mentre il 14% deve affrontare mensilmente questo tipo di problema. In Italia,
il 40% dei professionisti IT ha avuto a che fare con dipendenti che, intenzionalmente
o non intenzionalmente, sono entrati senza autorizzazione in determinate aree
dell’azienda o nella rete.
Condivisione delle
informazioni aziendali sensibili: a dimostrazione che i segreti aziendali non
sempre sono segreti, 1 dipendente su 4 (24%) ha ammesso verbalmente di condividere
informazioni aziendali sensibili con persone non appartenenti all’azienda,
come ad esempio amici, parenti o conoscenti. Tra le giustificazioni più
comuni “avevo bisogno di confrontarmi con qualcuno”, “dovevo
sfogarmi” e “non ci vedo nulla di sbagliato”. In Italia, il
20% dei dipendenti ha ammesso di aver condiviso informazioni aziendali sensibili
con una persona di famiglia o un amico, il 2% di aver parlato di lavoro o dell’azienda
con uno sconosciuto. Dall’altra parte, il 19% dei professionisti IT pensa
che i dipendenti condividano dati e informazioni aziendali con persone esterne
all’azienda.
Condivisione dei
dispositivi aziendali: a dimostrazione che i dati non sempre sono riposti nelle
mani giuste, quasi la metà dei dipendenti intervistati (44%) condivide
i dispositivi utilizzati a lavoro con altre persone, non sempre colleghi, senza
alcun controllo. In Italia, il 30% dei professionisti IT è convinto che
i dipendenti condividano con altre persone i dispositivi mobili o i computer
portatili aziendali senza alcuna supervisione.
Utilizzo dei dispositivi
aziendali per comunicazioni personali: quasi 2 dipendenti su 3 hanno ammesso
di utilizzare quotidianamente i computer aziendali per scopi personali. Tra
i vari utilizzi sono inclusi il download di musica, lo shopping, operazioni
bancarie, blogging, partecipazioni a gruppi di chat e altro ancora. La metà
dei dipendenti utilizza la posta elettronica personale per contattare clienti
e colleghi, ma solo il 40% ha dichiarato di essere autorizzato dall’IT.
In Italia, tra i diversi utilizzi di dispositivi aziendali a scopo personale,
spiccano l’invio/ricezione di e-mail personali attraverso un account personale
(76%) e tramite l’account di lavoro (43%), la ricerca online (57%) e l’online
banking (53%).
Dispositivi non
protetti: almeno 1 dipendente su 3 lascia il computer connesso o non protetto
da password quando si allontana dalla propria scrivania (il 40% in Italia).
Gli stessi dipendenti inoltre tendono a lasciare il proprio computer portatile
sulla scrivania tutta la notte, spesso senza effettuare il logout e creando
l’occasione per potenziali furti e accessi ai dati aziendali e personali
(il 12% in Italia).
Memorizzazione
di chiavi di accesso e password: 1 impiegato su 5 memorizza le chiavi di accesso
e le password sul proprio computer (il 17% in Italia) o le scrive lasciandole
visibili sulla propria scrivania o su post-it attaccati sul computer (il 14%
in Italia), o in cassetti lasciati aperti (il 10% in Italia). In alcuni paesi
come la Cina (28%), i dipendenti hanno dichiarato di memorizzare le chiavi di
accesso e le password per accedere ai conti finanziari personali sui propri
dispositivi utilizzati a lavoro (il 13% in Italia), lasciando i loro dati identificativi
e finanziari alla portata di chiunque. Il fatto che i dipendenti lasciano tali
dispositivi incustoditi fa aumentare il rischio.
Perdita di dispositivi
storage portatili: 1 dipendente su 4 (22%) trasporta i dati aziendali al di
fuori dell’ufficio su dispositivi storage portatili (il 27% in Italia).
Questa abitudine è maggiormente diffusa in Cina (41%) e presenta dei
rischi in cui è possibile incorre nel caso in cui tali dispositivi vengano
rubati o persi.
Permettere il
“tailgating” e di circolare negli uffici senza controllo: in Germania
1 impiegato su 5 (22%) permette a persone non appartenenti all’azienda
di circolare inosservati negli uffici (il 14% in Italia). La media della ricerca
è di circa il 13%. E il 18% ha permesso a persone sconosciute di entrare
in azienda insieme a lui senza registrarsi.
“Le aziende
permettono ai dipendenti di essere sempre più collaborativi e mobile”,
ha continuato Stewart. “Senza tecnologie di sicurezza moderne, policy,
conoscenza e educazione, le informazioni sono più vulnerabili. Oggi,
i dati transitano e vengono utilizzati all’interno di programmi, memorizzati
su dispositivi e in posti che non sono quelli tradizionali di lavoro come a
casa, in strada, nei bar, su aerei e treni. Questo trend continuerà a
esistere. Per proteggere efficacemente i tuoi dati, dobbiamo comprendere il
rischio a cui può esporsi l’azienda e successivamente impostare
i piani tecnologici, le policy e la formazione su tali fattori”.
Stewart ha dichiarato
che questi dati comportamentali possono aiutare le aziende a strutturare programmi
educativi per i dipendenti e piani di risk management. Di seguito alcuni suggerimenti
per prevenire la perdita di dati:
– Conosci i tuoi dati; gestiscili
al meglio: devi sapere come e dove vengono memorizzati, le modalità di
accesso e di utilizzo.
– Tratta i dati come se
fossero tuoi – proteggili come se fossero soldi tuoi: educa i dipendenti
spiegando loro come la protezione dei dati equivalga a soldi guadagnati e a
soldi persi.
– Istituire degli standard
per attuare la sicurezza: determinare policy globali e creare percorsi educativi
personalizzati in base alla cultura e alle minacce.
– Promuovere una cultura
di fiducia: i dipendenti hanno bisogno di sentirsi a loro agio nel riferire
possibili incidenti in modo che l’IT sia in grado di risolvere velocemente
eventuali problemi.
– Promuovere la conoscenza,
l’educazione e la formazione in ambito sicurezza: pensare globalmente
ma localizzare e personalizzare i programmi a seconda del paese basandosi sulle
diverse minacce e il panorama culturale.
“La protezione
dei dati richiede un lavoro di squadra all’interno dell’azienda.
Non riguarda solamente l’IT”, ha aggiunto Stewart.
