Vincenzo Gentile

Le serpi nel seno dell'IT

Uno studio getta nuove ombre sulla scarsa sicurezza all'interno delle aziende e punta nuovamente il dito contro gli ex-dipendenti. Che spesso al licenziamento rispondono col furto di proprietÓ intellettuale

Roma - Dopo l'allarme lanciato da McAfee, anche il Ponemon Institute si unisce al coro di quelli che individuano negli ex-dipendenti la minaccia maggiore alla sicurezza dell'azienda: stando ad un recente studio effettuato dall'istituto di ricerca, sei licenziati su dieci sarebbero disposti a portar via all'azienda dati e documenti importanti. Le finalità sembrano essere diverse: dalla vendetta allo spianarsi la strada per un nuovo lavoro, passando per la pura competizione.

La ricerca, effettuata negli Stati Uniti in collaborazione con Symantec, ha coinvolto un campione di 945 adulti che hanno subito un licenziamento o hanno cambiato lavoro nell'arco di 12 mesi. Dai risultati è emerso come il 59 per cento degli intervistati abbia ammesso di aver sottratto documenti e dati prima di lasciare definitivamente il posto di lavoro: tra le informazioni rubate vi sarebbero liste di contatti, email, dati relativi alla proprietà intellettuale dell'azienda. Queste informazioni vengono poi messe in cassaforte come bottino da cui attingere per la ricerca di un nuovo lavoro, di un business concorrenziale o, nel peggiore dei casi, per danneggiare l'ex datore di lavoro: secondo lo studio, oltre la metà di chi ha ammesso di aver sottratto materiale prezioso dall'ex-ufficio, ha dichiarato di non avere un'opinione positiva sia della vecchia azienda che dei suoi dirigenti.

Nel dettaglio, il 53 per cento di chi ha ammesso di aver sottratto del materiale ha utilizzato come supporto un CD o un DVD, mentre per quanto riguarda i drive USB ed i file allegati inviati ad un indirizzo personale, la percentuale si aggira rispettivamente intorno al 42 per cento per i primi e al 38 per cento per i secondi. L'operazione, comunque, pare essersi rivelata in molti dei casi un gioco da ragazzi: l'82 per cento dei "colpevoli" avrebbe dichiarato di non aver subito alcun controllo di sicurezza da parte della direzione o del datore di lavoro al momento del licenziamento o della fine del contratto, mentre il 24 per cento ha dichiarato di aver accesso ai sistemi informatici o alla rete del precedente ufficio anche dopo l'avvenuta cessazione del rapporto lavorativo.
"I risultati dello studio dovrebbero far scattare l'allarme per tutti i datori di lavoro perchè evidenziano come i propri dati personali escano al di fuori dell'azienda tramite i dipendenti" commenta Larry Ponemon, presidente dell'omonimo istituto. "Anche se i licenziamenti non sono imminenti, le aziende dovrebbero essere più consapevoli di chi e come ha accesso ai dati sensibili relativi al proprio business.

Effettivamente, spesso sono i datori di lavoro a favorire la fuga di dati e documenti importanti, semplicemente non prevedendo alcun piano di contenimento o di sicurezza: secondo altri dettagli dello studio, solo nel 15 per cento dei casi relativi agli intervistati sarebbero stati fatti controlli sul possibile malloppo di informazioni sottratte. Anche in questo caso, però, i controlli sarebbero stati poco approfonditi. "Molti datori di lavoro credono che sia il prezzo da pagare per l'attività, che sia un dato di fatto con cui dover convivere" dichiara Mike Spinney, membro dello staff del Ponemon Institute. "La nostra sensazione è che in molti si siano arresi - continua - ma crediamo lo stesso che si tratti di situazioni cui è possibile porre riparo prima che accadano".

Vincenzo Gentile
52 Commenti alla Notizia Le serpi nel seno dell'IT
Ordina
  • ......alla prima occasione rubano il rubabile e ficcano il naso ovunque oltre ad avere uno strapotere che deve essere fortemente limitato.


    http://www.repubblica.it/2007/09/sezioni/tecnologi...
    non+autenticato
  • "l'82 per cento dei colpevoli avrebbe dichiarato di non aver subito alcun controllo di sicurezza da parte della direzione o del datore di lavoro al momento del licenziamento
    [..] I risultati dello studio dovrebbero far scattare l'allarme per tutti i datori di lavoro perchè evidenziano come i propri dati personali escano al di fuori dell'azienda tramite i dipendenti"

    ma anche per i dipendenti: dovrebbero prevenire misure di contenimento iniziando a esportare informazioni dall'inizio, non si sa maiOcchiolino


    personalmente, dopo essere stato tra le vittime di una delle tante ristrutturazioni, la mia azienda (una piccola software house) mi ha impedito l'accesso alla scrivania ma non avrei mai portato via nulla: i contenuti tecnologici dell'azienda (poi fallita) erano quelli che ci avevo portato io assieme agli altri come me


    comunque in un' altra azienda meccanica dove ho lavorato perquisivano gli operai dopo un proliferare di contraffazioni ma poi scoprirono un ingegnere che diffondeva progetti via fax dall'ufficio

    morale:

