03 Mar 2014
Inviato da Clara Salpietro 
L’ANSSAIF ha pubblicato la ricerca sulla protezione dei dati e l’intelligence in azienda.
Uno degli obiettivi dell’ANSSAIF, Associazione Nazionale Specialisti di Sicurezza in Aziende di Intermediazione Finanziaria, presieduta da Anthony Cecil Wright, è di contribuire alla maturazione, in tutte le sedi opportune, anche universitarie, della consapevolezza dei problemi connessi alla necessaria protezione dei beni informatici, dei dati e delle informazioni, per garantirne la riservatezza.
L’indagine, che era stata presentata nel corso del X Convegno dell’Associazione dal consigliere Leonardo Procopio, è stata effettuata tramite elaborazione di un questionario costituito da domande con riferimento ai seguenti macro temi: Framework di controllo, Policy e Processi di gestione degli incidenti inerenti la perdita delle informazioni; Piani formativi a supporto della diffusione dei rischi e minacce inerenti gli incidenti di perdita delle informazioni e gli impatti per le organizzazioni aziendali; Tools a supporto dell’identificazione della minaccia e gestione degli incidenti inerenti la perdita delle informazioni; Tools per il monitoraggio dell’utilizzo di Social Network, Email, Internet e per la gestione sicura delle comunicazioni email; Linee guida per la protezione delle informazioni durante i Viaggi, quando si lavora da Casa/Fuori ufficio.
Il campione è stato definito con i seguenti criteri: Organizzazioni aziendali del settore bancario/finanziario/assicurativo; Organizzazioni nazionali ed internazionali; Organizzazioni di dimensioni piccole/medie/grandi.
Il team era composto dai consiglieri Sestito, Beozzi, Cabianca, Defline, Milano e dagli amici Manuela Burzoni e Roberto Nardella. Coordinatore del team: Leonardo Procopio. Ha collaborato alla ricerca il professore Roberto Setola e l’Associazione Infrastrutture Critiche.
Le domande sono state poste dal team direttamente alle aziende contattate. In ambito finanziario sono stati interpellati ed hanno compilato il questionario gruppi bancari: italiani, svizzeri, francesi, inglesi, americani. Questi ultimi due attraverso la loro filiale italiana. Hanno anche risposto due operatori di sistema, un grande gruppo assicurativo e diverse aziende operanti in settori critici.
I risultati possono essere esaminati in alcune tabelle appositamente realizzate. Mediamente la metà delle aziende interpellate ha risposto in maniera positiva, dichiarando di avere le policy di sicurezza con una chiara definizione di ruoli e responsabilità, che esistono processi e procedure atti ad individuare in maniera preventiva le possibili minacce ed a gestire gli incidenti, che esistono tools per la gestione degli incidenti riguardanti la perdita di informazioni, ed inoltre che esistono linee guida per la protezione delle informazioni quando si lavora da casa e di procedure per acquisire elementi di prova, derivanti da perdita di informazioni, con standard riconosciuti in ambito forense.
Più numerose sono invece le aziende (tra il 70 e l’85%) che dichiarano che esiste: un processo di escalation circa l’avvenimento di incidenti comportanti perdita di informazione, processi di classificazione ed etichettatura delle informazioni, linee guida per la protezione delle informazioni quando si viaggia, linee guida per la gestione sicura delle comunicazioni e-mail, tools per il monitoraggio delle e-mail sia per quanto riguarda il testo che gli allegati, e, infine, programmi di training e diffusione della consapevolezza della minaccia di perdita della riservatezza delle informazioni.
Sono invece solo il 30% le aziende che hanno dichiarato di avere dei tool per monitorare le attività sui social network al fine di prevenire incidenti che comportino la perdita di informazioni.
Il settore bancario è quello che ha fornito i valori più alti, dimostrando una forte attenzione alla protezione dei dati e delle informazioni, attuando tutta una serie di misure preventive. Forse il recente aggiornamento delle norme di vigilanza prudenziale, in linea con quelle adottate a livello internazionale, hanno dato un forte contributo.
Nel corso di alcuni successivi approfondimenti è emerso che in realtà si possono contare sulle dita di una mano, ad esempio, le aziende che hanno redatto, ed approvato a livello di consiglio di amministrazione, le policy di sicurezza contenenti soprattutto precise indicazioni sulle modalità di corretto utilizzo degli strumenti messi a disposizione dall’azienda e sulle conseguenze derivanti dalla mancata adozione delle norme di sicurezza emanate. È da notare che, come emerso nel corso del convegno, la mancata ufficializzazione di precise istruzioni di sicurezza, coinvolgendo le organizzazioni sindacali, e la pubblicizzazione di idonee misure atte a prevenire l’esecuzione di possibili frodi, rendono vano quanto realizzato dall’azienda in materia di sicurezza delle informazioni. La trasparenza è uno dei requisiti fondamentali.
Altra carenza rilevata è che in realtà non vi sono investimenti adeguati a creare una giusta consapevolezza del rischio al personale dell’azienda. Vi sono iniziative non coordinate: dei corsi sporadici, un libricino sul cybercrime, alcuni brevi articoli nella Intranet o nella newsletter.
Solo in qualche caso si è potuto rilevare l’emanazione di una policy sulla “awareness”, approvata dal comitato di gestione (ma non dall’organo con funzioni di supervisione strategica). L’insufficiente attenzione alla sensibilizzazione del personale dipendente può essere considerata una delle cause della crescente minaccia di eventi malevoli da parte degli “insiders”.
