L'IT è una minaccia alla sicurezza aziendale!

Perché vi sorprende che molti di noi ficchino il naso nei vostri file; voi non fareste altrettanto se foste in grado di avere accesso a tutto ciò che è a vostra disposizione?

Un amministratore IT intervistato

Sta facendo discutere lo studio condotto da Cyber-Ark Software, un'azienda americana specializzata nella protezione delle informazioni, che rivela che un terzo degli impiegati nell'IT ficca il naso nei sistemi dell'azienda per venire in possesso di informazioni confidenziali, come file privati, dati sugli emolumenti, email personali, curriculum vitae.
Lo studio, che secondo Cyber-Ark rivela "lo scandalo nascosto dei dipendenti IT ficcanaso" non fa che confermare quelle sentimento diffuso che, a bassa voce, si sparge in tutte le aziende: il dipartimento IT ha il potere dell'informazione, non solo perché ne gestisce l'esistenza, ma soprattutto perché ci può guardare dentro e ne può disporre a piacimento.
Quante volte mi sono sentito appellare da colleghi non-tecnici come parte della schiera di coloro che detenevano il possesso dei dati e con questi dati poteva fare ciò che voleva. E quante volte ho dovuto appellarmi alla deontologia professionale per "difendere" il mio dipartimento dalle insinuazioni.
Purtroppo la deontologia non è patrimonio di tutti e parallelemente è difficile avere un monitoraggio delle attività di ognuno, se non mediante appositi strumenti e dispositivi normativi aziendali.
In ogni caso il problema dei superpoteri dell'IT esiste (non per niente in Unix l'amministratore di sistema è chiamato superuser), ed è confermato dai risultati dello studio in oggetto che, francamente, risultano oltremodo sconfortanti.
Esaminiamoli brevemente:

• più di un terzo degli intervistati utilizza gli accessi privilegiati per ficcare il naso qua e là nei sistemi aziendali;
• più di un terzo degli intervistati, una volta cambiato lavoro, è stato in grado di accedere ai sistemi dell'azienda che avevano lasciato;
• il 25% ha affermato che era al corrente che un ex-collega fosse ancora in grado di collegarsi alla rete nonostante avesse lasciato l'azienda;
• più del 50% delle persone intervistate conservano le password su Post-it, nonostante si tratti di amministratori di sistemi informativi, persone, cioè, con una conoscenza dei rischi indotti da questo tipo di gestione. Questa è però la conferma che anche i sistemisti sono, prima di tutto, uomini;
• le password di amministratore vengono cambiate raramente nel 20% delle aziende, mentre il 7% non le cambia mai.
• l'8% dei rispondenti non ha mai cambiato le password di default assegnate dal costruttore sui sistemi critici (e sappiamo che il primo tentativo di intrusione in un sistema viene condotto proprio utilizzando le password di default, peraltro facilmente disponibili anche su Internet);
• il 57% delle aziende conserva le password in formato cartaceo, il 18% in un foglio excel e l'82% dei sistemisti le conserva nella propria testa, introducendo un'ulteriore criticità di sicurezza e impattando potenzialmente sulla produttività aziendale.
  
• il 15% delle aziende ha avuto atti di sabotaggio dall'interno.

Questo studio delinea due tipi di minacce: uno derivato dalla possibilità di disporre del patrimonio informativo aziendale, l'altro indotto dalla incapacità di organizzare la protezione dei propri sistemi, entrambi palesi sintomi di una scarsa professionalità.
Capiamo bene che metodologie come l'ITIL debbano prendere sempre più piede nelle aziende, anche nelle medie e piccole, ma è comunque arduo affrontare il problema dal punto di vista della gestione del personale. Come garantire l'accesso all'informazione senza che essa diventi aperta a tutti o addirittura un bersaglio per un abuso?
Come accennavo sopra, è un problema che va affrontato dal versante normativo aziendale e da quello degli strumenti di verifica di accessi e utilizzi non propriamente professionali: nessuno dei due può prescindere dall'altro.