Websense: le Pmi sbagliano a sentirsi sicure

Sicurezza

Lo studio, condotto da una società di ricerche indipendente per conto
dell’azienda specializzata in sicurezza It, rivela una discrepanza tra quanto le
Pmi ritengono di essere protette dalle minacce alla sicurezza informatica e
quanto lo sono realmente

L’indagine ha evidenziato l’uso crescente di applicazioni e siti web potenzialmente pericolosi da parte dei dipendenti delle PMI, che si unisce alla carenza di consapevolezza e informazione relativamente ai pericoli per la sicurezza. Questo anche se, sempre secondo le risposte all’indagine, sia i responsabili IT (il 45%) sia i dipendenti (l’83% del campione) delle PMI ritengono che il loro posto potrebbe essere a rischio a seguito di infezioni da codice maligno che colpiscano le loro aziende. Lo studio condotto su un campione di 750 addetti di PMI di 5 paesi europei (Italia, Francia, Gran Bretagna, Germania, Olanda), sottolinea come il 98% dei responsabili IT ritenga che le tecnologie e le procedure attuate siano sufficienti a garantire la protezione, con oltre la metà (53%) che giudica ?buono? il livello di protezione e un quarto che lo ritiene ?ottimo?, ovvero che l’azienda sarebbe protetta al 100%. Eppure, interrogati in modo approfondito, gli stessi responsabili IT rivelano che le loro aziende non sono in alcun modo protette dai buchi alla sicurezza che possono derivare da uso di applicazioni P2P, mancato filtraggio dell’uso di Internet e assenza di blocco degli allegati degli instant message. In una lista di 9 potenziali rischi alla sicurezza, nessuna azienda intervistata è infatti risultata avere in campo una protezione contro la totalità di questi pericoli, con il 15% che ritiene firewall e antivirus soluzioni sufficienti per una protezione globale. L’indagine evidenzia dunque una preoccupante discrepanza tra la percezione del livello di protezione esistente in azienda da parte del responsabile IT e lo stato reale della sicurezza all’interno delle PMI.

I principali risultati dell’indagine

Quale protezione per le PMI? – per un 71% dei responsabili IT delle PMI convinto che la sua azienda dovrebbe avere lo stesso livello di sicurezza Internet di una grande organizzazione, c’è circa un quinto di IT manager (17%) che crede che le PMI abbiano bisogno di una protezione inferiore rispetto alle aziende di maggiori dimensioni in quanto sarebbero meno esposte ai rischi, mentre un 7% ammette che una protezione inferiore è inevitabile, in conseguenza delle ridotte disponibilità di budget.

Il richiamo del Web vince la paura – il 91% dei dipendenti intervistati ritiene di poter rischiare il licenziamento se scoperto a compiere attività che possono porre a rischio le informazioni e i dati aziendali. Eppure, il 45% ammette di averlo fatto almeno una volta. Il 68% dei responsabili IT ritiene che anche il suo posto di lavoro possa essere a rischio a causa di tali attività da parte dei dipendenti.

Fiducia mal riposta? – il 66% degli utenti si dice certo che alla protezione dalle minacce di Internet pensino quelli dell’IT. Tant’è che solo il 31% dei dipendenti che effettua transazioni online con uso di carta di credito al lavoro ha preventivamente chiesto informazioni al dipartimento IT relativamente al livello di protezione dai furti di identità esistente in azienda.

Attrazione fatale ? il 60% dei dipendenti intervistati ha dichiarato di non riuscire a trattenersi da attività potenzialmente a rischio sul posto di lavoro quali, in particolare, P2P (il 25% degli intervistati) e download da siti che offrono software gratuiti (17%). L’elenco di tali attività che costituiscono ? quale più quale meno ? un’attrazione fatale per i dipendenti comprende accesso a blog e comunità online, shopping, partecipazione ad aste online, siti per la ricerca di posti di lavoro, Internet banking (vedi tabella 1 in allegato).

