Analizziamo i dati nazionali della ricerca commissionata da Websense sull’influenza del comportamento dell’utente di portatili rispetto al sistema informativo aziendale.
Come già riportato su queste pagine, Websense ha commissionato un’indagine a Dynamic Markets circa lo stato di sicurezza delle reti aziendali a cui accedono utenti con computer portatili.
L’indagine è stata condotta nel settembre 2004, intervistando utenti di notebook di 500 aziende (100 per ogni Paese) con oltre 250 dipendenti in Gran Bretagna, Germania, Francia, Italia e Paesi Bassi.
A garanzia della massima obiettività, gli intervistati non sono stati informati che l’indagine era commissionata da Websense e ad alcune domande potevano fornire risposte multiple.
I risultati della ricerca per quanto riguarda le aziende italiane, hanno detto che il 79% del campione usa il notebook aziendale come proprio computer principale; il 64% ritiene di essere responsabile dei contenuti del proprio notebook quando lo usa in ufficio; il 58% ritiene di essere responsabile dei contenuti del proprio notebook anche quando è fuori dall’ufficio; il 51% delle aziende italiane non ha in vigore alcuna policy per regolamentare e garantire la sicurezza dei notebook aziendali; il 24% del campione non è stato in grado di dire con sicurezza chi accede al notebook oltre a loro fuori dall’ufficio; il 93% cita le policy dell’azienda in materia di sicurezza come ragione principale che lo trattiene dall’effettuare download sul portatile aziendale; il 12% degli utenti di notebook ha scoperto sul proprio portatile software che non aveva scaricato intenzionalmente; il 50% del campione si è detto preoccupato che numero di carta di credito o altre informazioni riservate sulle proprie transazioni bancarie online possano essere intercettati; l’87% del campione non aveva mai sentito parlare di Spyware. Solo il 10% è stato in grado di definirlo correttamente.
Per analizzare e dare un senso agli esiti proposti dal campione, abbiamo chiesto qualche commento al responsabile di Websense Mehdi Bouzoubaa, Territory manager per l’Italia.
Descriviamo come era composto il campione di analisi italiano.
L’indagine, condotta nel settembre 2004, è stata rivolta a utenti di computer portatili di 100 aziende italiane con oltre 250 dipendenti. Gli intervistati ricoprivano varie qualifiche all’interno di diverse funzioni (sistemi informativi esclusi).
I risultati dell’indagine quantitativa sono stati analizzati, comparati e descritti tenendo conto dell’utilizzo dei notebook e del livello di anzianità degli utenti.
Diamo una valutazione dei risultati ottenuti per quanto riguarda l’Italia.
La prima cosa che emerge analizzando i dati del campione italiano è senza dubbio l’elevato grado di inconsapevolezza dei rischi e delle minacce alla sicurezza che tuttora esiste in Italia. Una minaccia che non riguarda più solo chi usa il pc o il notebook per scopi privati ma che sempre più colpisce chi utilizza gli strumenti It per scopi professionali, dal momento che le minacce nascono ovunque, anche e soprattutto in siti apparentemente non sospetti.
Se infatti c’è un elevato numero di dipendenti che utilizzano il notebook aziendale come strumento di lavoro, l’87% del campione dichiara di non aver mai sentito parlare di spyware e solo il 10% è stato in grado di definirlo correttamente.
Questo è un dato davvero molto preoccupante, soprattutto se pensiamo che lo spyware rappresenta una minaccia non particolarmente sofisticata ma comunque molto pericolosa e in rapida diffusione.
Si pensi ad esempio ai pop up pubblicitari: molti utenti collegandosi ad alcuni siti ricevono pop up e spesso involontariamente scaricano codici maliziosi nascosti dietro questi messaggi pubblicitari. Un’azione involontaria che può mettere a repentaglio la sicurezza di un’intera azienda: solo in Italia il 12% del campione ha ammesso di aver trovato sul proprio notebook software che non aveva scaricato intenzionalmente.
Non trascurabile, poi, il dato relativo alle policy di sicurezza aziendali: il 51% delle aziende del nostro paese sembra non aver nessuna regolamentazione in vigore per i notebook, senza rendersi conto che i notebook sono un possibile veicolo di minacce tanto quanto i PC presenti in azienda.
Quindi la prima domanda che viene spontaneo porsi è: se non si conoscono le minacce che dobbiamo combattere, come si può pensare a proteggersi in modo adeguato?
Quali operazioni le aziende dovrebbero intraprendere alla luce dei risultati ottenuti?
Innanzitutto è importante che tutte le aziende acquisiscano consapevolezza del fatto che le sole soluzioni firewall e antivirus non sono più sufficienti per una garantire una valida protezione dalle minacce attuali ed emergenti.
Fatta questa premessa, le aziende devono fare il possibile per diventare veicoli di informazione sul mercato, affinché tutti i clienti a cui si rivolgono possano comprendere pienamente i rischi della navigazione in Internet, e non solo.
Le aziende devono dunque educare i propri dipendenti a un uso corretto e sicuro del proprio portatile quando navigano in Internet, in ufficio come a casa. Una filosofia che dovrebbe diventare all’ordine del giorno affinché ogni realtà aziendale che consideri l’opportunità di offrire ai propri dipendenti la possibilità di lavorare da remoto dovrebbe prima creare un’efficace policy per la sicurezza mobile, coadiuvata da un software per la gestione dell’uso sicuro di Internet da parte dei dipendenti.
E quali azioni intende fare Websense sulle aziende?
Anche considerando i dati preoccupanti sopra analizzati, il primo obiettivo di Websense è quello di lavorare per creare la consapevolezza.
E’ infatti quanto mai necessario educare gli utenti sulle problematiche legate alla sicurezza e sulle minacce che possono colpire chiunque, per creare una maggiore sensibilizzazione.
Anche in quest’ottica abbiamo messo a punto da quest’anno un prezioso strumento chiamato Websense Security Labs, un centro di competenza che abbiamo sviluppato con l’obiettivo di promuovere le attività di ricerca in materia di sicurezza informatica e minacce via Internet e di rendere disponibili con la massima tempestività informazioni e aggiornamenti a tutti i clienti Websense e all’intera comunità degli utilizzatori, al fine di rendere sempre più sicure le infrastrutture di rete delle imprese.
Si tratta di un sito pubblico accessibile a tutti che dispone poi di preziosi strumenti per la diffusione delle conoscenze, ovvero una newsletter tramite la quale, registrandosi, è possibile ricevere tempestivamente le segnalazioni sulle minacce e gli attacchi in corso nella rete. Ancora più importante è la presenza all’interno del sito di un vero e proprio forum dove i visitatori possono segnalare direttamente episodi di attacchi dei quali siano a conoscenza, rendendoli così noti a tutti gli utenti.
Insieme ai nostri Premium Partner, quindi, puntiamo a creare più cultura sul mercato attraverso l’organizzazione di meeting periodici, seminari e roadshow volti a diffondere conoscenze e confrontarsi sulle minacce emergenti.
