Una ricerca Cisco fa il punto sulle attività dei dipendenti in grado di minare la sicurezza in azienda. Lo studio ha riguardato 10 Paesi fra cui l’Italia.
Un studio condotto a livello mondiale da Cisco ha fatto il punto sulle attività pericolose compiute dai dipendenti e in grado di minare la sicurezza di un’azienda con la conseguente perdita di informazioni.
Lo studio, condotto da InsightExpress, si è basato su interviste effettuate a oltre 2.000 impiegati e professionisti It di 10 paesi (fra cui l’Italia) con lo scopo di esaminare le implicazioni aziendali legate alla sicurezza e al data leakage in un momento in cui lo stile di vita dei dipendenti e lo spazio di lavoro stanno cambiando radicalmente, in seguito all’evoluzione dell’ufficio centrale verso un modello aziendale distribuito con dipendenti remoti.
Di seguito alcuni fra i più interessanti comportamenti rischiosi:
- Alterazione delle impostazioni di sicurezza sui PC. Il 20% dei dipendenti ha alterato le impostazioni di sicurezza sui propri dispositivi di lavoro per aggirare le policy IT e accedere a siti Web non autorizzati. In Italia questo valore scende al 15%.
- Utilizzo di applicazioni non autorizzate. 7 professionisti su 10 hanno dichiarato che l’accesso da parte del dipendente a un’applicazione o a un sito web non autorizzato è una delle principali cause della perdita di dati nella loro azienda. Nel nostro Paese, questa convinzione è presente nel 49% dei casi.
- Accesso non autorizzato alla rete/struttura. Negli anni scorsi, 2 professionisti IT su 5 hanno avuto a che fare con accessi non autorizzati alla rete o alla struttura. In Italia, il 40% dei professionisti IT ha avuto a che fare con dipendenti che, intenzionalmente o non intenzionalmente, sono entrati senza autorizzazione in determinate aree dell’azienda o nella rete.
- Condivisione delle informazioni aziendali sensibili. Il 24% dei dipendenti ha ammesso verbalmente di condividere informazioni aziendali sensibili con persone non appartenenti all’azienda, come ad esempio amici, parenti o conoscenti. Tra le giustificazioni più comuni “avevo bisogno di confrontarmi con qualcuno”, “dovevo sfogarmi” e “non ci vedo nulla di sbagliato”. In Italia, è il 20% ad aver condiviso informazioni aziendali sensibili con altre persone. Del resto, il 19% dei professionisti IT pensa che i dipendenti condividano dati e informazioni aziendali con persone esterne all’azienda.
- Condivisione dei dispositivi aziendali. Quasi la metà dei dipendenti intervistati (44%) condivide i dispositivi utilizzati a lavoro con altre persone, non sempre colleghi, senza alcun controllo. Nel nostro Paese, il 30% dei professionisti IT è convinto che i dipendenti condividano con altre persone i dispositivi mobili o i computer portatili aziendali senza alcuna supervisione.
- Utilizzo dei dispositivi aziendali per comunicazioni personali. Quasi 2 dipendenti su 3 hanno ammesso di utilizzare quotidianamente i PC aziendali per scopi personali (download di musica, shopping, operazioni bancarie, blogging). In Italia, tra i diversi utilizzi di dispositivi aziendali a scopo personale, spiccano l’invio/ricezione di e-mail personali attraverso un account personale (76%) e tramite l’account di lavoro (43%), la ricerca online (57%) e l’online banking (53%).
- Dispositivi non protetti. Più del 30% dei dipendenti lascia il computer connesso o non protetto da password quando si allontana dalla propria scrivania (il 40% in Italia).
- Memorizzazione di chiavi di accesso e password. 1 impiegato su 5 memorizza le chiavi di accesso e le password sul proprio computer (il 17% in Italia) o le scrive lasciandole visibili sulla propria scrivania o su post-it attaccati sul computer (il 14% in Italia), o in cassetti lasciati aperti (il 10% in Italia).
- Perdita di dispositivi storage portatili. Il 22% dei dipendenti trasporta i dati aziendali al di fuori dell’ufficio su dispositivi di memorizzazione portatili (il 27% in Italia).
Se da un lato le aziende permettono ai dipendenti di essere sempre più collaborativi e mobile, dall’altro senza tecnologie di sicurezza , policy, conoscenza e educazione, le informazioni sono più vulnerabili.
Per proteggere efficacemente i dati, quindi bisogna comprendere il rischio a cui può esporsi l’azienda e successivamente impostare i piani tecnologici, le policy e la formazione su tali fattori.
Secondo Cisco, alcune iniziatrive possono aiutare le aziende a strutturare programmi educativi per i dipendenti e piani di risk management. Di seguito alcuni suggerimenti segnalati dall’azienda americana per prevenire la perdita di dati:
- Fare un’analisi puntuale dei dati (come e dove vengono memorizzati, le modalità di accesso e di utilizzo).
- Far passare il messaggio che la protezione dei dati equivale a soldi guadagnati e a soldi persi.
- Istituire degli standard per attuare la sicurezza: determinare policy globali e creare percorsi educativi personalizzati in base alla cultura e alle minacce.
- Promuovere una cultura di fiducia: i dipendenti hanno bisogno di sentirsi a loro agio nel riferire possibili incidenti in modo che l’IT sia in grado di risolvere velocemente eventuali problemi.
- Promuovere la conoscenza, l’educazione e la formazione in ambito sicurezza: pensare globalmente ma localizzare e personalizzare i programmi a seconda del paese basandosi sulle diverse minacce e il panorama culturale.
- La protezione dei dati richiede un lavoro di squadra all’interno dell’azienda. Non riguarda solamente l’IT