Una ricerca commissionata da Cisco identifica i più comuni errori che portano alla perdita ed al furto dei dati

Stampa articolo  Condividi su Facebook

Uno studio globale esamina i rischi comportamentali in base al paese e alla cultura – dall’accesso non autorizzato a strutture e reti alla perdita intenzionale di informazioni aziendali

Cisco® ha annunciato i risultati di un nuovo studio condotto a livello mondiale e incentrato sulla sicurezza che evidenzia numerose attività pericolose compiute dai dipendenti in grado di minare la sicurezza di un’azienda con la conseguente perdita di informazioni (Data Leakage). Lo studio identifica i più comuni errori commessi dal personale aziendale di tutto il mondo e causa diretta della perdita di dati ed è stata condotta con interviste effettuate a oltre 2.000 impiegati e professionisti di 10 paesi e operanti nell’information technology. I risultati di tale ricerca mostrano che le azioni pericolose intraprese dai dipendenti possono variare a seconda del paese di appartenenza e della cultura, e offrono alle aziende la possibilità di creare piani specifici per la gestione del rischio per prevenire localmente possibili incidenti.

Lo studio, condotto da InsightExpress, è stato commissionato da Cisco con lo scopo di esaminare le implicazioni aziendali legate alla sicurezza e al data leakage (www.cisco.com/go/dlp) in un momento in cui lo stile di vita dei dipendenti e lo spazio di lavoro stanno cambiando radicalmente. Poiché il concetto di ufficio centrale sta evolvendo verso un modello aziendale distribuito e dipendenti remoti, la linea di demarcazione tra la vita lavorativa e quella personale si fa sempre più sottile. Il coincidere tra vita lavorativa e personale dipende in gran parte dalla proliferazione di dispositivi e applicazioni per la collaborazione utilizzati per entrambi gli aspetti, inclusi telefoni cellulari, computer portatili, applicazioni Web 2.0, supporti video e strumenti sociali.


Questo ambiente lavorativo in continua evoluzione è stato lo scenario di fondo della ricerca che include interviste a 1.000 dipendenti e 1.000 professionisti IT appartenenti a diversi mercati e ad aziende di dimensioni differenti: Stati Uniti, Inghilterra, Francia, Germania, Italia, Giappone, Cina, India, Australia e Brasile. Questi paesi sono stati scelti in quanto rappresentano un’insieme di culture e ambienti sociali diversi, economie emergenti e avviate dipendenti dalla rete e differenti livelli di adozione di Internet.

“Abbiamo condotto questa ricerca per capire i comportamenti non la tecnologia in se”, ha commentato John N. Stewart, Chief Security Officer di Cisco. “Fondamentalmente, la sicurezza è radicata nel comportamento dell’utente e per tale motivo le aziende e i dipendenti, indipendentemente dalla loro dimensione o dalla professione, devono capire come i comportamenti possono essere causa di perdita di dati – e ciò che significa sia per le persone che per le aziende. La comprensione da tali aspetti può aiutare le aziende a rafforzare le relazioni tra i responsabili IT e i dipendenti, creare programmi educativi e di conoscenza personalizzati, e gestire al meglio il rischio. In definitiva, le attività di sicurezza sono più efficaci se tutti gli utenti sono a conoscenza di cosa comportano”.


Di seguito alcuni fra i più interessanti comportamenti rischiosi:

1. Alterazione delle impostazioni di sicurezza sui computer: un dipendente su cinque ha alterato le impostazioni di sicurezza sui propri dispositivi di lavoro per aggirare le policy IT e accedere a siti Web non autorizzati. Questo dato è riscontrabile maggiormente nelle economie emergenti come Cina e India. Oltre la metà (52%) degli intervistati si è giustificato dicendo semplicemente che volevano accedere al sito; un terzo degli intervistati a dichiarato di avere le loro ragioni. In Italia il 15% degli intervistati ha ammesso di aver alterato le impostazioni di sicurezza sul proprio computer.
    