    1) i contenuti tecnologici (se una ditta ne ha di appetibili) portateveli via subito in formazione e autoformazione

    2) il marcio parte dalla testa, quella va controllata
    non+autenticato
  • scusate, vogliamo parlare o no di manager che se ne vanno con valigette piene di documenti?
    non+autenticato
  • Veramente gli allarmi originali riguardavano proprio loro.
    L'IT è stato chiamato in causa perchè è responsabile della sicurezza dei dati.
    In questo caso direi che più che altro il titolo dell'articolo è stato fuorviante
    guast
    1319
  • Nel medioevo c'erano gli stregoni.
    Persone che possedevano la conoscenza ed erano venerati e temuti dalla plebaglia utonta perche' ritenuti dotati di potere sovrannaturale.

    Oggi ci sono gli informatici, che devono tornare ad essere venerati e temuti dalla plebaglia utonta perche' ritenuti dotati di potere sovrannaturale.

    E il potere sovrannaturale degli stregono del XXI secolo e' quello di rimettere in funzione i sistemi che si bloccano, o di far bloccare i sistemi da remoto!

    L'informatico puo' e deve effettuare un backup di tutto quanto c'e' di utile e interessante nel luogo dove lavora, e puo' e deve inserire bombe a tempo nelle procedure che amministra in modo che se dovesse venire allontanato dai suoi sistemi...
  • Aggiungi anche criptare tutti gli script che crea per ragioni di sicurezza (La sua ovviamente). A bocca aperta
    non+autenticato
  • - Scritto da: panda rossa
    >
    > L'informatico puo' e deve effettuare un backup di
    > tutto quanto c'e' di utile e interessante nel
    > luogo dove lavora, e puo' e deve inserire bombe a
    > tempo nelle procedure che amministra in modo che
    > se dovesse venire allontanato dai suoi
    > sistemi...

    Quante corbellerie. Di informatici ce ne sono un fottìo in giro, siete assolutamente ridondanti. Le vostre conoscenze possono essere acquisite da chiunque, non sono custodite gelosamente e tramandate nel segreto. In qualunque momento, potete essere rimpiazzati senza problemi.

    Quanto al tuo "suggerimento", è illegale e un qualunque informatico si comportasse così sarebbe passibile di sanzione in sede civile E penale. Si chiama "sottrazione di segreti industriali", "violazione del segreto d'ufficio" e "sabotaggio". Tutti e tre comportano la MORTE CIVILE in quanto basta il sospetto per porre fine alle tue speranze di trovare lavoro.

    Non siete gli stregoni: siete i servi della gleba.
    non+autenticato
  • Hai ragione! Io ero un informatico! Poi ho capito che era meglio ritirarsi. Ora vivo al sud con lo stipendio statale facendo un cazzo e sono stafelice che le tasse che mi matengono siano anche le tue! Lavora schiavo!
    non+autenticato
  • Paura eh?...

    Clicca per vedere le dimensioni originali
  • - Scritto da: MegaJock
    >
    > Quante corbellerie. Di informatici ce ne sono un
    > fottìo in giro, siete assolutamente ridondanti.
    > Le vostre conoscenze possono essere acquisite da
    > chiunque, non sono custodite gelosamente e
    > tramandate nel segreto. In qualunque momento,
    > potete essere rimpiazzati senza
    > problemi.

    Questo e' il classico ragionamento di chi informatico non e', dei computer sa usare solo il mouse, e che ha avuto a che fare per lavoro con tanti zappaterra che, a causa della crisi dell'agricoltura, si sono reinventati informatici ma che continuano a lavorare con zappa e vanga.
    L'informatica e' una cosa diversa e tu non sai cos'e'.

    > Quanto al tuo "suggerimento", è illegale
    Anche usare il cellulare in macchina e superare i limiti di velocita' in autostrada e' illegale.
    Ed e' molto piu' pericoloso di un backup.

    > e un
    > qualunque informatico si comportasse così sarebbe
    > passibile di sanzione in sede civile E penale.

    Esistono dei tribunali: accomodati.

    > Si
    > chiama "sottrazione di segreti industriali",
    > "violazione del segreto d'ufficio" e
    > "sabotaggio".

    Si chiamano "legittima difesa"!

    > Tutti e tre comportano la MORTE
    > CIVILE in quanto basta il sospetto per porre fine
    > alle tue speranze di trovare
    > lavoro.

    Per tua fortuna l'informatica e' una cosa che si puo' imparare: prendi i manuali, studia, e non fidarti di nessuno.

