Security: l'irresistibile leggerezza degli utenti mette a repentaglio ogni precauzione

Articolo da High Tech Insider 16/05/2007

Security: l'irresistibile leggerezza degli utenti mette a repentaglio ogni precauzione

Due terzi dei dipendenti aziendali sarebbero disposti a rivelare le password in loro possesso per una barra di cioccolato in regalo. Sembra una battuta ironica, ma in realtà è la conclusione raggiunta in un recente studio dalla società Infosecurity Europe, specializzata in analisi nel campo della sicurezza.
Intervistando oltre 300 lavoratori “colletti bianchi” e professionisti IT, la società ha rilevato che ben il 64% dei partecipanti al sondaggio ha fornito inconsciamente la sua password di accesso ai sistemi senza porsi qualche dubbio. Il raffronto è stato condotto per verificare il grado di attenzione alle problematiche di sicurezza dei dipendenti che operano con apparecchiature informatiche rispetto agli impiegati operanti in altri settori. “Con il solo ausilio del sorriso ed un po' di faccia tosta è stato possibile ottenere risultati sorprendenti in materia di password” – ha dichiarato Sam Jeffers di Infosecurity Europe, commentando i risultati dello studio.
Durante la prima fase del sondaggio, in realtà solo il 22% dei dipendenti operanti nell'area IT ha rivelato la sua password rispetto al 40% del campione rappresentato dai dipendenti operanti negli altri settori.
Utilizzando però tecniche di ingegneria sociale (social engineering, cioè con piccoli trucchi) volte a far parlare liberamente le persone e suggerire agli intervistati potenziali password basate sui nomi dei loro familiari o della squadra di calcio preferita, ben il 42% degli addetti operanti nell'IT l'hanno inavvertitamente svelata contro il 22% dei dipendenti operanti in altri settori.
Lo studio ha evidenziato inoltre come il 15% delle aziende utilizzi oggi tecnologie token hardware per identificare l'accesso dei propri dipendenti senza affiancare ad esse alcun meccanismo di autenticazione tramite password.
Ciò significa che il solo furto (o clonazione) di una smart card o del badge di un dipendente sarebbe sufficiente per accedere ai dati più riservati della rete aziendale. In aggiunta, il 67% del campione intervistato ha svelato di essere a conoscenza che varie persone all'interno della sua compagnia conoscono la password di accesso utilizzata dall'amministratore delegato, indicando il nome della segretaria o dei collaboratori più stretti, offrendo così informazioni preziose per eventuali attacchi di social engineering. Per risolvere questo problema l'IT Manager deve farsi carico di creare una cultura della sicurezza aziendale tramite adeguati piani di formazione per gli utenti.
“Lo studio ci ha rivelato come anche fra i responsabili IT che ricoprono posizioni importanti vi sia una scarsa cultura in merito alle tematiche di Information Security” – ha dichiarato Jeffers – “Questo dimostra che c'è ancora molta strada da fare per educare le persone sulle politiche e le procedure di sicurezza”.
I dati svelati da Infosecurity Europe collimano pienamente con quelli divulgati da altri sondaggi paralleli. Ad esempio lo studio recentemente condotto da PowerTech sul livello di sicurezza della piattaforma IBM System i ha evidenziato come in media il 10% degli utenti di sistema possiedono privilegi di massimo accesso (root) pur non necessitandone strettamente, mentre il 50% dei server analizzati ospitano più di 20 utenti con password inadeguate (ovvero uguali allo stesso username) e quindi facilmente identificabili dagli aggressori. Peggio ancora, nel 58% delle password solitamente non è presente nemmeno un carattere speciale o numerico. In aggiunta il 17% dei profili utente risultano inattivi da oltre 30 giorni, segno che i controlli sui sistemi informativi aziendali non sono tempestivi ed efficaci come è auspicabile che siano.

http://www.itpro.co.uk/security/news/110185/it-professionals..