Articolo da High Tech Insider 16/05/2007
Security: l'irresistibile leggerezza degli utenti mette a repentaglio ogni precauzione
Due terzi dei
dipendenti aziendali sarebbero disposti a rivelare le password in loro possesso
per una barra di cioccolato in regalo. Sembra una battuta ironica, ma in realtà
è la conclusione raggiunta in un recente studio dalla società
Infosecurity Europe, specializzata in analisi nel campo della
sicurezza.
Intervistando oltre 300 lavoratori “colletti bianchi” e professionisti IT, la
società ha rilevato che ben il 64% dei partecipanti al sondaggio ha fornito
inconsciamente la sua password di accesso ai sistemi senza porsi qualche dubbio.
Il raffronto è stato condotto per verificare il grado di attenzione alle
problematiche di sicurezza dei dipendenti che operano con apparecchiature
informatiche rispetto agli impiegati operanti in altri settori. “Con il solo
ausilio del sorriso ed un po' di faccia tosta è stato possibile ottenere
risultati sorprendenti in materia di password” – ha dichiarato Sam
Jeffers di Infosecurity Europe, commentando i risultati dello studio.
Durante la prima fase del sondaggio, in realtà solo il 22% dei dipendenti
operanti nell'area IT ha rivelato la sua password rispetto al 40% del campione
rappresentato dai dipendenti operanti negli altri settori.
Utilizzando però tecniche di ingegneria sociale (social engineering, cioè con
piccoli trucchi) volte a far parlare liberamente le persone e suggerire agli
intervistati potenziali password basate sui nomi dei loro familiari o della
squadra di calcio preferita, ben il 42% degli addetti operanti nell'IT
l'hanno inavvertitamente svelata contro il 22% dei dipendenti
operanti in altri settori.
Lo studio ha evidenziato inoltre come il 15% delle aziende utilizzi oggi
tecnologie token hardware per identificare l'accesso dei propri dipendenti senza
affiancare ad esse alcun meccanismo di autenticazione tramite password.
Ciò significa che il solo furto (o clonazione) di una smart card o del badge di
un dipendente sarebbe sufficiente per accedere ai dati più riservati della rete
aziendale. In aggiunta, il 67% del campione intervistato ha svelato di essere a
conoscenza che varie persone all'interno della sua compagnia conoscono la
password di accesso utilizzata dall'amministratore delegato, indicando il nome
della segretaria o dei collaboratori più stretti, offrendo così informazioni
preziose per eventuali attacchi di social engineering. Per risolvere questo
problema l'IT Manager deve farsi carico di creare una cultura della sicurezza
aziendale tramite adeguati piani di formazione per gli utenti.
“Lo studio ci ha rivelato come anche fra i responsabili IT che ricoprono
posizioni importanti vi sia una scarsa cultura in merito alle tematiche di
Information Security” – ha dichiarato Jeffers – “Questo
dimostra che c'è ancora molta strada da fare per educare le persone sulle
politiche e le procedure di sicurezza”.
I dati svelati da Infosecurity Europe collimano pienamente con quelli divulgati
da altri sondaggi paralleli. Ad esempio lo studio recentemente condotto da
PowerTech sul livello di sicurezza della piattaforma IBM System
i ha evidenziato come in media il 10% degli utenti di sistema possiedono
privilegi di massimo accesso (root) pur non necessitandone strettamente, mentre
il 50% dei server analizzati ospitano più di 20 utenti con password inadeguate
(ovvero uguali allo stesso username) e quindi facilmente identificabili dagli
aggressori. Peggio ancora, nel 58% delle password solitamente non è presente
nemmeno un carattere speciale o numerico. In aggiunta il 17% dei profili utente
risultano inattivi da oltre 30 giorni, segno che i controlli sui sistemi
informativi aziendali non sono tempestivi ed efficaci come è auspicabile che
siano.
http://www.itpro.co.uk/security/news/110185/it-professionals..