Una ricerca di McAfee mette in luce come le aziende europee siano a rischio perdita dati. Le spese, anche ingenti, in sistemi di backup e di protezione dei dati viene messa in crisi dal fattore umano.
(shinynews.it) Sistemi di backup automatico, antivirus, firewall e soluzioni di sicurezza avanzate contro attacchi hacker dall'esterno, protezione fisica dei dispositivi: i più costosi e ingenti investimenti in sicurezza sono vanificati, nelle aziende europee, dal fattore umano. Sono i dipendenti a mettere a repentaglio i dati sensibili aziendali: questo sostiene una ricerca condotta da ICM Research per conto di
McAfee.
I danni dall'interno
Lo studio compiuto su 600 impiegati di aziende europee non lascia margini di dubbio. Ogni settimana, circa 176 milioni di documenti sono portati fuori dalle mura aziendali dai dipendenti. Per la maggior parte, si tratta di documenti interni quotidiani e delle schede dei clienti dell'azienda, seguiti dai dati finanziari dell'azienda stessa. In media, un impiegato europeo porta fuori dall'ufficio 11 documenti ogni settimana. Inoltre, una volta portati fuori dall'azienda, questi dati sono spesso condivisi con altre persone: quasi un quinto dei dipendenti condivide le informazioni con contatti esterni, anche se la percezione che un trattamento riservato sia fondamentale è molto diffusa, superiore al 90%.
Come escono i dati
Il sistema preferito per portare fuori le informazioni è quello della spedizione via e-mail a terze persone, ma ci sono anche i supporti come le memory stick, gli scambi di informazioni via instant messaging, la stampa su carta. In molti casi, i dati sono portati fuori sempre per uso lavorativo, anche in buona fede, ma i dipendenti non prendono alcuna precauzione sulla possibilità che le informazioni cadano nelle mani sbagliate. Al momento di lasciare l'azienda, poi, oltre la metà degli impiegati sembra propensa a portarsi via una parte dei dati e delle informazioni aziendali.
La colpa non è solo dei dipendenti
Da questo quadro emerge una situazione ampiamente deficitaria in termini di sicurezza interna. D'altronde, dalla ricerca emerge chiaramente anche la responsabilità delle aziende. Oltre un terzo delle società europee (37%) non ha stabilito delle policy per il trattamento dei dati sensibili, e nel caso in cui esistano, circa un quarto dei dipendenti (24%) non ne è affatto a conoscenza.
I rimedi
Come è evidente, a fronte di questi pericoli di sicurezza le aziende hanno mezzi repressivi o di protezione limitati. Decisamente più importante è quindi la prevenzione e la formazione. Su quest'ultimo versante si fa sempre molto poco, ma probabilmente si tratta dell'elemento chiave nello sviluppo delle politiche complesse di protezione informatica aziendale. Il fattore umano è fattore di rischio non solo per la diffusione di dati sensibili, ma anche per l'introduzione nel sistema interno di pericoli informatici esterni. Quindi corsi di aggiornamento e formazione del personale sul fronte della sicurezza devono essere previsti regolarmente.
Le policy di protezione
Prima di tutto devono essere stabilite delle policy di sicurezza chiare e precise. La loro sintesi deve essere sempre facilmente reperibile nei luoghi aziendali più visitati e frequentati, in modo che il messaggio raggiunga tutti i dipendenti. Quindi, le regole di protezione devono essere inviate a tutti i dipendenti a cadenze fisse (nel circuito di e-mail interna, per esempio) ed essere sempre presenti sulla Intranet aziendale (se esiste). Infine, non si scelgano delle regole eccessivamente restrittive: la repressione non sempre funziona, e in ambito aziendale rischia di essere un boomerang. I dipendenti vanno valorizzati e responsabilizzati, non demoralizzati e puniti. Si scelga per esempio di consentire di portare fuori dall'azienda materiale utile allo studio di un caso o di un progetto, previo l'assenso del responsabile (che saprà quali dati escono) e con una chiara indicazione sugli atteggiamenti da tenere nei confronti di soggetti estranei.
Nessun commento:
Posta un commento