Registrati
Nome
Cognome
Email
Password
Ho letto e accetto l'informativa sulla privacy
Desidero ricevere la Newsletter di PMI-dome.com
FacebookTwitterRSS
PMI Dome

L'IT è una minaccia alla sicurezza aziendale!

Perché vi sorprende che molti di noi ficchino il naso nei vostri file; voi non fareste altrettanto se foste in grado di avere accesso a tutto ciò che è a vostra disposizione?
Un amministratore IT intervistato
di Stefano Bonacina | 07 giugno 2007
Sta facendo discutere lo studio condotto da Cyber-Ark Software, un'azienda americana specializzata nella protezione delle informazioni, che rivela che un terzo degli impiegati nell'IT ficca il naso nei sistemi dell'azienda per venire in possesso di informazioni confidenziali, come file privati, dati sugli emolumenti, email personali, curriculum vitae.

Lo studio, che secondo Cyber-Ark rivela "lo scandalo nascosto dei dipendenti IT ficcanaso" non fa che confermare quelle sentimento diffuso che, a bassa voce, si sparge in tutte le aziende: il dipartimento IT ha il potere dell'informazione, non solo perché ne gestisce l'esistenza, ma soprattutto perché ci può guardare dentro e ne può disporre a piacimento.

Quante volte mi sono sentito appellare da colleghi non-tecnici come parte della schiera di coloro che detenevano il possesso dei dati e con questi dati poteva fare ciò che voleva. E quante volte ho dovuto appellarmi alla deontologia professionale per "difendere" il mio dipartimento dalle insinuazioni.

Purtroppo la deontologia non è patrimonio di tutti e parallelemente è difficile avere un monitoraggio delle attività di ognuno, se non mediante appositi strumenti e dispositivi normativi aziendali.
In ogni caso il problema dei superpoteri dell'IT esiste (non per niente in Unix l'amministratore di sistema è chiamato superuser), ed è confermato dai risultati dello studio in oggetto che, francamente, risultano oltremodo sconfortanti.
Esaminiamoli brevemente:
  • più di un terzo degli intervistati utilizza gli accessi privilegiati per ficcare il naso qua e là nei sistemi aziendali;
  • più di un terzo degli intervistati, una volta cambiato lavoro, è stato in grado di accedere ai sistemi dell'azienda che avevano lasciato;
  • il 25% ha affermato che era al corrente che un ex-collega fosse ancora in grado di collegarsi alla rete nonostante avesse lasciato l'azienda;
  • più del 50% delle persone intervistate conservano le password su Post-it, nonostante si tratti di amministratori di sistemi informativi, persone, cioè, con una conoscenza dei rischi indotti da questo tipo di gestione. Questa è però la conferma che anche i sistemisti sono, prima di tutto, uomini;
  • le password di amministratore vengono cambiate raramente nel 20% delle aziende, mentre il 7% non le cambia mai.
  • l'8% dei rispondenti non ha mai cambiato le password di default assegnate dal costruttore sui sistemi critici (e sappiamo che il primo tentativo di intrusione in un sistema viene condotto proprio utilizzando le password di default, peraltro facilmente disponibili anche su Internet);
  • il 57% delle aziende conserva le password in formato cartaceo, il 18% in un foglio excel e l'82% dei sistemisti le conserva nella propria testa, introducendo un'ulteriore criticità di sicurezza e impattando potenzialmente sulla produttività aziendale.
  • il 15% delle aziende ha avuto atti di sabotaggio dall'interno.
Questo studio delinea due tipi di minacce: uno derivato dalla possibilità di disporre del patrimonio informativo aziendale, l'altro indotto dalla incapacità di organizzare la protezione dei propri sistemi, entrambi palesi sintomi di una scarsa professionalità.
Capiamo bene che metodologie come l'ITIL debbano prendere sempre più piede nelle aziende, anche nelle medie e piccole, ma è comunque arduo affrontare il problema dal punto di vista della gestione del personale.
Come garantire l'accesso all'informazione senza che essa diventi aperta a tutti o addirittura un bersaglio per un abuso?
Come accennavo sopra, è un problema che va affrontato dal versante normativo aziendale e da quello degli strumenti di verifica di accessi e utilizzi non propriamente professionali: nessuno dei due può prescindere dall'altro.

Stefano Bonacina - http://connexioni.blogspot.com/

Stefano Bonacina è CTO, o anche Direttore Tecnico, di Advanction, una società che propone soluzioni strategiche nell'ambito della protezione delle informazioni aziendali, delle architetture avanzate - Grid computing - e della finanza. Lavora come Director in Intelligrate, una società che si occupa di Competitive Intelligence, Text Mining e Sicurezza. Al contempo tengo seminari e corsi e collaboro con siti e pubblicazioni. Precedentemente (1998-2003) ho lavorato in Fineco SIM e Banca Fineco, di cui ho diretto i sistemi informativi dal 2000, sono stato IT System and Project Manager in St Microelectronics dal 1990 al 1998 Sono membro della Society of Competitive Intelligence Professionals e della Information Systems Security Assosiacion, nonché vicepresidente della XML Finance Association.


Condividi

Lascia un commento

Nome:

Mail:

Oggetto:

Commento:

CAPTCHA

Codice controllo:

Iscriviti alla newsletter





Inserisci il codice dell'immagine

CAPTCHA
  
Ho letto e accetto l'informativa sulla privacy


I più letti

Come calcolare l'IMU

Due nuove aliquote e uno strumento per semplificare il calcolo

BIT 2012

La Borsa internazionale del Turismo riapre i battenti con tante importanti novità

Online il modello 730/12 editabile

Disponibile sul sito dell’Agenzia delle Entrate

La stampante ci spia

Uffici e aziende sono zeppe di stampanti con funzionalità sofisticate di scansione, stampa, copia, invio e ricezione fax, condivisione di rete... Ma siamo proprio sicuri che questi dispositivi non facciano niente altro che il loro onesto mestiere?
I più commentati
Accesso rapido