SOS PMI: un`indagine promossa da Websense punta i riflettori su

SOS PMI: un’indagine promossa da Websense punta i riflettori su una
falsa percezione della sicurezza da parte delle piccole e medie imprese
europee, che le rende più esposte ai pericoli del web
Lo studio, condotto da una società di ricerche indipendente per conto dell’azienda
specializzata in sicurezza IT, rivela una discrepanza tra quanto le PMI ritengono di essere
protette dalle minacce alla sicurezza informatica e quanto lo sono realmente
MILANO, 21 settembre 2007 — Dipendenti che ammettono di navigare sul web per scopi non connessi al
lavoro per massimo 2 ore e mezza la settimana, mentre i responsabili IT dichiarano che in realtà le ore sono
almeno 4. Addetti alla sicurezza IT aziendale che ritengono la propria azienda al riparo da qualsiasi minaccia e
poi ammettono che l’unica dotazione di sicurezza è costituita da firewall e antivirus o poco di più, mentre quasi
nulla protegge l’azienda dai rischi di file sharing P2P o dalle fughe di informazioni generate all’interno. L’indagine
“Stato della Sicurezza nelle PMI europee” commissionata dalla società specializzata nella sicurezza IT
Websense evidenzia una quantità di percezioni distorte in materia si protezione da parte delle aziende di piccole
e medie dimensioni del Vecchio Continente e un falso senso di sicurezza che le espone a molte delle attuali
minacce.
L’indagine evidenzia l’uso crescente di applicazioni e siti web potenzialmente pericolosi da parte dei dipendenti
delle PMI, che si unisce alla carenza di consapevolezza e informazione relativamente ai pericoli per la sicurezza.
Questo anche se – sempre secondo le risposte all’indagine – sia i responsabili IT (il 45%) sia i dipendenti (l’83%
del campione) delle PMI ritengono che il loro posto potrebbe essere a rischio a seguito di infezioni da codice
maligno che colpiscano le loro aziende.
Lo studio1, condotto su un campione di 750 addetti di PMI di 5 paesi europei (Italia, Francia, Gran Bretagna,
Germania, Olanda), sottolinea come il 98% dei responsabili IT ritenga che le tecnologie e le procedure attuate
siano sufficienti a garantire la protezione, con oltre la metà (53%) che giudica “buono” il livello di protezione e un
quarto che lo ritiene “ottimo”, ovvero che l’azienda sarebbe protetta al 100%. Eppure, interrogati in modo
approfondito, gli stessi responsabili IT rivelano che le loro aziende non sono in alcun modo protette dai buchi
alla sicurezza che possono derivare da uso di applicazioni P2P, mancato filtraggio dell’uso di Internet e assenza
di blocco degli allegati degli instant message. In una lista di 9 potenziali rischi alla sicurezza, nessuna azienda
intervistata è infatti risultata avere in campo una protezione contro la totalità di questi pericoli, con il 15% che
ritiene firewall e antivirus soluzioni sufficienti per una protezione globale. L’indagine evidenzia dunque una
preoccupante discrepanza tra la percezione del livello di protezione esistente in azienda da parte del
responsabile IT e lo stato reale della sicurezza all’interno delle PMI.
“Budget e staff ridotti per l’IT lasciano molte PMI in balia dei pericoli di Internet. Al di là delle percezioni, la loro
sicurezza reale è piena di buchi: molte di queste organizzazioni non pensano nemmeno a controllare l’uso di
1
L’indagine è stata condotta dalla società di ricerche indipendente Dynamic Markets per conto di Websense. Il rapporto
prodotto raccoglie i risultati di una ricerca quantitativa basata su interviste a 375 IT Manager con responsabilità per la
sicurezza e 375 dipendenti con ruoli di responsabilità (75 + 75 intervistati in ogni paese) di aziende fino a un massimo di 250
dipendenti di Italia, Francia, Germania, Gran Bretagna e Olanda. Gli intervistati non erano informati che la ricerca era
commissionata da Websense.
applicazioni P2P o a bloccare l’accesso a siti maligni quali quelli usati per il phishing, entrambi veicoli di furti di
dati”, spiega Maurizio Garavello, country manager di Websense Italia. “E invece i pericoli di Internet sono
altrettanto concreti per le PMI di quanto lo sono per le grandi aziende. E’ vero che ormai tutte le PMI possiedono
un livello base di protezione (firewall più antivirus, essenzialmente), ma è altrettanto vero che non vanno in
genere molto oltre, fallendo così l’obiettivo di una protezione ad ampio spettro e mettendo di conseguenza a
rischio l’azienda, i suoi dati e i suoi dipendenti”.
