L’utilizzo dei servizi informatici aziendali avviene soprattutto tramite dispositivi personali che spesso controllati dalle aziende. La poca fiducia dei dipendenti nei confronti delle aziende in tema di sicurezza e il timore di sentirsi in difetto e di fare brutta figura, comportano il fenomeno del “fai da te” nel risolvere i problemi causati da malware e attacchi informatici. E’ il quadro tracciato dalla Ricerca sulla sicurezza mobile in Italia condotta da AstraRicerche per conto di Symantec Italia
I dispositivi personali sono spesso utilizzati per accedere a servizi dall’azienda, così come i dispositivi aziendali sono sfruttati anche per scopi personali: un caso significativo è rappresentato dall’e-mail personale a cui si accede nel 59,3% dei casi con dispositivi aziendali e quindi non solo dal computer o dal portatile di proprietà del dipendente, ma anche dai laptop aziendali (56,2%) e dai cellulari aziendali (40,8%). Viceversa, l’accesso alla posta elettronica aziendale tramite browser Internet avviene anche attraverso dispositivi personali, quali il computer portatile personale nel 52,1% dei casi e il tablet di propria proprietà nel 45,6% dei casi.
Allo stesso modo è rilevante notare come l’accesso via Internet a cartelle personali (es. Dropbox e similari), avvenga con una percentuale maggiore per i dispositivi aziendali (37,7%) rispetto a quelli personali (32,5%): il 36% dei rispondenti utilizza il laptop aziendale per sincronizzare cartelle personali nel cloud.
L’installazione di app sui dispositivi mobili è decisamente uno standard: l’81% ha installato applicazioni sui dispositivi personali e l’89,4% su quelli aziendali. E’ interessante però scoprire le fonti utilizzate per installare le applicazioni: gli stores ufficiali sono utilizzati sia per i dispositivi personali (66,9%) che per i device aziendali (66%), mentre sorprende il dato relativo all’installazione di applicazioni dopo aver rotto i sistemi di protezione degli smartphone (fenomeno del jailbreack): in questo caso, la percentuale più elevata si rileva proprio per i dispositivi aziendali, il 16%, contro l’11,9% dei dispositivi personali, con un evidente rischio per i dati sensibili e le informazioni aziendali.
Le aziende mettono a disposizione dispositivi mobili senza aver pre-installato applicazioni e lasciando dunque spazio alle scelte degli utenti: solo il 26.6% di coloro che utilizzano un cellulare o un tablet aziendale dichiara di aver trovato una o più applicazioni già installate dall’azienda. In aggiunta, se da una parte il 15% dichiara di non poter aggiungere e configurare applicazioni perché il dispositivo non lo consente e il 18,1% non può farlo perché il regolamento dell’azienda lo vieta, dall’altra il 56,7% dei rispondenti può configurare alcune applicazioni o addirittura non ha limiti nella scelta delle Apps da aggiungere al dispositivo, favorendo così il download di applicazioni non sicure e comunque fuori controllo.
Più di tre quarti del campione (77,2%) è a conoscenza dell’esistenza di virus in grado di rendere un dispositivo inutilizzabile e più di un terzo dei rispondenti (35,9%) ne ha sperimentato personalmente gli effetti, così come più della metà conosce o ha sentito parlare di trojan, malware, phishing, furto di password e codici di accesso, ma la percezione dei dipendenti nei confronti dei sistemi di protezione promossi dalle aziende è bassa.
Quando si parla di azioni specifiche relative ai sistemi di protezione da svolgere sui dispositivi aziendali il 36,7% dichiara di doverlo fare spesso, il 38,6% solo a volte, il 5,5% cerca di svolgere azioni relative alla security per propria iniziativa e ben il 19,3% non viene invitato dall’azienda a svolgere alcuna azione specifica ai sistemi di protezione e non lo fa spontaneamente.
La situazione è anche peggiore per quanto riguarda i dispositivi personali che sono utilizzati per accedere al sistema informativo aziendale: soltanto il 24,9% deve svolgere regolarmente interventi relativi alla sicurezza. La scelta spontanea è in questo caso decisamente rilevante: il 18,3% degli utilizzatori di dispositivi personali si occupa dei sistemi di protezione anche se l’azienda non lo ha invitato a farlo. Da questo dato si può intuire uno scarso impegno da parte delle aziende nell’educazione e nella formazione dei dipendenti sulle best practice per la messa in sicurezza dei dispositivi personali che vengono utilizzati dai dipendenti, un’ampia area che resta scoperta e facilmente attaccabile.
