Ricerca Cisco sul Data Leakage
Lo studio è stato condotto da InsightExpress e commissionato da Cisco per valutare le implicazioni relative alla perdita dei dati (Data Leakage) a fronte della trasformazione delle aziende oggi sempre più collaborative, mobile e distribuite. I risultati di questa ultima fase sono legati alla precedente edizione incentrata sugli errori più comuni commessi dagli impiegati e causa di perdite di dati e di violazioni alla sicurezza aziendale. Tutte tre le fasi di questo studio, disponibili all’indirizzo www.cisco.com/go/dlp, scaturiscono da interviste effettuate a oltre 2.000 impiegati e professionisti IT di 10 paesi: Stati Uniti, Inghilterra, Francia, Germania, Italia, Giappone, Cina, India, Australia e Brasile.
“La linea di demarcazione sempre più la labile tra vita lavorativa e privata così come tra pubblico e privato comporta che i dati siano accessibili, trasmessi, memorizzati e rubati da chiunque e in qualsiasi momento”, ha commentato John N. Stewart, chief security officer di Cisco. “Ciò significa che l’approccio alla protezione dei dati deve cambiare. Le grandi aziende e i giovani utenti condividono la responsabilità di dover essere informati e disciplinati in fatto di protezione delle informazioni. Come sottolineato più volte, questa ricerca deve essere considerata come un’opportunità per evolvere la sicurezza verso la necessaria combinazione tra conoscenza, policy e tecnologia”.
Tali cambiamenti devono partire dall’IT , ha aggiunto Stewart, in particolare con la percezione dell’impatto che possono avere i comportamenti degli impiegati sulla perdita dei dati. Tra gli aspetti più importanti della ricerca vi è sicuramente la convinzione tra i responsabili IT che gli impiegati siano sempre più a conoscenza dei rischi alla sicurezza così come più diligenti nella protezione dei dati. Ad esempio, secondo 4 professionisti IT su 5 in Cina e 1 su 2 in Francia, i propri impiegati sono sempre più sensibili alla protezione delle informazioni aziendali rispetto agli anni precedenti.
Ma la ricerca fornisce una visione differente, mettendo in evidenza uno dei risultati più interessanti: sebbene la maggior parte delle minacce alla sicurezza provenga dall’esterno, lo studio mostra che le minacce interne, siano esse di natura accidentale o dolosa, sono più diffuse rispetto a quelle esterne.
Le minacce interne rispetto a quelle esterne: la maggior parte dei professionisti IT è convinta che i propri impiegati siano un pericolo più serio alla sicurezza dei dati rispetto a figure esterne. Secondo 2 professionisti IT su 5 (39%) la principale ragione è da attribuirsi alla negligenza tra gli impiegati, mentre 1 su 5 ritiene che gli impiegati “scontenti” rappresentino il maggior rischio per la sicurezza dei dati.
Hard disk portatili: 1 professionista IT su 3 ha dichiarato che gli hard disk portatili sono lo strumento più utilizzato per il furto dei dati – con una percentuale maggiore rispetto alla posta elettronica (25%), ai dispositivi persi o rubati (19%) e alle comunicazioni verbali con persone non impiegate in azienda (8%).
Dispositivi persi o rubati: nell’anno in cui è stata condotta la ricerca, circa un impiegato su 10 ha perso o gli è stato rubato un dispositivo aziendale, con un conseguente perdita di dati che ha generato un danno per se stesso e per l’azienda.
Furto e vendita di informazioni e dispositivi: 1 impiegato su 10 (11%) ha ammesso di aver rubato dati o dispositivi aziendali per rivenderli, o conoscono persone che l’hanno fatto. Questo atteggiamento è stato maggiormente riscontrato in Francia, dove un impiegato su 5 (21%) ha ammesso di essere a conoscenza di tale comportamento.
Dispositivi non restituiti dopo aver lasciato l’azienda: alcuni impiegati hanno ammesso di non aver restituito dispositivi aziendali o di aver portato via informazioni dopo aver cambiato lavoro. Le ragioni sono numerose tra cui “Avevo bisogno di quel dispositivo per un utilizzo personale”, “Volevo tornare nella società”, “Tanto l’azienda non lo scopre”.
“Consideriamo la proprietà intellettuale come il bene più importante da proteggere mentre l’impatto e le perdite maggiori si hanno quando un’azienda perde i dati dei clienti”, ha continuato Stewart. “Se pensiamo a ciò, i dati sono la risorsa più importante da proteggere in un’organizzazione proprio perché non sono nostri. Siamo dei “guardiani” e i clienti si affidano a noi per proteggere le loro informazioni”.
“I dati degli impiegati, che quasi tutte le aziende hanno da qualche parte, sono altrettanto importanti perché vogliamo che chi lavora per e con noi sia certo che le informazioni personali che li riguardano siano protette e al sicuro”, ha aggiunto Stewart. “Detto ciò, le proprietà intellettuali sono chiaramente di valore e per la maggior parte delle volte di proprietà. Comunque sia, in tutti i casi, la perdita di dati può minare il brand di un’azienda, danneggiare il vantaggio competitivo, impattare il valore degli azionisti, intaccare la fiducia dei clienti e mettere a repentaglio le partnership”.
Stewart fa notare che le aziende possono intraprendere numerose azioni per ridurre al minimo i rischi e contenere i costi associati alla perdita di dati, tra cui:
Identificare i dati che devono essere protetti
Non dare per scontato che gli impiegati sappiano quali dati vadano protetti
Far si che le figure aziendali abbiano la stessa “cultura” di sicurezza condivisa in azienda
Restare in contatto con gli impiegati e il loro lavoro.