SOS PMI: i principali risultati dell’indagine
QUALE PROTEZIONE PER LE PMI? - per un 71% dei responsabili IT delle PMI convinto che la sua azienda
dovrebbe avere lo stesso livello di sicurezza Internet di una grande organizzazione, c’è circa un quinto di IT
manager (17%) che crede che le PMI abbiano bisogno di una protezione inferiore rispetto alle aziende di
maggiori dimensioni in quanto sarebbero meno esposte ai rischi, mentre un 7% ammette che una protezione
inferiore è inevitabile, in conseguenza delle ridotte disponibilità di budget.
IL RICHIAMO DEL WEB E’ PIU’ FORTE DELLA PAURA - il 91% dei dipendenti intervistati ritiene di poter
rischiare il licenziamento se scoperto a compiere attività che possono porre a rischio le informazioni e i dati
aziendali. Eppure, il 45% ammette di averlo fatto almeno una volta. Il 68% dei responsabili IT ritiene che anche il
suo posto di lavoro possa essere a rischio a causa di tali attività da parte dei dipendenti.
FIDUCIA MAL RIPOSTA? - il 66% degli utenti si dice certo che alla protezione dalle minacce di Internet pensino
quelli dell’IT. Tant’è che solo il 31% dei dipendenti che effettua transazioni online con uso di carta di credito al
lavoro ha preventivamente chiesto informazioni al dipartimento IT relativamente al livello di protezione dai furti di
identità esistente in azienda.
ATTRAZIONE FATALE – il 60% dei dipendenti intervistati ha dichiarato di non riuscire a trattenersi da attività
potenzialmente a rischio sul posto di lavoro quali, in particolare, P2P (il 25% degli intervistati) e download da siti
che offrono software gratuiti (17%). L’elenco di tali attività che costituiscono – quale più quale meno –
un’attrazione fatale per i dipendenti comprende accesso a blog e comunità online, shopping, partecipazione ad
aste online, siti per la ricerca di posti di lavoro, Internet banking (vedi tabella 1 in allegato).
FALSA PERCEZIONE DEL LIVELLO DI SICUREZZA - è evidente che le PMI europee non sono pienamente
protette dalle minacce alla sicurezza provenienti dal web, considerando che:
- Solo il 6% impedisce il collegamento di dispositivi USB e iPod
- Solo il 22% blocca l’uso di applicazioni P2P
- Solo il 30% blocca gli allegati instant message
- Solo il 31% blocca i siti di phishing
LE POLICY CI SONO, MA CHI LE RISPETTA? – l’84% delle PMI europee ha policy interne per l’uso di Internet,
ma solo il 25% si assicura che i dipendenti le sottoscrivano. Solo il 47% le attua in automatico, usando software
per il filtering dei contenuti web. Il 16% ammette di non aver alcuna policy di questo tipo, il che equivale al fidarsi
totalmente dei dipendenti. Eppure, circa un terzo degli IT manager (32%) indica il comportamento degli utenti
come la principale causa del fallimento dell’instaurazione e del mantenimento di un livello di sicurezza adeguato
in azienda, seguita dal fatto che la sicurezza IT non viene ritenuta tra le priorità dell’azienda (27%) e dai vincoli
di budget, al terzo posto con il 21%.
“I risultati della ricerca evidenziano l’urgenza per le PMI di correre ai ripari, ponendo la sicurezza IT tra le loro
priorità. Affidare la sicurezza alla fiducia in un comportamento responsabile dei dipendenti non è sufficiente,
anche perché molte delle nuove minacce agiscono in modo occulto. L’unica soluzione è rendere automatiche
protezione e policy per l’uso di Internet”, aggiunge Maurizio Garavello. “Le nuove applicazioni Web 2.0 quali, in
particolare, social network come My Space e Facebook, stanno contrinìbuendo a intensificare l’uso di Internet
per scopi personali sul posto di lavoro. Tali applicazioni pongono rischi per la sicurezza e la produttività. Non è
davvero più possibile affidarsi solo a firewall e antivirus per proteggersi”.
La situazione in Italia
Il campione intervistato in Italia comprendeva 75 manager con responsabilità delle sicurezza IT e 75 dipendenti
con ruoli di responsabilità di aziende appartenenti a vari settori industriali con un massimo di 250 addetti.
La media generale europea dei dipendenti timorosi che il proprio posto di lavoro possa essere a rischio se
scoperti a compiere attività potenzialmente pericolose per la sicurezza dell’azienda è del 91%. In Italia, le attività
giudicate più a rischio in questo senso sono:
- causare un’infezione da virus o spyware maligno (67% contro la media dell’83% a livello europeo),
- accedere a siti per adulti (67% contro la media dell’82%),
- causare la divulgazione di informazioni riservate (57% contro una media del 76%).
