Quando pensiamo alla sicurezza e alle minacce IT, tendiamo a immaginare un hacker impegnato a penetrare nella rete di una grande azienda per rubare informazioni preziose. L’azienda di sicurezza Clearswift ha realizzato una ricerca che analizza, da un punto di vista olistico, diversi incidenti e decisioni in materia di sicurezza IT. L’83% delle aziende che ha partecipato allo studio ha affermato di essere stata vittima di una violazione di sicurezza negli ultimi 12 mesi. Tuttavia, al contrario di quello che ci si può immaginare, il 58% degli incidenti sono causati da agenti interni all’azienda, e non dai famigerati hacker. In realtà, i colpevoli sono gli impiegati, gli ex-impiegati e i partner dell’azienda – persone come me e te.
La ricerca evidenzia come il 72% delle aziende stiano lottando per rimanere al passo con i cambiamenti in termini di sicurezza e di gestione. Le politiche devono adattarsi alle nuove forme di comunicazione e ai nuovi modi in cui le aziende vengono gestite. I principali cambiamenti, sia in termini di pratiche aziendali, che di rischi, sono comparsi con l’esplosione di una nuova tendenza, conosciuta con il termine BYOD (Bring Your Own Device), ovvero la tendenza ad utilizzare i propri dispositivi personali per scopi di lavoro.
Le tre minacce BYOD principali sono rappresentate da:
- L’uso erroneo di USB e di dispositivi di immagazzinamento dati da parte degli impiegati;
- Errori umani non voluti;
- Impiegati che inviano e-mail di lavoro attraverso dispositivi personali.
Ad ogni modo non è giusto dare la colpa solo agli impiegati, soprattutto se sono stati incoraggiati ad usare i propri dispositivi (o per lo meno non sono stati scoraggiati a farlo). Un terzo (il 31%) delle aziende è favorevole alla strategia BYOD, mentre l’11% la rifiuta in toto. Coloro che la rifiutano lo fanno per evitare problemi di sicurezza interni (il 37% contro il 18% di coloro che si mostrano favorevoli). Secondo il sondaggio, il 53% delle aziende afferma che sono i propri impiegati a voler usare i propri dispositivi per accedere alla rete aziendale, nonostante il rischio di sanzione. Il peso grava tuttavia sulle aziende: sono loro che devono gestire la sua applicazione – invece di chiudere gli occhi come se questo fenomeno non esistesse.
Dunque, che succederà? Le aziende devono rendersi conto che le minacce interne sono altrettanto serie come quelle esterne e che per questo è importare pianificare una strategia di sicurezza a questo riguardo. È importante tenere in considerazione il fenomeno BYOD e stabilire il prima possibile una serie di politiche relative. Bisognerebbe avviare programmi educativi e di sensibilizzazione, sia per gli utenti che per gli impiegati, che informino dei rischi connessi al BYOD e come questi rischi possono essere mitigati facendo in modo che gli impiegati possano usare i propri dispositivi personali in sicurezza.
Se la tua azienda non ha ancora stabilito delle norme BYOD, come impiegato, puoi seguire le seguenti raccomandazioni:
- Non mettere in pericolo la tua azienda (e te stesso) usando i tuoi dispositivi personali per scopi di lavoro; si sconsiglia persino l’uso di una semplice chiavetta USB per processare i dati aziendali senza previa autorizzazione da parte di un amministratore di sistema.
- Se hai bisogno di usare una USB, utilizza una che abbia un sistema di crittografia – e possibilmente autorizzata dall’azienda. Ce ne sono di tutti tipi e quelle con crittografia non sono molto più care di quelle normali. Con circa 25 euro puoi salvare la reputazione della tua azienda.
- Lo stesso vale per gli account e-mail privati. Se hai bisogno di utilizzare la casella di posta personale per motivi di lavoro (nel caso, per esempio, che la mail aziendale sia temporaneamente fuori servizio), apri un nuovo account e attiva tutte le opzioni di sicurezza (attivare la doppia autenticazione di Gmail è un buon inizio)
- Invia tutti documenti in forma cifrata. Ci sono moltissimi modi per farlo: applicando a un documento una password con Office o comprimendo i file in formato ZIP aggiungendo una buona password. Naturalmente, non inviare le password cifrate nella stessa mail. Chiama il destinatario e digli la password per telefono.
- Non attivare la tua casella di posta aziendale lavoro sul tuo dispositivo personale senza averlo consultato con un amministratore di sistema dell’azienda. Esistono speciali client che ti aiutano a di farlo in forma sicura.