Sono molte le imprese che utilizzano policy e procedure di sicurezza. Il punto è che i dipendenti ne aggirano la maggior parte senza grandi difficoltà, portandosi a casa i dati sensibili dell’azienda e riducendo così il livello di protezione. Visto che è in continuo aumento il numero di dipendenti che lavorano da casa, parecchie aziende stanno lavorando al fine di trovare il giusto equilibrio tra le rigorose esigenze di sicurezza e la produttività individuale.
Nonostante siano disponibili la crittografia e altre tecnologie di security, alcune imprese accettano il rischio mentre altre ignorano il fatto che gli utenti finali portano i dati dei clienti, le informazioni che consentono di identificare persone o i dati finanziari della società sul proprio notebook, sullo smartphone o sui flash drive USB.
Secondo un’analisi di RSA Security, la divisione sicurezza di EMC, il 94% dei dipendenti è a conoscenza delle policy di sicurezza delle organizzazioni IT, ma il 53% dei responsabili IT ha sentito il bisogno di lavorare su tali policy di sicurezza, al fine di essere sicuro della loro efficacia.
I responsabili della ricerca hanno sottolineato come vi sia un naturale collegamento tra sicurezza, total cost of ownership e facilità di utilizzo: quando non si ha un buon equilibrio tra questi elementi, si crea una disarmonia che si spesso si cerca di risolvere lavorando solo sul versante sicurezza. Il punto è che molti top manager considerano l’eccessiva sicurezza come un ostacolo alla produttività e alla capacità d’innovazione.
Non a caso, quasi la metà degli intervistati ha affermato di aver spesso lasciato lavorare i dipendenti con notebook o dispositivi mobili che contengono informazioni sensibili inerenti il loro lavoro. Anche se pochi hanno riferito di aver perso un dispositivo con informazioni sensibili, molto probabilmente tali informazioni non erano criptate hanno sottolineato i responsabili della ricerca. Alcune imprese utilizzano la crittografia e anche tecnologie per la gestione dei diritti al fine di regolamentare l’accesso ai documenti commerciali, i quali, assicurano le imprese stesse, diventano del tutti inutili se cadono nelle mani di un dipendente o di un operatore esterno. Altre imprese sembrano scegliere di accettare il rischio invece di aggiungere costosi controlli di sicurezza”.
I dipendenti a volte inviano documenti aziendali al loro indirizzo e-mail personale in modo da potervi accedervi da casa. Il 79% degli intervistati ha affermato di aver talvolta o spesso gestito documenti aziendali attraverso il proprio indirizzo e-mail personale.
E’ importante sottolineare che sono disponibili diverse best practice che possono aiutare le imprese a trovare il giusto equilibrio tra sicurezza e produttività. L’International Organization for Standardization (ISO) ha una serie di best practice all’interno della norma ISO 27002 che possono aiutare le aziende nella realizzazione o nel miglioramento dei loro programmi di informazioni sulla sicurezza. Come prima cosa, bisogna valutare quali informazioni e quali transazioni relative a tali informazioni sono cruciali per l’azienda. Secondariamente bisogna stabilire le minacce potenziali all’interno dell’organizzazione e, di conseguenza, creare una policy relativa al rischio che possa accadere un evento.
