WikiLeaks (Su Wikileaks i manuali segreti dell'esercito UK)
è ancora in primo piano con la minaccia di pubblicare documenti
riservati di una grande banca americana, e in generale sta facendo
tremare il mondo, ma ciò che accade può stimolare anche una seria
riflessione sulla sicurezza informatica. Pare infatti che i dati che
vengono pubblicati dal sito siano stati facilmente trafugati da un
impiegato infedele, che li avrebbe salvati su semplici CD-ROM.
“ E’ la dimostrazione di una delle tesi che da sempre sosteniamo: la
vera “falla” della sicurezza informatica , prima ancora che i sistemi,
è la persona, il dipendente, che volontariamente o meno apre la porta
ai pirati. Oppure che, come in questo caso, deliberatamente li
copia per farne un uso improprio – ha dichiarato Mirko Gatto,
dell’Osservatorio Nazionale per la Sicurezza Informatica –
Da un
sondaggio da noi fatto realizzare appositamente, emerge che il 97% del
campione è certo che i dipendenti non salvino i dati dell’azienda senza
autorizzazione. Ma i dati dimostrano invece che si tratta di un
fenomeno ben più diffuso: il 5% delle aziende che sono state
colpite da attacchi informatici hanno scoperto che il danno deriva o da
un uso fraudolento dei dati da parte di dipendenti o collaboratori o da
disattenzione “colposa”.
La sicurezza dei dati è un problema da non perdere mai di vista
Addirittura il 100% delle aziende che non hanno nessun sistema di
prevenzione del fenomeno del download non autorizzato dichiara che non
se ne preoccupa perché “ha fiducia nei dipendenti. “ La fiducia è una
bella cosa, indispensabile in una azienda. Ma se i dipendenti o i
collaboratori sono numerosi, ecco che affidarsi solo all’onestà ed alla
buona fede non è sufficiente. Se poi in questo periodo di crisi il
dipendente tema un licenziamento, oppure ha motivi di risentimento
verso l’azienda a causa di ritardi di pagamento o per ricorsi a cassa
integrazione…”
Il 17% delle aziende colpite dichiara che il danno è stato elevato. “
Se persino il Governo degli Stati Uniti è stato colpito immaginiamo
cosa potrebbe succedere ad una azienda, in particolare se fossero
piratati dati sulla ricerca e l’innovazione, sulle strategie aziendali
o il settore commerciale, con i dati dei clienti attuali, di quelli
passati e di quelli potenziali. – ha continuato Gatto – Si tratta di
costruire
una cultura imprenditoriale di maggiore consapevolezza. Pensare per
tempo a sistemi di sicurezza che permettano di evitare download non
autorizzati costa poco e permette di evitare danni che potrebbero
essere notevoli. Dovrebbero pensarci anche dalle parti di Washington..”.
John Dasher di McAfee, nel suo blog ufficiale ha pubblicato alcuni consigli su
ciò che le organizzazioni dovrebbero fare per impedire la perdita dei dati,
ecco le sue dichiarazioni. “La tecnologia viene in aiuto delle aziende
con soluzioni appositamente studiate per la prevenzione della
fuoriuscita di dati riservati.
Le soluzioni DLP consentono alle
organizzazioni di evitare che le informazioni critiche escano dalle
loro reti, osservano i flussi delle informazioni e chi le invia, in
modo che le aziende possano prendere provvedimenti. La tecnologia
McAfee DLP Capture è in grado di mettere l’intero processo di business
sotto i riflettori e fornisce strumenti senza precedenti per le
indagini. Naturalmente,
una buona protezione dei dati comprende
anche altre tecnologie DLP quali crittografia, controllo dei
dispositivi, controllo degli accessi, eccetera.
Naturalmente, la tecnologia da sola non può risolvere il problema.
Mentre i reparti IT potrebbero essere in grado di proteggere i dati
riservati che siano chiaramente identificabili (come numeri di carte di
credito, numeri delle tessere sanitarie e altre informazioni di
identificazione personali), non sono generalmente in grado di
identificare le informazioni che stanno alla base del successo
dell’azienda e ne assicura la sua stessa sopravvivenza - la sua
proprietà intellettuale. Proteggere le informazioni sensibili è
veramente un problema di business, piuttosto che un problema puramente
tecnologico.
Non sono sicuro che la divulgazione anticipata da WikiLeaks sarà in
rado di far crollare un istituto finanziario, ma dovrebbe far
riflettere quelle organizzazioni che non hanno ancora implementato una
strategia di protezione dei dati.”