2. Utilizzo di applicazioni non autorizzate: 7 professionisti su 10 hanno dichiarato che l’accesso da parte del dipendente a un’applicazione o a un sito web non autorizzato (ad esempio strumenti sociali non autorizzati, software per il download di musica, e siti per lo shopping online) è una delle principali cause della perdita di dati nella loro azienda. Ne sono convinti il 74% degli intervistai in America e il 79% in India. In Italia, il 49% dei professionisti IT è convinto che i dipendenti utilizzino programmi e applicazioni non autorizzate.
    
3. Accesso non autorizzato alla rete/struttura: negli anni scorsi, 2 professionisti IT su 5 hanno avuto a che fare con accessi non autorizzati alla rete o alla struttura. Questa situazione è stata riscontrata prevalentemente in Cina, dove 2 professionisti su 3 hanno affrontato questa problematica. Tra le persone che hanno affrontato tale problema, due terzi si sono imbattuti in diversi incidenti negli anni passati, mentre il 14% deve affrontare mensilmente questo tipo di problema. In Italia, il 40% dei professionisti IT ha avuto a che fare con dipendenti che, intenzionalmente o non intenzionalmente, sono entrati senza autorizzazione in determinate aree dell’azienda o nella rete.
    
4. Condivisione delle informazioni aziendali sensibili: a dimostrazione che i segreti aziendali non sempre sono segreti, 1 dipendente su 4 (24%) ha ammesso verbalmente di condividere informazioni aziendali sensibili con persone non appartenenti all’azienda, come ad esempio amici, parenti o conoscenti. Tra le giustificazioni più comuni “avevo bisogno di confrontarmi con qualcuno”, “dovevo sfogarmi” e “non ci vedo nulla di sbagliato”. In Italia, il 20% dei dipendenti ha ammesso di aver condiviso informazioni aziendali sensibili con una persona di famiglia o un amico, il 2% di aver parlato di lavoro o dell’azienda con uno sconosciuto. Dall’altra parte, il 19% dei professionisti IT pensa che i dipendenti condividano dati e informazioni aziendali con persone esterne all’azienda.
    
5. Condivisione dei dispositivi aziendali: a dimostrazione che i dati non sempre sono riposti nelle mani giuste, quasi la metà dei dipendenti intervistati (44%) condivide i dispositivi utilizzati a lavoro con altre persone, non sempre colleghi, senza alcun controllo. In Italia, il 30% dei professionisti IT è convinto che i dipendenti condividano con altre persone i dispositivi mobili o i computer portatili aziendali senza alcuna supervisione.
    
6. Utilizzo dei dispositivi aziendali per comunicazioni personali: quasi 2 dipendenti su 3 hanno ammesso di utilizzare quotidianamente i computer aziendali per scopi personali. Tra i vari utilizzi sono inclusi il download di musica, lo shopping, operazioni bancarie, blogging, partecipazioni a gruppi di chat e altro ancora. La metà dei dipendenti utilizza la posta elettronica personale per contattare clienti e colleghi, ma solo il 40% ha dichiarato di essere autorizzato dall’IT. In Italia, tra i diversi utilizzi di dispositivi aziendali a scopo personale, spiccano l’invio/ricezione di e-mail personali attraverso un account personale (76%) e tramite l’account di lavoro (43%), la ricerca online (57%) e l’online banking (53%).
    
7. Dispositivi non protetti: almeno 1 dipendente su 3 lascia il computer connesso o non protetto da password quando si allontana dalla propria scrivania (il 40% in Italia). Gli stessi dipendenti inoltre tendono a lasciare il proprio computer portatile sulla scrivania tutta la notte, spesso senza effettuare il logout e creando l’occasione per potenziali furti e accessi ai dati aziendali e personali (il 12% in Italia).
    
8. Memorizzazione di chiavi di accesso e password: 1 impiegato su 5 memorizza le chiavi di accesso e le password sul proprio computer (il 17% in Italia) o le scrive lasciandole visibili sulla propria scrivania o su post-it attaccati sul computer (il 14% in Italia), o in cassetti lasciati aperti (il 10% in Italia). In alcuni paesi come la Cina (28%), i dipendenti hanno dichiarato di memorizzare le chiavi di accesso e le password per accedere ai conti finanziari personali sui propri dispositivi utilizzati a lavoro (il 13% in Italia), lasciando i loro dati identificativi e finanziari alla portata di chiunque. Il fatto che i dipendenti lasciano tali dispositivi incustoditi fa aumentare il rischio.
    
9. Perdita di dispositivi storage portatili: 1 dipendente su 4 (22%) trasporta i dati aziendali al di fuori dell’ufficio su dispositivi storage portatili (il 27% in Italia). Questa abitudine è maggiormente diffusa in Cina (41%) e presenta dei rischi in cui è possibile incorre nel caso in cui tali dispositivi vengano rubati o persi.
    
10. Permettere il “tailgating” e di circolare negli uffici senza controllo: in Germania 1 impiegato su 5 (22%) permette a persone non appartenenti all’azienda di circolare inosservati negli uffici (il 14% in Italia). La media della ricerca è di circa il 13%. E il 18% ha permesso a persone sconosciute di entrare in azienda insieme a lui senza registrarsi.

“Le aziende permettono ai dipendenti di essere sempre più collaborativi e mobile”, ha continuato Stewart. “Senza tecnologie di sicurezza moderne, policy, conoscenza e educazione, le informazioni sono più vulnerabili. Oggi, i dati transitano e vengono utilizzati all’interno di programmi, memorizzati su dispositivi e in posti che non sono quelli tradizionali di lavoro come a casa, in strada, nei bar, su aerei e treni. Questo trend continuerà a esistere. Per proteggere efficacemente i tuoi dati, dobbiamo comprendere il rischio a cui può esporsi l’azienda e successivamente impostare i piani tecnologici, le policy e la formazione su tali fattori”.

Stewart ha dichiarato che questi dati comportamentali possono aiutare le aziende a strutturare programmi educativi per i dipendenti e piani di risk management. Di seguito alcuni suggerimenti per prevenire la perdita di dati:

• Conosci i tuoi dati; gestiscili al meglio: devi sapere come e dove vengono memorizzati, le modalità di accesso e di utilizzo.
   
• Tratta i dati come se fossero tuoi – proteggili come se fossero soldi tuoi: educa i dipendenti spiegando loro come la protezione dei dati equivalga a soldi guadagnati e a soldi persi.
   
• Istituire degli standard per attuare la sicurezza: determinare policy globali e creare percorsi educativi personalizzati in base alla cultura e alle minacce.
   
• Promuovere una cultura di fiducia: i dipendenti hanno bisogno di sentirsi a loro agio nel riferire possibili incidenti in modo che l’IT sia in grado di risolvere velocemente eventuali problemi.
   
• Promuovere la conoscenza, l’educazione e la formazione in ambito sicurezza: pensare globalmente ma localizzare e personalizzare i programmi a seconda del paese basandosi sulle diverse minacce e il panorama culturale.

“La protezione dei dati richiede un lavoro di squadra all’interno dell’azienda. Non riguarda solamente l’IT”, ha aggiunto Stewart.

Cisco
Cisco (NASDAQ:CSCO) è il leader mondiale del networking che trasforma il modo in cui le persone si connettono, comunicano e collaborano. Informazioni su Cisco si trovano su http://www.cisco.com . Per ulteriori informazioni, visitate http://newsroom.cisco.com . Le apparecchiature di Cisco sono fornite in Europa da Cisco Systems International BV, una consociata interamente controllata da Cisco Systems, Inc.

Prossimo articolo Previsioni delle minacce per il 2009