Falsa percezione del livello di sicurezza – è evidente che le PMI europee non sono pienamente protette dalle minacce alla sicurezza provenienti dal web, considerando che:

– Solo il 6% impedisce il collegamento di dispositivi USB e iPod – Solo il 22% blocca l’uso di applicazioni P2P – Solo il 30% blocca gli allegati instant message – Solo il 31% blocca i siti di phishing

Chi rispetta le policy? ? l’84% delle PMI europee ha policy interne per l’uso di Internet, ma solo il 25% si assicura che i dipendenti le sottoscrivano. Solo il 47% le attua in automatico, usando software per il filtering dei contenuti web. Il 16% ammette di non aver alcuna policy di questo tipo, il che equivale al fidarsi totalmente dei dipendenti. Eppure, circa un terzo degli IT manager (32%) indica il comportamento degli utenti come la principale causa del fallimento dell’instaurazione e del mantenimento di un livello di sicurezza adeguato in azienda, seguita dal fatto che la sicurezza IT non viene ritenuta tra le priorità dell’azienda (27%) e dai vincoli di budget, al terzo posto con il 21%.

La situazione in Italia

Il campione intervistato in Italia comprendeva 75 manager con responsabilità delle sicurezza IT e 75 dipendenti con ruoli di responsabilità di aziende appartenenti a vari settori industriali con un massimo di 250 addetti.

La media generale europea dei dipendenti timorosi che il proprio posto di lavoro possa essere a rischio se scoperti a compiere attività potenzialmente pericolose per la sicurezza dell’azienda è del 91%. In Italia, le attività giudicate più a rischio in questo senso sono:

– causare un’infezione da virus o spyware maligno (67% contro la media dell’83% a livello europeo), – accedere a siti per adulti (67% contro la media dell’82%), – causare la divulgazione di informazioni riservate (57% contro una media del 76%).

Attività quali scaricare musica, video, software e altro (32%), giocare online (25%) ed effettuare shopping online (25%) sono invece allineate alla media delle risposte negli altri paesi europei. La media europea dei dipendenti che almeno una volta ammettono di aver compiuto attività che potrebbero mettere a rischio le informazioni e i dati dell’azienda è del 45%. In Italia, nell’ordine, le attività di questo tipo compiute più di frequente sono: invio di documenti di lavoro a una email personale per lavorarci da casa (23%), aprire una mail sebbene appaia sospetta (13%), cliccare su un pop-up pubblicitario (4%). In generale, comunque,il 71% dei dipendenti intervistati in Italia ha dichiarato di non aver mai compiuto alcuna attività a rischio. Il 60% dei dipendenti in Europa non può vivere senza compiere determinate attività extra-lavorative sul web durante l’orario di lavoro. Per i dipendenti italiani, la vera attrazione fatale è costituita, nell’ordine, da blog e community (25%), instant message con i colleghi (23%, mentre sulla media europea questa è l’attività al primo posto), instant message con gli amici (15%) e file sharing via siti P2P (11%). Un po’ più alta della media europea (40% contro 32%) la percentuale di responsabili IT che ritiene che il comportamento sconsiderato degli utenti sia il principale ostacolo verso l’attuazione di una protezione efficace in azienda. Una cosa curiosa da notare è che solo in Italia il 4% dei responsabili IT intervistati ritiene che le Risorse Umane abbiano la responsabilità ultima del rispetto della sicurezza. Sebbene l’85% delle PMI europee intervistate abbia dichiarato di avere in uso almeno una tecnologia di protezione aggiuntiva rispetto ai semplici firewall e antivirus, nessuna azienda ha dichiarato di avere installate soluzioni in grado di contrastare tutte e 9 le principali minacce alla sicurezza. Di seguito, le percentuali degli intervistati (IT Manager italiani in questo caso) che affermano che la loro azienda ne è dotata:

– anti-spyware: 72% – filtraggio dei contenuti Internet: 52% – blocco degli allegati IM: 44% – blocco dei siti di phishing: 33% – uso controllato dell’instant messaging: 23% – blocco delle applicazioni P2P: 11% – strumenti per l’identificazione degli hacker interni: 9% – protezione dei dati confidenziali: 8% – inibizione del collegamento di dispositivi USB e iPod: 1%

Da queste cifre emerge come in Italia l’uso di strumenti di web filtering da parte delle PMI (52%) sia superiore alla media europea (assestata sul 45%), ma si evidenzia anche con preoccupazione come le PMI italiane siano decisamente più preparate a fronteggiare le minacce provenienti dall’esterno che le possibili fughe di informazioni generate all’interno, considerando che la media europea relativamente all’implementazione di strumenti per identificazione di hacker interni e protezione dei dati confidenziali è, rispettivamente, del 43% (9% in Italia) e 33% (8% in Italia).

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore