Una ricerca commissionata da Cisco analizza le policy di sicurezza aziendali mettendole in relazione con i rischi legati al Data Leakage

Lo studio identifica il gap nella conoscenze delle policy aziendali da parte degli impiegati:
1 azienda su 4 si disinteressa delle policy di sicurezza


Milano, 17 novembre 2008 -Cisco ha annunciato i risultati della seconda fase di uno studio relativo alla perdita di dati (Data Leakage), che rivela la diffusione e l’efficacia delle policy di sicurezza nelle aziende e le motivazioni che spingono gli impiegati a non rispettarle o al contrario ad adeguarsi. Lo studio permette ai team IT di individuare i rischi alla sicurezza comuni agli impiegati in modo che possano creare policy specifiche che rispecchino ciò di cui hanno realmente bisogno le persone per lavorare.


Questi nuovi risultati della scaturiscono dalla seconda parte di una ricerca annunciata lo scorso mese relativa alle attività pericolose compiute dagli impiegati e alla conseguente perdita di dati. I risultati relativi alle policy di sicurezza aziendale derivano da interviste effettuate a oltre 2.000 impiegati e professionisti IT di 10 paesi: Stati Uniti, Inghilterra, Francia, Germania, Italia, Giappone, Cina, India, Australia e Brasile. Lo studio, condotto da InsightExpress, è stato commissionato da Cisco in un momento in cui il data leakage rappresenta la principale preoccupazione delle aziende. Poiché la linea di demarcazione tra lavoro e casa si fa sempre più sottile, e poiché gli impiegati utilizzano applicazioni collaborative e dispositivi mobili, il ruolo ricoperto dalle policy di sicurezza nella protezione dei dati sensibili diventa sempre più importante.


“Lo studio conferma l’esigenza di rivedere le policy di sicurezza aziendale e la modalità con cui vengono comunicate”, ha commentato John N. Stewart, Chief Security Officer di Cisco. “Se un impiegato ritiene che le policy di sicurezza siano ingiuste in quanto ostacolo al loro lavoro, queste perdono automaticamente la loro efficacia. Troppo spesso scriviamo le policy come se fossero dei regolamenti senza però darne la giusta spiegazione, e se associamo questo aspetto alla conoscenza, all’educazione e alla comunicazione, ecco svelato il perché le policy sono necessarie, importanti e in grado di aiutare. Capendo ciò di cui hanno bisogno gli impiegati per fare il loro lavoro, possiamo sviluppare policy realistiche che operano in modo coesivo ed efficiente con la sicurezza, risultando in un ambiente maggiormente sicuro”.


I risultati: questione di policy


Fortunatamente, la ricerca ha riscontrato che la maggior parte delle aziende (77%) ha attuato delle policy. Comunque sia, in un’azienda su quattro tra quelle che non l’ha fatto, il trend relativo alla mobilità, alla collaborazione e al “lavoro senza confini” presenta maggiori problematiche rispetto a quelle aziende che tentano di impostare policy ufficiali sulle modalità e i tempi di accesso ai dati, alle applicazioni e alle reti aziendali. L’assenza di policy di sicurezza è maggiormente diffusa in Giappone (39%) e in Inghilterra (29%), mentre in Italia la policy e’ assente nel 23% dei casi.


Comunque sia, la ricerca rileva che, anche nel caso in cui le aziende abbiano implementato delle policy, gli impiegati spesso non le rispettano o le ignorano. Oltre la metà degli impiegati intervistati ha ammesso di non aderire alle policy di sicurezza aziendale. Tra tutti i paesi, la Francia (84%) ha la percentuale più elevata di impiegati che hanno ammesso di non rispettare le policy, occasionalmente o costantemente. Migliore la situazione in Italia, dove il 46% degli intervistati ha ammesso di non aderire alla policy. Sono numerosi i fattori che influenzano le decisioni che spingono gli impiegati ad aderire o meno a tali policy:


  • Consapevolezza: un dato particolarmente significativo è rappresentato dal gap tra il numero di impiegati e professionisti IT che sono a conoscenza delle policy. In base al paese di appartenenza, il numero di professionisti IT che è consapevole dell’esistenza di una policy è superiore del 20-30% al numero di impiegati. Il gap più notevole (31%) è stato riscontrato in America, Brasile e Italia. A fronte di questi dati ci si domanda se l’IT comunichi le policy agli impiegati e in che modo.
  • Comunicazione: l’11% degli impiegati ha dichiarato che l’IT non comunica e non spiega le policy di sicurezza. Tale dato prevale in Europa, dove Inghilterra (25%) e Francia (20%) hanno registrato il numero più elevato di impiegati che ha presentato questo tipo di lamentela. Quando i responsabili IT comunicano le policy agli impiegati, spesso non lo fanno verbalmente ma tramite strumenti indiretti – messaggi di posta elettronica, messaggi che compaiono nel processo di login del computer e voice mail.
  • Aggiornamenti: 3 professionisti IT su 4 (77%) pensa che le policy richiedano maggiori aggiornamenti (in Italia lo pensa il 79%), mentre la metà degli impiegati (47%)   ha confermato tale esigenza. In Cina (91%) e in India (89%) si sono registrate le percentuali più elevate. Se combinati con i dati comportamentali relativi agli impiegati e scaturiti dalla prima fase della ricerca, l’esigenza di una struttura di sicurezza aziendale è maggiormente sentita nei paesi con economie avviate e forza lavoro in aumento che si stanno connettendo per la prima volta a reti Internet.
  • Imparzialità: la maggior parte degli impiegati crede che le policy aziendali siano ingiuste. Ciò succede in 8 paesi su 10; solo in Germania e in America avviene il contrario. Poiché le aziende diventano sempre più collaborative, spronate dall’adozione delle applicazioni interattive Web 2.0 e dai dispositivi video e mobile, diventa sempre più importante per i dipartimenti IT proteggere gli impiegati che adottano nuove tecnologie senza frustrali con policy particolarmente rigide.
  • Non conformità: tra i dati più significativi spicca la divergenza di opinione tra impiegati e responsabili IT relativamente alla non conformità alle policy. Secondo i dipartimenti IT, gli impiegati non rispettano le policy per numerose ragioni, dalla non comprensione dei rischi alla sicurezza fino all’apatia. In ogni caso, gli impiegati hanno dichiarato che la ragione principale della non conformità è che tali policy non sono allineate con ciò che realmente hanno bisogno per fare il loro lavoro. Oltre 2 impiegati su 5 (42%) hanno presentato tale lamentela. In Germania, sebbene la maggioranza degli impiegati ha dichiarato che le policy aziendali sono giuste, oltre la metà di loro (55%)  ha dichiarato di doverle infrangere per portare a termine il loro lavoro; fortunatamente in Italia la percentuale scende a 33%

“La decisione da parte degli impiegati di aderire o meno alle policy o di aggirarle per completare il proprio lavoro rappresenta un’importante sfida per l’IT”, ha commentato Marie Hatter, Vice President of network Systems and Security Solutions di Cisco. “I dipartimenti IT devono ridisegnare le policy per soddisfare le reali esigenze delle aziende e degli impiegati, o corrono il rischio di andare incontro a una perdita o violazione dai dati”.


Secondo la ricerca, le violazioni non riguardano solo le aziende in questione. Il dato più preoccupante è rappresentato dal fatto che tra i responsabili IT intervistati che hanno a che fare con violazioni delle policy da parte degli impiegati, 1 su 5 ha dichiarato che tali incidenti sono risultati successivamente in perdita dei dati dei clienti



Contattaci

  • Trova un Partner Cisco
  • Documentazione (italiano)
Condividi