Attività quali scaricare musica, video, software e altro (32%), giocare online (25%) ed effettuare shopping online
(25%) sono invece allineate alla media delle risposte negli altri paesi europei.
La media europea dei dipendenti che almeno una volta ammettono di aver compiuto attività che potrebbero
mettere a rischio le informazioni e i dati dell’azienda è del 45%. In Italia, nell’ordine, le attività di questo tipo
compiute più di frequente sono: invio di documenti di lavoro a una email personale per lavorarci da casa (23%),
aprire una mail sebbene appaia sospetta (13%), cliccare su un pop-up pubblicitario (4%). In generale,
comunque, il 71% dei dipendenti intervistati in Italia ha dichiarato di non aver mai compiuto alcuna attività a
rischio.
Il 60% dei dipendenti in Europa non può vivere senza compiere determinate attività extra-lavorative sul web
durante l’orario di lavoro. Per i dipendenti italiani, la vera attrazione fatale è costituita, nell’ordine, da blog e
community (25%), instant message con i colleghi (23%, mentre sulla media europea questa è l’attività al primo
posto), instant message con gli amici (15%) e file sharing via siti P2P (11%).
Un po’ più alta della media europea (40% contro 32%) la percentuale di responsabili IT che ritiene che il
comportamento sconsiderato degli utenti sia il principale ostacolo verso l’attuazione di una protezione efficace in
azienda. Una cosa curiosa da notare è che solo in Italia il 4% dei responsabili IT intervistati ritiene che le Risorse
Umane abbiano la responsabilità ultima del rispetto della sicurezza.
Sebbene l’85% delle PMI europee intervistate abbia dichiarato di avere in uso almeno una tecnologia di
protezione aggiuntiva rispetto ai semplici firewall e antivirus, nessuna azienda ha dichiarato di avere installate
soluzioni in grado di contrastare tutte e 9 le principali minacce alla sicurezza. Di seguito, le percentuali degli
intervistati (IT Manager italiani in questo caso) che affermano che la loro azienda ne è dotata:
- anti-spyware: 72%
- filtraggio dei contenuti Internet: 52%
- blocco degli allegati IM: 44%
-
blocco dei siti di phishing: 33%
uso controllato dell’instant messaging: 23%
blocco delle applicazioni P2P: 11%
strumenti per l’identificazione degli hacker interni: 9%
protezione dei dati confidenziali: 8%
inibizione del collegamento di dispositivi USB e iPod: 1%
Da queste cifre emerge come in Italia l’uso di strumenti di web filtering da parte delle PMI (52%) sia superiore
alla media europea (assestata sul 45%), ma si evidenzia anche con preoccupazione come le PMI italiane siano
decisamente più preparate a fronteggiare le minacce provenienti dall’esterno che le possibili fughe di
informazioni generate all’interno, considerando che la media europea relativamente all’implementazione di
strumenti per identificazione di hacker interni e protezione dei dati confidenziali è, rispettivamente, del 43% (9%
in Italia) e 33% (8% in Italia).
Letti in un altro modo, questi dati evidenziano che in Italia la grande maggioranza delle PMI non è dotata di
tecnologia aggiuntiva rispetto ai semplici firewall e antivirus per proteggersi da rischi o da uso scorretto di
applicazioni/strumenti quali:
- collegamento di dispositivi USB e iPod: 99%
- fuga di dati confidenziali: 92%
- hacker interni: 91%
- applicazioni P2P: 89%
- instant messaging non gestito: 77%
- siti di phishing: 67%
- allegati IM: 56%
- contenuti Internet non filtrati: 48%
- spyware: 28%
Informazioni su Websense
Websense, Inc. (NASDAQ:WBSN) protegge più di 25 milioni di dipendenti dalle minacce esterne e interne alla sicurezza.
Unendo la tecnologia ThreatSeeker in grado di identificare e categorizzare in modo proattivo le minacce veicolate dal web e
la tecnologia di prevenzione della fuga di informazioni, Websense aiuta a rendere i computer più sicuri e produttivi. Distribuite
attraverso il canale dei propri partner, le soluzioni Websense aiutano le aziende a bloccare i codici maligni, prevenire la
perdita di informazioni confidenziali e gestire l’accesso a Internet anche tramite reti wireless.
Per ulteriori informazioni: www.websense.com.
Informazioni su Dynamic Markets
Dynamic Markets è una società di ricerche di mercato indipendente che da oltre 8 anni conduce indagini e studi
globali per clienti quali Microsoft, Oracle, Cisco, Vodafone, Egg, M&S. La società opera uniformandosi al codice
di condotta definito dalla Market Research Society (MRS).