“I dati aziendali critici sono a rischio poiché le aziende si concentrano sull’applicazione di policy e risorse per la sicurezza IT per la protezione da minacce esterne, come ad esempio i criminali informatici e gli hacker, e non abbastanza sulla minacce che possono provenire dall’interno”. E’ il risultato dell’ultima ricerca condotta sul tema da Cisco. I risultati, elaborati sulla base delle risposte fornite da oltre 1.000 dipendenti di aziende italiane, portano alla luce due temi. “Il primo – spiegano da Cisco – indica come il comportamento dei dipendenti sia il vero e proprio anello debole nella sicurezza informatica e stia diventando una fonte crescente di rischio, più per noncuranza e ignoranza che per malizia. Le aziende infatti tengono talmente all’oscuro i dipendenti sulle che sono le minacce quotidiane, che gli stessi dipendenti si aspettano che le impostazioni di sicurezza settate dall’azienda si occupino di tutto. Il secondo aspetto indica che un numero crescente di persone ritiene che le policy di sicurezza stiano ostacolando l’innovazione e la collaborazione, e che i costi derivanti dalla perdita di opportunità di business superino quelli legati alla violazione della sicurezza, a tal punto che alcuni dipendenti cercano di eludere le policy”.
La ricerca mostra che vi è un urgente bisogno di evolvere le policy di sicurezza in modo che si continui a fornire la miglior difesa possibile contro gli attacchi provenienti dall’esterno ma che, allo stesso tempo, si tenga conto dei diversi comportamenti dei dipendenti. E’ stato chiesto ai dipendenti di identificare le tre principali fonti di rischio per la sicurezza dei dati: il comportamento dei dipendenti (37%) è al terzo posto della classifica dopo la criminalità informatica organizzata (61%) e gli hacktivisti (45%). Tutti gli intervistati utilizzano la rete della propria azienda per attività personali – tra le più diffuse, il personal banking e lo shopping online (58%), seguiti dai social network (45%) e dai viaggi (36%).
“Questo studio conferma quelle che sono le complesse sfide che le aziende devono affrontare in materia di sicurezza IT – afferma Stefano Volpi, responsabile della Sicurezza in ambito Enterprise di Cisco – Secondo i risultati della ricerca, i dipendenti riconoscono il fatto che le minacce provenienti dai criminali informatici sono reali e che sia necessaria una protezione costante, ma allo stesso tempo rivelano che è proprio la noncuranza dei dipendenti nei confronti della sicurezza IT a far aumentare i rischi per le aziende italiane. Un dipendente che si fida ciecamente è un ‘anello debole’ nella catena della sicurezza. E’ colui che espone l’azienda a rischi maggiori, fornendo agli hacker più intraprendenti maggiori punti di ingresso per il furto dei dati sensibili”.
“Il bilanciamento tra abilitazione e protezione del business richiederà un cambio fondamentale nel modo in cui approcciamo la sicurezza IT – conclude Volpi – Sarà necessario adattarsi ai comportamenti degli utenti come parte di un approccio favorito dalla visibilità, incentrato sulle minacce e basato su una piattaforma. Le imprese che persistono con l’utilizzo di soluzioni di sicurezza tradizionali saranno esposte a maggiori rischi, poiché tale approccio crea delle brecce nella sicurezza a beneficio degli hacker. Ciò è particolarmente rischioso quando entrano in azienda i nativi digitali che hanno dimestichezza nell’utilizzo della tecnologia IT e dotati di conoscenze e mezzi per bypassare queste policy, come testimoniato da 1 intervistato su 14 che confessa di aggirare le policy di sicurezza IT quando lo ritengono necessario”.
In Italia, la ricerca Cisco ha identificato quattro profili comportamentali che potrebbero rappresentare la base per la creazione di strategie di sicurezze incentrate sull’utente: I consapevoli, che conoscono i rischi e che si impegnano per proteggersi adeguatamente; i ben intenzionati, che cercano di rispettare le policy ma che sono incostanti nella loro applicazione, i passivi, che si aspettano che sia la società a fornire un ambiente sicuro e quindi non si assumono alcuna responsabilità per la sicurezza dei dati, e i 
cinici annoiati, che credono che la sicurezza informatica sia sopravvalutata e che la sicurezza IT ostacoli le loro prestazioni lavorative, e di conseguenza aggirano le policy.
“Se da una parte una migliore comunicazione e educazione potrà essere d’aiuto, dall’altra non potrà cambiare questa cultura della noncuranza rilevata da questo studio. I leader dell’IT dovranno definire policy di sicurezza di più facile utilizzo e che soddisfino ciascun profilo comportamentale in modo da ridurre il rischio di violazione nell’azienda – conclude Volpi – Se i dipendenti continueranno a credere che la sicurezza IT ostacoli il loro lavoro o a ignorare i pericoli che potrebbero provocare con il loro comportamento, le aziende continueranno a giocare alla roulette russa con la propria sicurezza IT, con danni economici anche gravi”.
