Europa
Un’indagine commissionata da Websense, società specializzata nella sicurezza IT, sullo Stato della Sicurezza nelle PMI europee evidenzia una quantità di percezioni distorte in materia di protezione da parte delle aziende europee di piccole e medie dimensioni e un falso senso di sicurezza che le espone a molte minacce. Dipendenti che ammettono di navigare sul web per scopi non connessi al lavoro per massimo 2 ore e mezza la settimana, mentre i responsabili IT dichiarano che in realtà le ore sono almeno 4. Addetti alla sicurezza IT aziendale che ritengono la propria azienda al riparo da qualsiasi minaccia e poi ammettono che l’unica dotazione di sicurezza è costituita da firewall e antivirus o poco di più, mentre quasi nulla protegge l’azienda dai rischi di file sharing P2P o dalle fughe di informazioni generate all’interno, sono alcuni dei risultati dell’indagine che confermano quanto sopra.
L’indagine evidenzia l’uso crescente di applicazioni e siti web potenzialmente pericolosi da parte dei dipendenti delle PMI, che si unisce alla carenza di consapevolezza e informazione relativamente ai pericoli per la sicurezza. Questo anche se tanto i responsabili IT (il 45%) quanto i dipendenti (l’83% del campione) delle PMI ritengono che il loro posto potrebbe essere a rischio a seguito di infezioni da codice maligno che colpiscano le loro aziende.
Lo studio, condotto su un campione di 750 addetti di PMI di 5 paesi europei (Italia, Francia, Gran Bretagna, Germania, Olanda), sottolinea come il 98% dei responsabili IT ritenga che le tecnologie e le procedure attuate siano sufficienti a garantire la protezione, con oltre la metà (53%) che giudica “buono” il livello di protezione e un quarto che lo ritiene “ottimo”, ovvero che l’azienda sarebbe protetta al 100%. Eppure, interrogati in modo approfondito, gli stessi responsabili IT rivelano che le loro aziende non sono in alcun modo protette dai buchi alla sicurezza che possono derivare da uso di applicazioni P2P, mancato filtraggio dell’uso di Internet e assenza di blocco degli allegati degli instant message. In una lista di 9 potenziali rischi alla sicurezza, nessuna azienda intervistata è infatti risultata avere in campo una protezione contro la totalità di questi pericoli, con il 15% che ritiene firewall e antivirus soluzioni sufficienti per una protezione globale. L’indagine evidenzia dunque una preoccupante discrepanza tra la percezione del livello di protezione esistente in azienda da parte del responsabile IT e lo stato reale della sicurezza all’interno delle PMI.
“Budget e staff ridotti per l’IT lasciano molte PMI in balia dei pericoli di Internet. Al di là delle percezioni, la loro sicurezza reale è piena di buchi: molte di queste organizzazioni non pensano nemmeno a controllare l’uso di applicazioni P2P o a bloccare l’accesso a siti maligni quali quelli usati per il phishing, entrambi veicoli di furti di dati“, spiega Maurizio Garavello, country manager di Websense Italia. “E invece i pericoli di Internet sono altrettanto concreti per le PMI di quanto lo sono per le grandi aziende. E’ vero che ormai tutte le PMI possiedono un livello base di protezione (firewall più antivirus, essenzialmente), ma è altrettanto vero che non vanno in genere molto oltre, fallendo così l’obiettivo di una protezione ad ampio spettro e mettendo di conseguenza a rischio l’azienda, i suoi dati e i suoi dipendenti“.
Si riportano i principali risultati dell’indagine.
Quale protezione per le PMI? – per un 71% dei responsabili IT delle PMI convinto che la sua azienda dovrebbe avere lo stesso livello di sicurezza Internet di una grande organizzazione, c’è circa un quinto di IT manager (17%) che crede che le PMI abbiano bisogno di una protezione inferiore rispetto alle aziende di maggiori dimensioni in quanto sarebbero meno esposte ai rischi, mentre un 7% ammette che una protezione inferiore è inevitabile, in conseguenza delle ridotte disponibilità di budget.
Il richiamo del web e’ più forte della paura – il 91% dei dipendenti intervistati ritiene di poter rischiare il licenziamento se scoperto a compiere attività che possono porre a rischio le informazioni e i dati aziendali. Eppure, il 45% ammette di averlo fatto almeno una volta. Il 68% dei responsabili IT ritiene che anche il suo posto di lavoro possa essere a rischio a causa di tali attività da parte dei dipendenti.
Fiducia mal riposta? – il 66% degli utenti si dice certo che alla protezione dalle minacce di Internet pensino quelli dell’IT. Tant’è che solo il 31% dei dipendenti che effettua transazioni online con uso di carta di credito al lavoro ha preventivamente chiesto informazioni al dipartimento IT relativamente al livello di protezione dai furti di identità esistente in azienda.
Attrazione fatale – il 60% dei dipendenti intervistati ha dichiarato di non riuscire a trattenersi da attività potenzialmente a rischio sul posto di lavoro quali, in particolare, P2P (il 25% degli intervistati) e download da siti che offrono software gratuiti (17%). L’elenco di tali attività che costituiscono – quale più quale meno – un’attrazione fatale per i dipendenti comprende accesso a blog e comunità online, shopping, partecipazione ad aste online, siti per la ricerca di posti di lavoro, Internet banking (vedi tabella 1 in allegato).
