Le informazioni sui clienti sono quelle più frequentemente compromesse e riguardano il 52% dei casi di perdita dei dati; gli altri “asset” oggetto di smarrimento dentro le aziende sono la proprietà intellettuale (33%), i dati sui dipendenti (31%) e i business plan (16%). La fotografia, assai indicativa, espressa da queste percentuali deriva dallo studio “Understanding Security Complexity in 21st Century IT Environments” condotto da Check Point e dal Ponemon Institute (nota società di ricerca nel campo della gestione di privacy e informazioni) su oltre 2.400 amministratori di sicurezza IT.
Perdita dei dati: un fenomeno che interessa tre aziende su quattro
Il dato di sintesi forse più importante, e non certo rassicurante, è il seguente:
il 77% delle aziende intervistate ha sperimentato una perdita di dati nell’ultimo anno e la causa principale alla base di questo fenomeno è attribuibile alla voce smarrimenti e furti. Poi vengono gli attacchi in rete, la scarsa affidabilità (in fatto di sicurezza) dei dispositivi mobili, le applicazioni Web 2.0, il file-sharing o l’invio di e-mail al destinatario sbagliato.
Circa il 49% delle aziende intervistate, e questo è un altro sicuramente interessante che emerge dallo studio, è inoltre convinta del fatto che i propri dipendenti abbiano poca o nessuna consapevolezza circa la sicurezza dei dati, il rispetto di conformità e quello delle policy. Tanto che, analizzando le cause della perdita di dati,
la maggior parte degli incidenti non è in genere intenzionale.Cosa fare quindi per evitare spiacevoli sorprese. La ricetta, per lo meno quella suggerita da Check Point (che non è certo troppo diversa da quella di tutti gli altri vendor di security), è la seguente: “le aziende dovrebbero stabilire delle procedure adeguate per ottenere maggiore visibilità e controllo sul patrimonio informativo. Se si considera la Data Loss Prevention come una delle principali sfide per la sicurezza, è fondamentale comprendere le questioni chiave che causano la perdita di dati e stabilire un insieme di best practice per impedire le violazioni”.
Le best practice che dovrebbero aiutare i Cio e i responsabili IT spaziano invece dal comprendere le esigenze di sicurezza dei dati al classificare i dati sensibili, dall’allineare le policy di sicurezza con le esigenze aziendali al rendere i dati sicuri per tutto il loro ciclo di vita. Senza omettere prassi quali l’eliminazione degli sforzi di conformità, il coinvolgimento dell’utente nel processo di decisione relativo alla sicurezza e quella di enfatizzare la consapevolezza e l’impegno dell’utente stesso.
Larry Ponemon, presidente e fondatore di Ponemon Institute, è stato su questo ultimo punto assai esplicito: “
la mancanza di consapevolezza dei dipendenti è una delle cause principali degli incidenti e questo sta portando un numero sempre maggiore di aziende ad educare i propri utenti circa le policy aziendali in essere”.