Sicurezza informatica: l’82% dei lavoratori mette a rischio i dati della propria azienda

Le aziende spendono milioni di euro all’anno per quanto riguarda la sicurezza informatica aziendale: firewall, antivirus, personale IT, ma molto spesso basta che un dipendente non segua alla lettera le disposizioni dell’azienda che i dati vengano irrimediabilmente compromessi.

La sicurezza informatica è stata da sempre una cosa importante, si può dire fin da quando è nata l’informatica stessa, o almeno l’informatica moderna, fatta di collegamenti ad internet e quindi che lascia spazio alla possibilità teorica (ma molto spesso pratica) di poter penetrare in qualsiasi sistema, solo per il fatto che questi sia collegato ad internet. Naturalmente la sicurezza informatica nasce principalmente dalle abitudini (cattive abitudini) degli operatori del settore ed in secondo luogo dagli utenti, che molto spesso rilegano in secondo piano le regole principali di sicurezza, che portano poi a compromettere irrimediabilmente il proprio sistema, e nei casi peggiori i sistemi ad esso collegati (esempio ne è quando un dipendente è collegato ad una rete aziendale e compromette la rete stessa con il suo operato).

Molti spesso pensano che la sicurezza informatica sia fatta esclusivamente dall’adozione di sistemi all’avanguardia come firewall o antivirus hardware a monte, mentre a valle ogni macchina ha il proprio antivirus ed il firewall software. Purtroppo però questo spesso non è possibile, perché anche adottando ogni precauzione possibile, esiste sempre il fattore umano, cioè, basta che gli utenti non adottino tutte le necessarie precauzioni, ed ecco che il sistema viene irrimediabilmente compromesso (a meno che il sistema non sia connesso alla rete e quindi non possa creare problemi irrisolvibili). Ecco perché nelle aziende spesso succede che si ha la perdita di dati o peggio ancora la compromissione del sistema, che porta alla sottrazione dei dati o alcune volte alla trasformazione dei computer aziendali o dei server in macchine zombi con cui mandare attacchi verso altri computer o usati per infettare altri sistemi.

Con queste premesse che Axway (azienda specializzata in “Business Interaction Networks”) ha commissionato a Osterman Research una ricerca intitolata “Problems with File Transfers and What Organizations Should Do to Resolve Them” (Problemi nel trasferimento dei file e soluzioni a disposizione delle aziende) che prende in esame i casi in cui l’operato dei dipendenti di una azienda possono mettere in pericolo l’integrità strutturale della rete ed i dati presenti nei computer e nei server collegati a questa rete. Naturalmente una problematica che poi può essere applicata sia alle piccole aziende che a quelle medie e grandi. Nonostante poi che i responsabili IT delle aziende informino i dipendenti a quali rischi incorrono e formino il personale per una corretta procedura da seguire.

Una delle pratiche più diffuse in qualsiasi azienda è quella dell’invio di file o in generale dati (sia riservati che comuni), che generalmente avviene tramite l’account di posta elettronica dell’azienda. Delle volte però accade che gli allegati da inviare abbiano delle dimensioni troppo elevate e che quindi violano le regole imposta per gli account aziendali, a questo punto (secondo la ricerca), l’82% degli intervistati invia l’allegato tramite il proprio account di posta elettronica e di questi l’80% confida di utilizzare supporti fisici trasportabili per trasportare questi dati. Naturalmente tutte queste procedure sono sconsigliate dagli operatori IT che lavorano all’interno dell’azienda, mentre gli intervistati sembra non seguano le procedure corrette e soprattutto sicure create apposta dalle aziende per queste eventualità.

Il problema nasce dal fatto che i sistemi di posta elettronica (a meno che non vengano progettati con questo scopo preciso) non nascono per supportare il trasferimento di file di dimensioni elevate e quindi non sono in grado di gestirli in modo corretto. Naturalmente queste problematiche vengono anche riconosciute dal 50% degli intervistati. Un altro dei problemi derivati da file di dimensioni elevati, sta nel fatto che una volta spediti come allegati tendono a rallentare le prestazioni del sistema della posta elettronica ed in più i costi di archiviazione come anche quelli del comparto IT tendono ad aumentare vertiginosamente.

Le aziende crescono, cresce il business e naturalmente questa crescita porta ad un incremento dei dati scambiati che nel contempo portano a rischiare le aziende a perdere questi dati se per caso l’operazione non dovesse andare a buon fine (questo perché non gestite in sicurezza). Lo scambio di dati fra aziende è abbastanza consistente ed aumenta periodicamente ed esponenzialmente, tanto che il 20% delle persone interpellate ha affermato che la propria azienda ogni settimana effettua scambi di file con oltre 500 aziende esterne. Un 22% invece ha affermato invece che questa tipologia di scambi avvengono settimanalmente con un numero di soggetti esterni che varia da 101 a 500.