Questi dati sono confermati dal basso numero di intervistati che affermano di dover rispettare alcune regole per i propri dispositivi personali o aziendali: solo il 54,2% afferma di dover avere un software antivirus installato, il 37,1% ricorda che l’azienda gli ha chiesto di tenerlo aggiornato, poco più di un quarto degli intervistati (25,9%) deve impostare una password sul proprio cellulare o tablet; sconfortante poi il dato relativo alla policy di non condivisione del dispositivo con altre persone: solo il 15,2% afferma che l’azienda lo ha invitato a non consentire l’uso ad altre persone. Come abbiamo visto nella prima parte della ricerca la promiscuità nell’uso dei dispositivi è totale e di certo le aziende non sembrano volerla contrastare: solo il 10,4% degli intervistati afferma che le regole aziendali gli impongono di non salvare i dati relativi al business sui dispositivi mobili. Inoltre, una parte di utenti non rispetta tali regole: il 28,1%, ad esempio, non installa antivirus o non lo tiene aggiornato; ma risulta evidente che il problema è a monte: le indicazioni fornite dalle aziende sono troppo poche e troppo poco restrittive.
Gli utenti d’altra parte non dimostrano fiducia nelle aziende di cui fanno parte per quanto riguarda la risposta ad eventuali gravi problemi incontrati nell’utilizzo dei dispositivi mobili aziendali, come ad esempio la perdita del dispositivo o comportamenti insoliti che potrebbero far supporre che ci sia una infezione: solo il 38,6% dei rispondenti, e quindi molto meno della metà, si rivolgerebbe all’area informatica/IT della propria azienda per cercare supporto, mentre una larga fetta, il 35%, prova a risolvere il problema da solo, il 22,8% si rivolgerebbe a un’assistenza tecnica esterna all’azienda, il 20,9% chiederebbe l’aiuto di un conoscente e il 13,5% si rivolgerebbe a colleghi in azienda, ma non dell’area IT. C’è poi il 6.1% che non farebbe niente aspettando di vedere se il problema si risolve senza interventi.
Di coloro che sposano la filosofia del “fai da te”, la stragrande maggioranza è rappresentata dagli under 30, ovvero da coloro che principalmente tendono ad utilizzare dispositivi mobili personali e che quindi sono fuori dal controllo dell’azienda. Di contro, gli over 50 tendono più di tutti a rivolgersi all’area IT.
Una delle possibili motivazioni del fenomeno del “fai da te” è riconducibile al fatto che quasi la metà degli utenti (46,5%) afferma di non aver ricevuto indicazioni chiare e formalizzate dall’azienda su come comportarsi in caso di gravi rischi per la sicurezza di dispositivi mobili personali e il 32,8% per quelli aziendali, mentre l’8,4% per i dispositivi personali e il 7,4% per quelli aziendali ha ricevuto indicazioni ma non le seguirebbe o è già capitato che non le abbia seguite.
I motivi di tale scelta sono vari: prevale la volontà di non sentirsi in difetto e di non fare brutta figura (32,7%): gli uomini molto più con un rapporto del 42,9% rispetto al 19% delle donne e con una netta prevalenza, ben il 60%, dell’area HR/Legale.
Subito a seguire troviamo l’idea che sia troppo tardi (20,4%), il timore di sanzioni disciplinari (19,4%) o economiche (13,3%). Non manca l’opinione che l’azienda non sia in grado o non abbia le competenze per reagire opportunamente al danno (13,3%) e per finire anche il timore che l’azienda debba guardare tra i file personali mentre risolve il problema tecnico (11,2%).
D’altronde, se il sentimento prevalente nei confronti delle soluzioni per la sicurezza degli apparecchi informatici utilizzati in mobilità è quello di interesse e curiosità (48,1%), solo il 22,9% è convinto di saperne troppo poco, mentre per il 19,2% la sicurezza è solo un sogno, il 13% prova un sentimento di ansia e preoccupazione per i propri possibili sbagli e solo il 13,4% afferma di essere convinto che la propria azienda sia ben organizzata per prevenire le minacce o per affrontarle.