Falsa percezione del livello di sicurezza – è evidente che le PMI europee non sono pienamente protette dalle minacce alla sicurezza provenienti dal web, considerando che: solo il 6% impedisce il collegamento di dispositivi USB e iPod, solo il 22% blocca l’uso di applicazioni P2P, solo il 30% blocca gli allegati instant message e, infine, solo il 31% blocca i siti di phishing
Le policy ci sono, ma chi le rispetta? – l’84% delle PMI europee ha policy interne per l’uso di Internet, ma solo il 25% si assicura che i dipendenti le sottoscrivano. Solo il 47% le attua in automatico, usando software per il filtering dei contenuti web. Il 16% ammette di non aver alcuna policy di questo tipo, il che equivale al fidarsi totalmente dei dipendenti. Eppure, circa un terzo degli IT manager (32%) indica il comportamento degli utenti come la principale causa del fallimento dell’instaurazione e del mantenimento di un livello di sicurezza adeguato in azienda, seguita dal fatto che la sicurezza IT non viene ritenuta tra le priorità dell’azienda (27%) e dai vincoli di budget, al terzo posto con il 21%.
“I risultati della ricerca evidenziano l’urgenza per le PMI di correre ai ripari, ponendo la sicurezza IT tra le loro priorità. Affidare la sicurezza alla fiducia in un comportamento responsabile dei dipendenti non è sufficiente, anche perché molte delle nuove minacce agiscono in modo occulto. L’unica soluzione è rendere automatiche protezione e policy per l’uso di Internet”, aggiunge Maurizio Garavello. “Le nuove applicazioni Web 2.0 quali, in particolare, social network come My Space e Facebook, stanno contrinìbuendo a intensificare l’uso di Internet per scopi personali sul posto di lavoro. Tali applicazioni pongono rischi per la sicurezza e la produttività. Non è davvero più possibile affidarsi solo a firewall e antivirus per proteggersi“.
Per quanto riguarda la situazione italiana, il campione intervistato comprendeva 75 manager con responsabilità delle sicurezza IT e 75 dipendenti con ruoli di responsabilità di aziende appartenenti a vari settori industriali con un massimo di 250 addetti.
La media generale europea dei dipendenti timorosi che il proprio posto di lavoro possa essere a rischio se scoperti a compiere attività potenzialmente pericolose per la sicurezza dell’azienda è del 91%. In Italia, le attività giudicate più a rischio in questo senso sono: causare un’infezione da virus o spyware maligno (67% contro la media dell’83% a livello europeo), accedere a siti per adulti (67% contro la media dell’82%) e causare la divulgazione di informazioni riservate (57% contro una media del 76%).
Attività quali scaricare musica, video, software e altro (32%), giocare online (25%) ed effettuare shopping online (25%) sono invece allineate alla media delle risposte negli altri paesi europei. La media europea dei dipendenti che almeno una volta ammettono di aver compiuto attività che potrebbero mettere a rischio le informazioni e i dati dell’azienda è del 45%. In Italia, nell’ordine, le attività di questo tipo compiute più di frequente sono: invio di documenti di lavoro a una email personale per lavorarci da casa (23%), aprire una mail sebbene appaia sospetta (13%), cliccare su un pop-up pubblicitario (4%). In generale, comunque, il 71% dei dipendenti intervistati in Italia ha dichiarato di non aver mai compiuto alcuna attività a rischio.
Il 60% dei dipendenti in Europa non può vivere senza compiere determinate attività extra-lavorative sul web durante l’orario di lavoro. Per i dipendenti italiani, la vera attrazione fatale è costituita, nell’ordine, da blog e community (25%), instant message con i colleghi (23%, mentre sulla media europea questa è l’attività al primo posto), instant message con gli amici (15%) e file sharing via siti P2P (11%).
Un po’ più alta della media europea (40% contro 32%) la percentuale di responsabili IT che ritiene che il comportamento sconsiderato degli utenti sia il principale ostacolo verso l’attuazione di una protezione efficace in azienda. Una cosa curiosa da notare è che solo in Italia il 4% dei responsabili IT intervistati ritiene che le Risorse Umane abbiano la responsabilità ultima del rispetto della sicurezza. Sebbene l’85% delle PMI europee intervistate abbia dichiarato di avere in uso almeno una tecnologia di protezione aggiuntiva rispetto ai semplici firewall e antivirus, nessuna azienda ha dichiarato di avere installate soluzioni in grado di contrastare tutte e 9 le principali minacce alla sicurezza. Di seguito, le percentuali degli intervistati (IT Manager italiani in questo caso) che affermano che la loro azienda ne è dotata: anti-spyware: 72%, filtraggio dei contenuti Internet: 52%, blocco degli allegati IM: 44%, blocco dei siti di phishing: 33%, uso controllato dell’instant messaging: 23%, blocco delle applicazioni P2P: 11%, strumenti per l’identificazione degli hacker interni: 9%, protezione dei dati confidenziali: 8% e inibizione del collegamento di dispositivi USB e iPod: 1%.
Da queste cifre emerge come in Italia l’uso di strumenti di web filtering da parte delle PMI (52%) sia superiore alla media europea (assestata sul 45%), ma si evidenzia anche con preoccupazione come le PMI italiane siano decisamente più preparate a fronteggiare le minacce provenienti dall’esterno che le possibili fughe di informazioni generate all’interno, considerando che la media europea relativamente all’implementazione di strumenti per identificazione di hacker interni e protezione dei dati confidenziali è, rispettivamente, del 43% (9% in Italia) e 33% (8% in Italia).
Letti in un altro modo, questi dati evidenziano che in Italia la grande maggioranza delle PMI non è dotata di tecnologia aggiuntiva rispetto ai semplici firewall e antivirus per proteggersi da rischi o da uso scorretto di applicazioni/strumenti quali: collegamento di dispositivi USB e iPod: 99%, fuga di dati confidenziali: 92%, hacker interni: 91%, applicazioni P2P: 89%, instant messaging non gestito: 77%, siti di phishing: 67%, allegati IM: 56%, contenuti Internet non filtrati: 48% e spyware: 28%.
