Security Notes

Quanto impatta sulla sicurezza l’utilizzo dei cloud storage e delle mail personali sul posto di lavoro?

hacker_password

Ogni giorno la maggior parte delle persone sul posto di lavoro utilizza email personali e (e.g. Google Drive e DropBox) per l’archiviazione e la condivisione di documenti incuranti dei potenziali rischi per la informatica. Dietro questo comportamento, infatti, risiede una delle principali minacce per la delle e in particolare per il loro patrimonio informativo. Per comprendere quanto sia diffusa tale pratica analizziamo i risultati di una indagine condotta dall’azienda di Globalscape per valutare quali siano i rischi cui gli utenti si espongono.

Circa due terzi degli intervistati (63%) utilizzano il proprio account personale per trasferire documenti di lavoro. E’ chiaro che, qualora l’email privata fosse in qualche modo compromessa, questa abitudine porterebbe inevitabilmente all’esposizione dei file aziendali. Un altro elemento di preoccupazione è che spesso le credenziali in uso per proteggere questi account sono condivise in maniera imprudente con altri utenti, e molto spesso sono utilizzate per accedere a molteplici servizi online.

Il 50% dei cinquecento dipendenti intervistati da Globalscape utilizza canali non sicuri per la trasmissione dei file aziendali, e il 63% percento ha utilizzato servizi di cloud storage e dispositivi mobili USB per spostare file confidenziali. Il 45% degli intervistati ha utilizzato servizi web come DropBox per condividere informazioni sensibili di lavoro, mentre il 30% ha utilizzato servizi si archiviazione sul cloud per memorizzare documenti aziendali. Il dato più sconcertante è che l’80% dei dipendenti intervistati ha trasferito documenti di lavoro attraverso la sua mail personale pur essendo, nel 30% dei casi, consapevole di essere stato vittima di una violazione del proprio account di posta elettronica.

Esistono molteplici fattori che concorrono all’adozione di questi comportamenti. Talvolta i dipendenti ignorano completamente l’esistenza di politiche per la gestione delle informazioni aziendali, in altri casi pur essendo a conoscenza di norme interne, essi continuano a non seguire le pratiche consigliate perché ignorano i rischi derivanti, oppure semplicemente perché trovano più confortevole lo strumento privato che conoscono meglio. Altri dati dell’indagine sono:

  • 52% degli intervistati sostiene che sia più conveniente utilizzare strumenti noti.
  • 33% ritiene che i destinatari delle email abbiano riscontrato problemi nell’accedere ai file inviati tramite i sistemi aziendali.
  • 18% preferisce l’utilizzo di strumenti alternativi perché le soluzioni aziendali non offrono accessi in mobilità.

I risultati esposti presentano un dato preoccupante se consideriamo che dal 2010 il numero delle violazioni di dati (data breach) è cresciuto del 67%, mentre il furto delle password è triplicato. A farne le spese sono soprattutto le piccole e medie imprese in cui manca spesso un approccio strutturato alla sicurezza informatica, e in cui l’investimento in sicurezza è percepito erroneamente come un costo da limitare.

eset

L’esposizione di informazioni aziendali è l’evento avverso per eccellenza. Di seguito è proposto un interessante grafico, estrapolato dall’annuale rapporto di Verizon intitolato “Data breach investigations report 2013” che mette in relazione le principali minacce e le motivazioni degli attaccanti (e.g. Motivazioni Finanziarie, spionaggio) per le piccole e grandi imprese.

Tra le principali cause delle violazioni di dati incontriamo sempre l’hacking e le attività di social engineering, entrambe le metodiche di attacco avvantaggiate dalle condotte sopra descritte.

Aziende

Altra considerazione da fare è i servizi Cloud sono considerati oggi dei preziosi aggregatori di informazioni e il crimine informatico sembrerebbe essersene accorto.

Un crescente numero di hacker predilige colpire i repositori sui cloud, molto spesso proprio per reperire informazioni relative l’ambito lavorativo delle vittime. I principali comportamenti a rischio osservati nell’uso promiscuo di cloud storage sono stati evidenziati da più ricerche, a seguire qualche dato interessante:

  • 24% degli utenti salva sullo storage in-line documenti di lavoro e personali con il medesimo account;
  • 18% degli utenti condivide le proprie credenziali di accesso con gli amici ed il 21% con la famiglia.

In considerazione di tale complesso panorama, è essenziale che l’azienda definisca con attenzione le politiche per la gestione delle informazioni in ambito lavorativo, nel caso specifico proibendo il loro trasferimento per mezzo di mail private e cloud storage, e che provveda a farle conoscere tra i dipendenti.

Un approccio efficace alla sicurezza prevede che vengano seguite le seguenti procedure:

  • Identificazione dei rischi interni ed esterni e valutazione del livello di confidenzialità, integrità e sicurezza di ciascun’informazione gestita dall’azienda.
  • Stimare percentuali di occorrenza degli eventi aversi e valutare i potenziali danni causati dalle minacce.
  • Valutazione delle politiche di sicurezza e delle contromisure per mitigare i rischi.
  • Monitoraggio continuo delle misure adottate per mitigare I rischi.
  • Condivisione delle politiche sulla sicurezza e coinvolgimento di ciascun dipendente dell’azienda.

Prevenire è meglio che curare!

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This