Un sondaggio commissionato da Quest Software rivela che la perdita di dati sensibili può costare alle aziende fino a 2,7 milioni di Euro in termini di ricavi e sanzioni
L’utilizzo di dispositivi personali sul posto di lavoro, team dislocati in sedi lavorative differenti e la diffusione dei social network stanno influenzando in modo significativo i metodi di condivisione delle informazioni aziendali, causando quindi serie preoccupazioni per quanto riguarda la sicurezza dei dati. Quest Software, ora parte di Dell, ha recentemente commissionato a Vanson Bourne un sondaggio tra i CIO di Regno Unito, Francia e Germania, che ha rivelato come le attuali policy di sicurezza dei dati non siano in grado di proteggere adeguatamente le informazioni strategiche per il bisiness: spesso, infatti, i processi di gestione dell’identità e degli accessi non vengono aggiornati in modo adeguato per andare incontro alle esigenze in costante cambiamento dei dipendenti, continuando quindi a esporre le aziende ai rischi informatici.
La ricerca ha inoltre messo in evidenza che il 65% dei CIO europei è convinto che i dipendenti condividano i dati nel modo più facile e veloce per loro, bypassando regolarmente le regole IT aziendali e senza sentirsi responsabili per la protezione delle informazioni critiche. Il 69% degli intervistati concorda anche sul fatto che le aziende e i dipendenti debbano assumersi maggiori responsabilità quando condividono, archiviano e gestiscono i dati. A causa dei significativi rischi finanziari, dei danni alla reputazione e delle falle in ambito sicurezza legati alla perdita dei dati, la gestione dell’identità e degli accessi è una priorità del 2013 per più di tre quarti delle aziende europee (76%).
I consigli di Quest Software per affrontare i principali problemi legati alla sicurezza
Aumento delle violazioni
I CIO europei affermano che le informazioni che riguardano i dipendenti (42%), i clienti (33%) e le Risorse Umane (31%) sono i dati più comunemente condivisi sui social network e su altri siti. Negli ultimi 12-18 mesi, informazioni in ambito finanziario (23%), sui clienti (25%) e sulle Risorse Umane (30%) sono state diffuse all’esterno dell’azienda a causa di una gestione inefficace dell’identità e degli accessi. Tra le aziende che hanno subito questo tipo di violazione dei dati, il 33% pensa di aver perso la fiducia dei clienti, mentre il 32% ritiene di aver subito un danno alla reputazione aziendale.
Diminuizione della produttività
Il 98% dei CIO afferma inoltre che una gestione debole dell’identità e degli accessi possa spingere i dipendenti a utilizzare siti di terze parti come soluzione alternativa per archiviare e condividere le informazioni, con eventuali ripercussioni sulla collaborazione e sulla produttività. Il 31% dei CIO afferma che negli ultimi 12-18 mesi i dipendenti sono stati bloccati per periodi di tempo prolungati senza avere accesso alle informazioni di cui avevano bisogno per portare a termine il proprio lavoro.
Sistemi di sicurezza
Il 62% dei CIO ha affrontato una crescente pressione negli ultimi 12 mesi per quanto riguarda la protezione dei dati, in seguito ai casi sempre più numerosi di aziende che hanno perso dati sensibili. La pressione maggiore, in particolare, viene dagli uffici legali interni (41%), dai CEO (40%) e dai legislatori (33%).
Best practice
Soluzioni come Quest One Identity Solutions offrono una serie di caratteristiche in grado di fornire il controllo completo all’interno di un’architettura flessibile e modulare adatta a soddisfare una vasta serie di necessità in ambito sicurezza e ad evitare i rischi rappresentati da una scarsa gestione dell’identità e degli accessi.
I CIO possono lavorare con più serenità seguendo alcune semplici linee guida:
Concentrarsi sull’informazione – per la maggior parte delle minacce informatiche odierne, la prevenzione e la mitigazione dei rischi consistono in una solida campagna di informazione, unita a comportamenti consapevoli e, laddove necessario, a una tecnologia appropriata, che rafforzino password già forti (che vengono cambiate regolarmente).
Applicare il principio del “minor privilegio” – dare a ogni dipendente il minor privilegio necessario a portare a termine i compiti richiesti e garantire che i diritti di accesso non necessari siano revocati quando il dipendente cambia ruolo.
Adottare criteri di controllo degli accessi – fornire avvisi di accesso periodici e automatici che notifichino a due o più amministratori i cambiamenti degli accessi, dei dipendenti o altre problematiche critiche.
Raggiungere la conformità – implementare pratiche e tecnologie di controllo degli accessi e di separazione dei compiti e sviluppare, implementare e rafforzare i criteri di sicurezza su tutti i sistemi di accesso.
“Vediamo molte aziende confrontarsi con le conseguenze di informazioni e criteri di gestione dell’accesso inefficienti, tra cui aumento delle violazioni alla sicurezza, produttività diminuita e costi aumentati”, spiega Phil Allen, Information Security Expert (EMEA) di Quest Software. “I CIO europei stimano che la fallita protezione dei dati dei clienti può arrivare a costare 2,7 milioni di Euro in termini di ricavi e sanzioni, ma l’impatto sulla reputazione dell’azienda resta comunque più dannoso. I sistemi di sicurezza non sono stati implementati sulla base di un dipendente modello appassionato di tecnologia: di conseguenza, gli utenti fanno ricorso al modo più semplice di condividere i dati aziendali e molti lo fanno senza pensare alle conseguenze. Questo porta alla domanda: c’è la possibilità che i dipendenti siano legalmente ritenuti responsabili delle violazioni ai dati aziendali? Come responsabili delle informazioni, i CIO devono ripensare a come gli strumenti e i servizi IT vengono forniti ai dipendenti, in modo da offrire un servizio migliore che vada incontro sia all’utente finale sia alle esigenze aziendali e non presenti rischi non necessari. È inoltre opportuno che gli IT manager istruiscano meglio i dipendenti sui rischi rappresentati dalla condivisione dei dati aziendali su canali vulnerabili”.
“La gestione dell’identità e degli accessi sarà una delle aree di maggior crescita nei prossimi anni, mentre i CIO dovranno assicurare la conformità e garantire che la sicurezza dei dati aziendali non sia esposta a rischi inutili quando si accede a un’infrastruttura Cloud o Mobile”, dichiara Martin Kuppinger, Founder and Principal Analyst di KuppingerCole. “L’esigenza da parte delle aziende del coinvolgimento di business partner rappresenta un ulteriore spinta ad implementare un’infrastruttura IAM/IAG (Identity and Access Management/Governance) flessibile. Tale infrastruttura garantisce reattività qualora i revisori applichino provvedimenti severi alle aziende che non implementano adeguate misure di sicurezza. Le conseguenze di una inadeguata gestione dell’identità e degli accessi possono essere estremamente dannose, indipendentemente dalla portata dell’incidente”.