Una ricerca mette a nudo i comportamenti che minano la sicurezza IT delle aziende Italiane
I barbari non si limitano ad assediare le frontiere, peraltro sempre più liquide, di aziende e organizzazioni; sono già tra di noi. Possono assumere le sembianze del cinico annoiato che ritiene sopravvalutata l’importanza della sicurezza informatica, un groviglio di lacci e lacciuoli d’impiccio al lavoro. O quelle dei passivi, per i quali l’onere della sicurezza ricade sull’organizzazione di cui fanno parte e a cui tocca allestire un ambiente di lavoro sicuro, scaricandosi di qualsiasi responsabilità; ancora, vestire i panni dei ben intenzionati, orientati al rispetto delle policy ma incostanti quanto ad effettiva applicazione delle regole; e qualche volta – per fortuna – anche dei consapevoli, coloro che i rischi li conoscono e si impegnano per proteggersi.
Così Cisco tratteggia i profili comportamentali – ognuno corrispondente a un livello crescente di minaccia alla sicurezza – del personale di aziende e organizzazioni del nostro Paese, sulla base di una ricerca condotta su un campione di oltre 1.000 rispondenti. Più in dettaglio, la survey registra la presenza di utenti consapevoli degli sforzi profusi in tema di policy di sicurezza (64%); ma tra loro una fetta non trascurabile (l’11%) le considera inefficaci con una quota più che doppia di rispondenti (25%) neppure a conoscenza della loro esistenza.Dati questi che fanno il paio con le risposte di oltre la metà degli intervistati (56%) che ammette di rispettare le policy solo quando fa comodo, eludendole consapevolmente in almeno un caso su 14. In questo campione poi una parte considerevole (29%) ritiene che la sicurezza IT soffochi l’innovazione e la collaborazione, ostacolando di fatto le attività lavorative.Non serve un genio per intuire che questo mix di comportamenti a rischio, menefreghismo e ignoranza, mettono a rischio l’azienda. Per uscire da questa impasse, Cisco suggerisce di ripensare la propria strategia di sicurezza. Prima di tutto non incappando nell’errore di credere che le minacce provengano soprattutto dall’esterno; e poi cercando di conciliare l’esigenza di protezione con quella di semplicità, con policy di sicurezza a misura d’utente.
«Chi persiste con l’utilizzo di soluzioni di sicurezza tradizionali sarà sempre più esposto ai rischi; tale approccio superato nei fatti, crea delle brecce nella sicurezza a tutto vantaggio di malintenzionati e criminali» avverte Stefano Volpi responsabile della sicurezza in ambito enterprise di Cisco. «Un rischio destinato a crescere con l’ingresso in azienda della generazione di user digital native, a proprio agio con le tecnologie IT e in possesso delle conoscenze per bypassare le policy esistenti». D’altra parte la percezione anche presso l’utenza del rischio connesso a comportamenti pericolosi emerge prepotentemente dalla stessa survey. Per esempio, quando rileva che subito dopo la criminalità organizzata e le attività di hacker e affini i comportamenti del personale sono identificati da parte dei rispondenti come una delle principali fonti di rischio. Oppure con il dato relativo agli utilizzi non consentiti degli strumenti informatici e della rete aziendale per scopi personali – personal banking, acquisti online, navigazione/aggiornamento del proprio profilo social, ecc. – candidamente ammessi dagli interpellati.
«La ricerca ci mostra che una buona parte dei dipendenti attribuisce il giusto valore alle minacce da qualunque fonte provengano; così come non sottovaluta l’importanza di riconoscerle e mitigarle attraverso adeguati strumenti di protezione. Allo stesso tempo, però, ci conferma che la noncuranza di taluni resta una delle prime cause di aumento dei rischi. Evidenziando semmai fosse necessario, la complessità delle sfide che le aziende debbono affrontare in materia di sicurezza IT» conclude Volpi.