Un altro sondaggio eseguito in precedenza dalla stessa Osterman Research ha messo in evidenza come il 29% delle e-mail inviate dagli utenti aziendali che utilizzano la posta dal lavoro, hanno degli allegati e che l’utente aziendale generalmente invia e riceve almeno 149 e-mail al giorno. Da qui sempre Osterman Research ha eseguito un calcolo statistico dove per esempio un’azienda con 5.000 utenti, produce all’anno una media di 193,7 milioni di messaggi (tra messaggi spediti e ricevuti), e di questi quelli che contengono allegati sono stimati in circa 56,2 milioni. 10,7 milioni di queste e-mail contengono allegati che comprendono dati per oltre i cinque megabyte, mentre per 3,4 milioni la dimensioni degli allegati supera i 10 megabyte.

“Le crescenti dimensioni dei file, i limiti imposti sugli allegati e i problemi di storage creano un’impasse nel trasferimento dei file dalla quale i normali utenti faticano ad uscire. Le prime vittime di questa situazione sono i processi di revisione”, ha dichiarato Michael Osterman di Osterman Research.

“Le aziende dovrebbero individuare un modo univoco di affrontare questo problema, i sistemi di trasferimento dei file dovrebbero infatti funzionare indipendentemente dall’email e garantire la sicurezza dei dati e dei processi di revisione, consentendo allo stesso tempo la definizione e applicazione delle regole e delle policy sui trasferimenti”.

Questa ricerca, oltre a dimostrare come i passi da fare verso la sicurezza aziendale siano ancora tanti, e questi dipendano molto anche dalle abitudini dei dipendenti comuni dell’azienda stessa, ha messo in luce alcuni dati importanti. Il 64% di chi ha risposto all’intervista è preoccupato o molto preoccupato della violazione delle policy o dei regolamenti di sicurezza a causa dai trasferimenti di file. Nonostante questa preoccupazione poi sia fondata, si ostinano ancora ad utilizzare ad esempio per il trasferimento di dati il protocollo FTP standard, senza magari pensare ad esempio ad una versione più sicura (ad esempio tramite SSL).

Ma ancora il 61% degli intervistati è preoccupato o molto preoccupato del rischio a cui sono sottoposti i dati proprietari dei clienti o aziendali, il 56% si dichiara preoccupato o molto preoccupato della propria capacità di rispettare i requisiti di audit interni o esterni, il 53% è preoccupato o molto preoccupato della visibilità e del monitoraggio dei trasferimenti e degli scambi di file. Eppure nonostante questo sembra che le pratiche sbagliate o comunque la disattenzione regni sovrana in azienda e che quindi molto spesso falle o comunque perdite di dati, derivino anche da dipendenti poco attenti a certe tematiche.

“Tutte le aziende, indipendentemente dal settore nel quale operano e dalle loro dimensioni, devono affrontare il problema del trasferimento dei file”, ha dichiarato Joe Fisher, Senior Vice President Product and Solutions Marketing di Axway. “Senza un sistema di trasferimento di file sicuro e dedicato, le aziende si trovano ad affrontare conseguenze serie: tra le quali il rischio che la sicurezza dei dati sensibili possa essere compromessa, l’incremento dei costi per rimediare alle violazioni di sicurezza e le spese maggiori dal punto di vista gestionale e dell’IT, dovute alla spedizione di supporti fisici e allo storage della posta elettronica”.

Qualche giorno fa leggevo un’intervista fatta ad un esperto di sicurezza informatica: questi raccontava come spesso oltre ai sistemi operativi, anche i firewall o in generale i software da utilizzare per la sicurezza dei sistemi contenevano bug o vere e proprie falle che permettono a malintenzionati di bucare i sistemi ed impadronirsi di dati riservati o peggio ancora prendere il controllo del sistema stesso. L’esperto raccontava anche del suo sistema e delle soluzioni adottate dalla sua azienda per ovviare a queste problematiche. Naturalmente il tutto prevedeva sistemi operativi blindati, con alcune limitazioni e determinate tipologie di dispositivi hardware. Tra l’altro dipingeva a fosche tinte il futuro (come anche il presente) della sicurezza informatica, sostenendo l’insicurezza di qualsiasi sistema (come no negarlo, infatti il sistema sicuro è quello all’interno di uno stabile in cemento armato e piombo, protetto da guardie armate, con sistemi anti intrusione fisici e naturalmente non connesso alla rete internet, senza la possibilità di collegarci chiavette, usb, supporti fisici o supporti CD/DVD).

Quello che però faceva passare in secondo piano è il fattore umano: infatti non metteva l’accento sulla possibilità che tutti i sistemi di sicurezza e le accortezze hardware e software, potessero essere vanificate da un uso non corretto del sistema, visto e considerato che non tutti i dipendenti hanno un livello informatico elevato ma soprattutto non hanno la sensibilità riguardo la sicurezza informatica (che non vuol dire non considerarla importante ma proprio non applicare alla lettera le policy aziendali). Alla fine puoi proteggere quello che vuoi, con qualsiasi sistema anche all’avanguardia, ma se un anello della catena è debole, tutto l’apparato resterà debole.