    > Non siete gli stregoni: siete i servi della gleba.
    Servi della gleba sono gli zappaterra di cui sopra, non gli informatici.
  • Che idea.

    Adesso metto nei server uno script nascosto, che gira una volta ogni giorno. Se lo script non trova una certa parola (criptata) in un dato file, blocca tutti i servizi, manda automaticamente un certo numero di mail in giro, con informazioni riservate e non proprio "pulite" dell'azienda. dopodiché si auto-cancella.

    Se trova il file giusto invece non fa niente, lo cancella semplicemente.

    Finche aggiorno il file a mano non succede niente. Appena mi licenziano e bloccano il mio accesso sul server sono fottuti.
    -----------------------------------------------------------
    Modificato dall' autore il 25 febbraio 2009 20.40
    -----------------------------------------------------------
  • le info possono uscire

    masterizzando su cd
    su dvd
    copiando su chiavi USB
    stampando elenchi (poco fico, ma assai efficace)
    copiando su palmari, cellulari
    inviando una mail con la mail aziendale
    oppure con una webmail


    Ora, tutto può essere bloccato in qualche modo (ma bisogna valutare costo e beneficio), ma per ogni singola voce, alzi la mano ogni IT manager che non conosca i motivi addotti da users, manager e direzione per NON bloccare niente.

    bloccare i masterizzatori o le chiavette, impedire di stampare, di mandare mail, di navigare in modo da raggiungere una qualche webmail meno appariscente delle solite, impedire che sincronizzino palmari e cellulari, che escano coi portatili (ma sono portatili, cristo!!) ...

    Se anche si dovesse (e dico pensando alla fantascienza) lockare tutto con DRM e simili, restano le copie analogiche oldskool.

    infatti se vogliamo esagerare ci mettiamo fotocamere compatte (e cellulari con fotocamera)
    e la classica penna con foglietto.
    un elenco di 20 voci di dati importanti può essere sufficiente per tante cosette in un nuovo lavoro se uno sa cosa usare.



    Quello a cui dovrebbero stare ben attenti i datori di lavoro è a NON ESSERE DISONESTI. Perché se uno si porta via il db completo, può dimostrare (perchè ne é competente, cosa che magari tu non sei) che fai falso in bilancio, che la contabilità non quadra, che rubi in qualche modo... può dare suppoorto alla GDF molto bene. Oppure rovinarti perché sei disonesto con i partner commerciali.


    Altro che proprietà intellettuale... spesso le nostre ditte italiane fanno un porcaio che i dipendenti nascondono tacendo ma solo per quieto vivere... ma alcuni possono svegliarsi e rivelarsi serpi in seno a ... mostri.

    Quindi animaletti onesti, in confronto a chi li ha schiacciati per tanto tempo.
    non+autenticato
  • La sicurezza va migliorata a monte.
    I data sensibili dei clienti devono essere accessibili solo dagli impiegati addetti ad un certo lavoro. Non da tutti gli impiegati.
    Ci deve essere un log su quali dati ha letto un determinato user.

    La facilità con cui si può accedere a determinati dati è una tentazione troppo forte
    guast
    1319
  • - Scritto da: guast
    > La sicurezza va migliorata a monte.

    Certo, se tale sicurezza e' considerata un valore dalla direzione, altrimenti cosa fai? Imponi una policy de facto?


    > I data sensibili dei clienti devono essere
    > accessibili solo dagli impiegati addetti ad un
    > certo lavoro.

    La qual cosa non ci garantisce alcunche'. Ad esempio la notizia di cui si parla e' relativa ad un SysAdmin, che per definizione ha accesso a dati importanti. E se a sbroccare fosse un project manager, od un account manager (scusa l'esterofilia, ma io parlo inglese al lavoro...e in velocita' non sempre trovo i corrispettivi in italiano). In questi casi la fuoriuscita di dati e' perpetuata esattamente "dagli addetti ad un certo lavoro".

    > Non da tutti gli
    > impiegati.
    > Ci deve essere un log su quali dati ha letto un
    > determinato
    > user.
    >

    I logs esistono, la legge sulla privacy esiste (e limita molti utili e/o irrispettose ma efficaci controlli). Inoltre i logs devono essere consultati (alzi la mano chi non ha dovuto spiegarlo al proprio supervisore per assegnare tempo a tale attivita')

    > La facilità con cui si può accedere a determinati
    > dati è una tentazione troppo
    > forte

    La qual cosa non solo non giustifica un bel nulla, ma e' anche indice della fragilita' professionale di molti (sono pro se mi amano sono stro se mi odiano).
    non+autenticato
  • Non spero certo che migliorando la sicurezza si risolva tutto. Quello che sto dicendo è che adesso le cose sono troppo facili. Anzi più che dirlo io lo hanno detto le ricerche su cui si basa l'articolo
    guast
    1319
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)