Errori dei dipendenti che mettono a rischio la sicurezza informatica dell’azienda
fonte: pmi.it
Un nuovo studio è stato condotto dalla Cisco nelle aziende di tutto il mondo, per scoprire quali sono i comportamenti scorretti più diffusi tra i dipendenti che possono mettere in pericolo la sicurezza dei sistemi informatici sui quali lavorano, con conseguenti perdite di dati e informazioni, anche importanti e strettamente riservate.
L’analisi è stata realizzata con l’aiuto della società InsightExpress, che ha tenuto in esame più di 2.000 impiegati sparsi in dieci Paesi del mondo: Stati Uniti, Germania, Francia, Italia, Inghilterra, Cina, Australia, Brasile, Giappone e India.
Lo studio mira a comprendere se ci sia ancora una diffusa scarsa conoscenza delle tematiche in questione e dell’importanza di mantenere comportamenti atti a non mettere a rischio l’incolumità e la serietà dell’azienda in cui si lavora.
Tra i comportamenti di questo tipo sono stati rilevati:
- l’alterazione delle impostazioni di sicurezza dei software utilizzati per l’accesso a siti Internet che non potevano essere visitati dal luogo di lavoro. Solo in Italia questo comportamento è stato ammesso dal 15% degli intervistati;
- l’accesso a software o applicazioni Web non autorizzate dal luogo di lavoro, come siti per scaricare musica o per fare acquisti online;
- l’entrata non autorizzata in particolari aree della struttura di sicurezza della rete, effettuata più o meno intenzionalmente;
- il non rispetto del segreto dei dati di cui si è a conoscenza, riguardanti la rete dell’azienda o i sistemi di sicurezza, che sono rivelati a persone esterne dal 24% degli intervistati, dal 22% solo in Italia;
- la condivisione degli strumenti di lavoro (computer portatili, ad esempio) con altre persone in altri momenti della giornata, che può mettere a rischio la sicurezza dei dati contenuti al loro interno;
- l’utilizzo degli strumenti di lavoro per il disbrigo di faccende strettamente personali (acquisti online, ricezione e invio di email dal proprio account o da quello lavorativo, download di software o di musica, operazioni bancarie, utilizzo di sistemi di chat);
- in Italia il 40% dei dipendenti lascia il computer liberamente accessibile, senza una password di protezione, quando si allontana dalla scrivania;
- la memorizzazione di password e dati per l’accesso agli account sul PC, che potrebbe permettere l’accesso a profili riservati quando non si è davanti al computer;
- il trasferimento di dati di lavoro su dispositivi portatili, che spesso consentono una perdita o diffusione esterna;
- l’accesso in azienda di persone non autorizzate (amici, parenti o sconosciuti), che spesso possono circolare liberamente per gli uffici senza alcun problema o senza essere riconosciuti.
Come ha dichiarato John N. Stewart, CEO di Cisco:
Abbiamo condotto questa ricerca per capire i comportamenti, non la tecnologia in sé. Fondamentalmente, la sicurezza è radicata nel comportamento dell’utente e per tale motivo le aziende e i dipendenti, indipendentemente dalla loro dimensione o dalla professione, devono capire come i comportamenti possono essere causa di perdita di dati – e ciò che significa sia per le persone che per le aziende. La comprensione da tali aspetti può aiutare le aziende a rafforzare le relazioni tra i responsabili IT e i dipendenti, creare programmi educativi e di conoscenza personalizzati, e gestire al meglio il rischio. In definitiva, le attività di sicurezza sono più efficaci se tutti gli utenti sono a conoscenza di cosa comportano.
Le aziende permettono ai dipendenti di essere sempre più collaborativi e mobile. Senza tecnologie di sicurezza moderne, policy, conoscenza ed educazione, le informazioni sono più vulnerabili. Oggi, i dati transitano e vengono utilizzati all’interno di programmi, memorizzati su dispositivi e in posti che non sono quelli tradizionali di lavoro come a casa, in strada, nei bar, su aerei e treni. Questo trend continuerà a esistere. Per proteggere efficacemente i tuoi dati, dobbiamo comprendere il rischio a cui può esporsi l’azienda e successivamente impostare i piani tecnologici, le policy e la formazione su tali fattori.