Dipendenti e CIO non possono concordare su chi sia la colpa per il costante flusso di violazioni dei dati privilegiati
Troppo spesso, quando una grande organizzazione è colpita da una violazione dei dati, è veloce annunciare che è in corso un indagine e che i suoi specialisti della sicurezza, insieme a esperti esterni e agenti delle forze del ordine, cercheranno di fare tutto il possibile per scoprire chi è responsabile del incidente. Le persone e le organizzazioni sono così concentrate nello scoprire chi lo ha fatto a volte che dimenticano quale dovrebbe essere la loro vera priorità - apprendere quante persone sono state colpite e scoprire cosa si può fare per proteggere i propri dati e la propria privacy.
Un indagine approfondita è tuttavia una parte vitale della risposta a un incidente di sicurezza informatica. Per prevenire future perdite di dati, le organizzazioni devono scoprire cosa è successo e trarre tutte le conclusioni necessarie.
Stiamo assistendo a sempre più violazioni in cui i dati vengono divulgati senza alcun aiuto esterno. In tali casi, scoprire dove è stato commesso errore è ancora più importante. Sfortunatamente, un sondaggio commissionato dalla società di sicurezza Egress mostra che il più delle volte, questo è molto più difficile di quanto sembri.
Table of Contents
Leader e dipendenti IT intervistati nel tentativo di scoprire chi è responsabile dello stato della sicurezza dei dati
Il rapporto si chiama Insider Data Breach 2019 e, come suggerisce il nome, si concentra sugli incidenti di sicurezza dei dati che si verificano senza interferenze da parte degli hacker. La ricerca è stata condotta da Opinion Matters e ha coinvolto 500 leader IT (Chief Information Officer) e poco più di 4.000 dipendenti negli Stati Uniti e nel Regno Unito.
Agli intervistati sono state poste varie domande sul modo in cui il loro datore di lavoro gestisce i dati. Hanno detto ai ricercatori se le aziende per cui lavorano hanno subito o meno una violazione e se se ne aspettano o meno in futuro. Hanno espresso pareri su chi sia responsabile di cosa e se le procedure e le politiche siano chiaramente indicate come dovrebbero essere. Si scopre che esiste un enorme abisso tra ciò che pensano i leader IT e i dipendenti regolari.
Nessuno sembra essere accordo su nulla
Sembra che i CIO non siano estremamente fiduciosi nella capacità dei dipendenti di proteggere le informazioni. Un enorme 95% di loro pensa che gli addetti ai lavori possano davvero mettere a rischio i dati della propria organizzazione. Nella loro mente, hanno una buona ragione per questo.
Il 79% dei leader IT intervistati ritiene che durante anno precedente i dipendenti abbiano messo a rischio le informazioni del azienda e il 61% ritiene di averlo fatto deliberatamente. Il 60% dei CIO intervistati ritiene che le loro organizzazioni subiranno una sorta di violazione dei dati nei prossimi dodici mesi e quasi la metà (46%) ritiene che la violazione sarà dannosa.
Quando i dipendenti di livello inferiore riescono a rispondere alle domande, le cose sembrano molto diverse. Oltre il 90% di loro afferma di non aver mai infranto la politica della propria organizzazione quando si tratta di elaborare le informazioni. E di quelli che ammettono di condividere i dati in modo insicuro, più della metà afferma di averlo fatto perché non gli sono stati forniti gli strumenti giusti per farlo correttamente.
In altre parole, la colpa viene lanciata come una patata bollente e, allo stesso tempo, il flusso infinito di violazioni dei dati mostra che la situazione è tut altro che ideale. è una via uscita?
La protezione dei dati aziendali dovrebbe essere un processo coordinato
Mantenere le informazioni aziendali sicure al giorno oggi è un processo continuo e complicato che dipende da molte persone diverse, il che significa che quando le cose vanno male, spesso è difficile puntare il dito su una sola persona e dire "È colpa loro". Il fatto è che tutti, dai dipendenti di livello C fino alla persona che copia e incolla le informazioni da un database al altro, devono essere pienamente consapevoli del importanza dei dati e delle conseguenze della loro perdita.
I CIO devono lavorare con lavoratori di livello inferiore per creare politiche che proteggano i dati e garantiscano un flusso di lavoro regolare allo stesso tempo. Ai dipendenti deve essere insegnato come trarre il meglio da queste politiche e, soprattutto, devono essere informati su cosa potrebbe accadere se non si attengono a loro.
Sfortunatamente, dato ampio divario tra le cifre citate nel rapporto Insider Data Breach 2019 di Egress, prevedere un miglioramento significativo nel prossimo futuro sarebbe poco più che un pio desiderio.
