Le aziende europee perdono i dati
Una ricerca di McAfee mette in luce come le aziende europee siano a rischio
perdita dati. Le spese, anche ingenti, in sistemi di backup e di protezione dei dati viene messa in crisi dal fattore umano.
Sistemi di backup automatico, antivirus, firewall e soluzioni di sicurezza avanzate contro attacchi hacker dall'esterno,
protezione fisica dei dispositivi: i più costosi e ingenti investimenti in sicurezza sono vanificati, nelle aziende
europee, dal fattore umano. Sono i dipendenti a mettere a repentaglio i dati sensibili aziendali: questo sostiene una ricerca
condotta da ICM Research per conto di McAfee.
I danni dall'interno
Lo studio compiuto su 600 impiegati di aziende europee non lascia margini di dubbio. Ogni settimana, circa 176 milioni di
documenti sono portati fuori dalle mura aziendali dai dipendenti. Per la maggior parte, si tratta di documenti interni
quotidiani e delle schede dei clienti dell'azienda, seguiti dai dati finanziari dell'azienda stessa. In media, un impiegato
europeo porta fuori dall'ufficio 11 documenti ogni settimana. Inoltre, una volta portati fuori dall'azienda, questi dati
sono spesso condivisi con altre persone: quasi un quinto dei dipendenti condivide le informazioni con contatti esterni,
anche se la percezione che un trattamento riservato sia fondamentale è molto diffusa, superiore al 90%.
Come escono i dati
Il sistema preferito per portare fuori le informazioni è quello della spedizione via e-mail a terze persone, ma ci
sono anche i supporti come le memory stick, gli scambi di informazioni via instant messaging, la stampa su carta. In molti
casi, i dati sono portati fuori sempre per uso lavorativo, anche in buona fede, ma i dipendenti non prendono alcuna
precauzione sulla possibilità che le informazioni cadano nelle mani sbagliate. Al momento di lasciare l'azienda, poi,
oltre la metà degli impiegati sembra propensa a portarsi via una parte dei dati e delle informazioni aziendali.
La colpa non è solo dei dipendenti
Da questo quadro emerge una situazione ampiamente deficitaria in termini di sicurezza interna. D'altronde, dalla ricerca
emerge chiaramente anche la responsabilità delle aziende. Oltre un terzo delle società europee (37%) non
ha stabilito delle policy per il trattamento dei dati sensibili, e nel caso in cui esistano, circa un quarto dei dipendenti
(24%) non ne è affatto a conoscenza.
I rimedi
Come è evidente, a fronte di questi pericoli di sicurezza le aziende hanno mezzi repressivi o di protezione limitati.
Decisamente più importante è quindi la prevenzione e la formazione. Su quest'ultimo versante si fa sempre
molto poco, ma probabilmente si tratta dell'elemento chiave nello sviluppo delle politiche complesse di protezione informatica
aziendale. Il fattore umano è fattore di rischio non solo per la diffusione di dati sensibili, ma anche per
l'introduzione nel sistema interno di pericoli informatici esterni. Quindi corsi di aggiornamento e formazione del personale
sul fronte della sicurezza devono essere previsti regolarmente.
Le policy di protezione
Prima di tutto devono essere stabilite delle policy di sicurezza chiare e precise. La loro sintesi deve essere sempre
facilmente reperibile nei luoghi aziendali più visitati e frequentati, in modo che il messaggio raggiunga tutti i
dipendenti. Quindi, le regole di protezione devono essere inviate a tutti i dipendenti a cadenze fisse (nel circuito di
e-mail interna, per esempio) ed essere sempre presenti sulla Intranet aziendale (se esiste). Infine, non si scelgano delle
regole eccessivamente restrittive: la repressione non sempre funziona, e in ambito aziendale rischia di essere un boomerang.
I dipendenti vanno valorizzati e responsabilizzati, non demoralizzati e puniti. Si scelga per esempio di consentire di
portare fuori dall'azienda materiale utile allo studio di un caso o di un progetto, previo l'assenso del responsabile (che
saprà quali dati escono) e con una chiara indicazione sugli atteggiamenti da tenere nei confronti di soggetti
estranei.
 |
