Con oltre 1.100 violazioni della sicurezza interna che si verificano ogni giorno nelle aziende del Regno Unito, quando si riduce il rischio di perdita di dati, il primo posto da cercare è probabilmente il proprio personale.

La consapevolezza della sicurezza interna sta crescendo, in parte a causa dell'effetto Edward Snowden. Nel prendere i file dalla NSA ai media del mondo, Snowden è stata la fonte di una delle fughe di informazioni di più alto profilo di tutti i tempi. Ma al momento del suo accesso a quei file, Snowden non era in realtà un dipendente della NSA. Era un imprenditore.

Ora, questo potrebbe sembrare una distinzione un po 'irrilevante, ma in realtà è una considerazione importante.

L'organizzazione estesa

Nel nostro recente rapporto di ricerca, "Da Brutus a Snowden: uno studio sui personaggi delle minacce interne", abbiamo analizzato in che modo l'atteggiamento nei confronti della sicurezza si differenzia tra i dati demografici, le industrie e i ruoli lavorativi.

La ricerca si basava su un sondaggio condotto su 2.000 impiegati degli uffici nel Regno Unito e negli Stati Uniti, e una divisione che abbiamo esaminato era il rapporto che i lavoratori avevano con i loro datori di lavoro. In questo modo siamo stati in grado di vedere la differenza tra dipendenti a tempo pieno e part-time, venditori, partner e appaltatori.

Molti dei risultati erano sorprendenti. Osservando le abitudini di condivisione delle password (una causa comune delle violazioni della sicurezza interna e il modo in cui Snowden è riuscito ad accedere ai file del collega), i partner e i fornitori sembrano essere molto peggiori di qualsiasi altro gruppo.

Coloro che si sono descritti come fornitori in particolare sembrano condividere le password come una cosa ovvia, con il 73% che le condivide con uno o più colleghi rispetto alla media organizzativa del 23%. I partner hanno anche il doppio delle probabilità (46%) rispetto alla media di condividere le password.

Se si considera un'altra grande violazione della sicurezza, quella che ha colpito il rivenditore statunitense Target, è possibile vedere nella pratica la potenziale debolezza di sicurezza che costituisce l'organizzazione estesa. La violazione è avvenuta tramite e-mail di phishing, inviata non ai dipendenti di Target, ma ai dipendenti di un'azienda HVAC che lavorava con l'azienda.

Ex membri dello staff

Uno dei motivi per cui un venditore, un partner o un appaltatore potrebbero non avere lo stesso atteggiamento verso la sicurezza della tua azienda è che non hanno lo stesso incentivo per essere coscienti come un dipendente a tempo pieno.

Un altro gruppo che manca di questo tipo di incentivi è, naturalmente, ex dipendenti. E la nostra ricerca ha anche messo in luce alcuni spunti interessanti su di loro.

Infatti, secondo la nostra ricerca, almeno un terzo di tutti gli ex dipendenti sono consapevoli del fatto che continuano ad avere accesso a dati e sistemi dal loro precedente posto di lavoro. Questo numero è anche molto più grande per le giovani generazioni, fino al 58% di quelle tra i 16 ei 24 anni e il 48% per i bambini tra i 25 ei 34 anni. Ciò suggerisce che, in generale, coloro che hanno lasciato un lavoro più di recente probabilmente continueranno ad accedere ai dati o ai sistemi del proprio ex datore di lavoro.

Inoltre, il 9% di tutti gli addetti alla scrivania non solo ha avuto accesso, ma l'ha usato. È quasi uno su dieci che entra nei sistemi o nei dati di un ex datore di lavoro.

Affrontare i problemi

Quando ci pensi, la questione della rete di ex dipendenti e dell'accesso ai dati è assurda. È così semplice limitare l'accesso agli ex dipendenti, semplicemente modificando la password e disattivando l'account una parte sistematica del processo di terminazione. Tuttavia, chiaramente una percentuale significativa di aziende non lo fa.

L'impresa estesa più ampia d'altra parte - partner, venditori e appaltatori - rappresenta un problema più complesso. I tuoi normali utenti a tempo pieno (dovrebbero) devono seguire un corso sulla sicurezza e hai più opportunità di educarli su pratiche lavorative appropriate. Un'organizzazione partner può richiedere l'accesso ai tuoi sistemi e dati per poter funzionare, ma i suoi dipendenti sono meno istruiti sulla tua politica di sicurezza, e anche se lo fossero, hanno meno incentivi a seguirlo.

L'unica risposta qui è quella di impiegare la tecnologia per aiutare a risolvere il problema. Integra soluzioni che combattono le cattive pratiche come la condivisione delle password direttamente nei tuoi sistemi per affrontarle. Potresti non essere in grado di richiedere ai dipendenti di un fornitore di partecipare a una sessione di formazione, ma puoi chiedere a loro di accettare i termini di utilizzo e informarli della tua politica tramite la tecnologia.

Sia che si tratti di ex dipendenti, venditori, appaltatori o organizzazioni di partnership, il messaggio più ampio è che le minacce interne non sono limitate ai dipendenti attuali a tempo pieno o part-time. La sicurezza interna deve essere end-to-end. In realtà è probabilmente più importante applicare attraverso la tua organizzazione estesa e anche oltre a coloro che hanno lasciato il business.

  • Francois Amigorena è fondatore e CEO di IS Decisions