Le minacce “Insider”, quando il pericolo è in azienda

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Il 14 percento dei dipendenti sarebbe pronto a mettere a repentaglio il proprio posto di lavoro con la vendita di credenziali aziendali e quasi la metà lo avrebbe fatto per meno di 250 euro. Il report Forcepoint

Le chiamano minacce Insider, forse perché fa un po’ brutto colpevolizzare in modo diretto i dipendenti. In sostanza però il problema è proprio questo: “Chi è in possesso di informazioni riservate, in azienda (appunto, l’insider) resta coinvolto in una violazione della sicurezza“. A volte in modo inconsapevole, a volte in modo inconsapevole ma colpevole, a volte in modo doloso. Come dire: ci mancava solo questa, cui stare dietro, a pochi mesi dalla piena attuazione del Gdpr.  

Fioccano le ricerche sul tema, è interessante quella pubblicata di recente da Intel McAfee dal titolo: Tackling Insider Threats, che riporta per esempio come il 40 percento circa della perdita delle informazioni sia ricondubicile a comportamenti di questo tipo; mentre le fa eco, e approfondiamo, quella di Forcepoint che riporta tra gli altri anche dati relativi alla nostra realtà.

Forcepoint - Quando l'Insider vuol fare male
Forcepoint – Quando l’Insider vuol fare male

Si parte con una percentuale simile: circa il 35 percento dei dipendenti presi in esame in UK, Francia, Germania e Italia ammettono di essere stati coinvolti in violazioni della sicurezza. Vera spina nel fianco dei CISO tanto più in vista del 25 maggio 2018 (Gdpr) che determinerà l’entrata in vigore dell’obbligo di notifica entro le 72 ore, con relative sanzioni (4 percento del fatturato).

Lo studio indipendente commissionato da Forcepoint è basato su 4mila questionari somministrati ai dipendenti dei Paesi indicati, per comprendere gli atteggiamenti verso la protezione dei dati e le varie tipologie di minacce interne, malevole o accidentali, che impattano su organizzazioni e aziende in quelle aree.

Tra comportamenti intenzionali, accidentali, malevoli, di semplice negligenza o per limitata conoscenza delle regole base sulla sicurezza i dati nel complesso parlano chiaro. Forse quello più drammatico è quel 14 percento dei dipendenti che è pronto a mettere a repentaglio il proprio posto di lavoro con la vendita di credenziali aziendali ad estranei. Il 40 percento di costoro lo avrebbe già fatto per meno di 250 euro, nel Regno Unito sarebbe disposto a vendere credenziali per tale importo ben il 55 percento degli intervistati.

Forcepoint - La consapevolezza Impiegati Europei
Forcepoint – La consapevolezza Impiegati Europei

O sono molto più franchi degli italiani, oppure il mito del Bel Paese pieno di “trafficoni” è destinato a morire. Vive invece ancora a lungo quello della beata ignoranza perché il 45 percento degli intervistati italiani ha più probabilità di essere coinvolto in una violazione della sicurezza rispetto per esempio ad appena un intervistato su quattro del Regno Unito.

Circa un terzo degli intervistati ha inviato informazioni non autorizzate a terzi, magari semplicemente per snellire le procedure. Invece il 15 percento cambiando posto di lavoro si è portato dietro le informazioni critiche del business e il 59 percento prevede di utilizzarle per il nuovo incarico. Quando si dice che… “l’esperienza insegna”. 

Il disincanto diventa allarmismo se si pensa che il 43 percento dei lavoratori intervistati pensa che la propria azienda non sia vulnerabile dagli ‘insiders’, con solo un terzo del campione inconsapevole o incerto. Stupisce invece come il cloud, che invece è virtuoso anche per sfruttare determinati servizi di security, rappresenti un’area di incertezza. Un intervistato su due nel Regno Unito pensa che i dati in cloud siano meno sicuri, quasi uguale la percentuale francese.

Mentre Italia e Germania si allineano verso un maggiore ottimismo (i dati in cloud sono meno sicuri solo per una persona su tre). Il report di Forcepoint, che si può scaricare, è molto più ricco. Per esempio evidenzia come una delle lacune trasversali a tutto il campione sia la mancanza di formazione. Lo sapevamo. E’ stata un’evidenza anche della nostra inchiesta.