I vostri ex dipendenti rappresentano un rischio per la sicurezza dei vostri dati?

Chi si licenzia lo fa di regola per lasciare l’azienda in modo definitivo. Ma nell’era della digitalizzazione dare le dimissioni è spesso complicato. Diversi sondaggi hanno indagato negli ultimi anni se e come gli ex dipendenti dopo essersi licenziati si procurano accesso agli spazi digitali del loro ex datore di lavoro. I risultati sono allarmanti e mostrano che in alcune aziende c’è bisogno di intervenire.

  #Security Awareness   #Security Risk Assessment   #Security Strategy Architecture  
Markus Kaegi
+41 58 510 16 98
markus.kaegi@umb.ch

Tutte le volte che gli ex impiegati si aggirano nella sfera digitale del loro ex datore di lavoro, questo non conduce certo sempre ad attacchi hacker spettacolari o a furti di dati. Tuttavia questo costituisce un significativo rischio per la sicurezza. In alcuni casi tali incursioni non autorizzate nel digitale hanno fatto scalpore a livello internazionale. Ad esempio nel caso dell’americana SunTrust Banks; all’azienda tre anni fa sono andati persi i dati personali di un milione e mezzo di clienti[i]. Il responsabile: un insoddisfatto ex dipendente. Alla stessa categoria apparteneva colui che ha cancellato i server di un provider Internet olandese, dopo che aveva avuto accesso al dossier clienti[ii]. Anche un ex amministratore IT del produttore americano IC Allegro ha causato grandi danni – grazie alla sua precedente posizione è stato in grado di cancellare dati nel comparto finanziario, in modo tale da non poter essere stilato alcun rapporto annuale dell’azienda[iii].

 

Dopo aver dato le dimissioni conservare semplicemente la password

Il più recente studio di Beyond Identity, società che si occupa di sicurezza, sul tema offboarding mostra[iv] che in 1.000 aziende consultate (nel mondo anglosassone) l’83 percento degli intervistati dopo aver abbandonato il proprio posto di lavoro continua ad accedere al suo account presso il precedente datore di lavoro. Il 24 percento degli intervistati ha ammesso che dopo essersi ritirato dall’azienda ha conservato intenzionalmente la propria password. La conseguenza: quasi tre quarti dei datori di lavoro intervistati sono stati danneggiati secondo quanto da loro asserito da attività di tal genere. In un sondaggio precedente della società per la sicurezza OneLogin tra 500 decisori IT appena la metà degli intervistati ha dichiarato di essere «del tutto certi» sul fatto che i loro ex dipendenti non sarebbero entrati nei sistemi IT dell’azienda. E il 20 percento delle aziende consultate ha ammesso che la sicurezza sui dati al loro interno sarebbe stata già violata da ex dipendenti[v]. Questo non sorprende affatto se si considera il processo di disimpiego di questi dipendenti. Lo studio della Beyond Identity ha accertato che nel dieci percento di tutti i casi è stato un collega a occuparsi delle formalità di disimpiego. Solo nel nove percento degli intervistati uno specialista del settore IT è stato coinvolto nella procedura di uscita. Soltanto alla metà degli intervistati è stato richiesto in sede dimissionaria di restituire i dispositivi aziendali in loro possesso; più della metà non hanno mai restituito le loro chiavi digitali, e solamente un terzo ha cancellato il suo account da dipendente.

 

Aver fiducia è bene, controllare è ancora meglio

I motivi per cui bisogna proteggere i dati aziendali dai dipendenti che non hanno più a che fare con l’azienda, sono ovvi – a prescindere poi dal fatto che per un’azienda può avere conseguenze catastrofiche se ad esempio vengono rubati i dati dei suoi clienti. Dopo tutto, la protezione dei dati è responsabilità dell’azienda stessa.

Come potete dunque proteggere i vostri dati in questa situazione? Naturalmente è per il momento utile (anche se non è sempre semplice), assumere solo persone fidate. Perciò anche qui vale il motto: aver fiducia è bene, controllare è ancora meglio.

 

Accesso solo per quelli che devono accedere

Regolamentate l’accesso e garantite accesso ai dati solo a quei dipendenti che ne hanno bisogno per svolgere il loro lavoro. Informate i nuovi dipendenti della vostra azienda che nel caso in cui presentino le dimissioni devono consegnare tutti gli strumenti in loro possesso e cancellare i dati di accesso. Anche un accordo confidenziale che rimane in vigore anche dopo essersi ritirati dall’azienda può essere considerato parte del contratto di lavoro. Per quanto concerne la parte tecnica, è possibile impostare un sistema che tenga traccia degli accessi utente di tutti i dipendenti ai dati aziendali e preveda di disattivarli in caso di emergenza. Tutte le volte che un dipendente lascia l’azienda, si dovrebbe in ogni caso procedere a disattivare il più rapidamente possibile i relativi conti. In caso di licenziamento, può risultare sensato procedere a questa disattivazione già prima della cessazione ufficiale. È importante trattare questi aspetti di tutela dei dati in un colloquio finale. In tale ottica è necessario che un responsabile IT identifichi e disattivi i diversi punti di accesso esistenti e che si assicuri che tutti i dispositivi aziendali vengano riconsegnati.  

 

La sicurezza informatica è una disciplina integrale

I fattori di rischio descritti sopra, così come il fatto che le forze lavoro ibride possano ora accedere alle risorse da un qualsiasi luogo, richiedono un nuovo approccio alla gestione di identità e accesso[vi]. SecurID, la piattaforma identità di RSA, lo specialista identità attivo a livello mondiale, vi può supportare nell’introduzione di misure migliori per garantire privilegi concernenti l’accesso e il conto. SecurID MFA offre una vasta gamma di moderni metodi di identificazione per l’accesso sicuro a dati e applicazioni nonché a risorse nel cloud. L’autentificazione multifactor assume un’importanza decisiva per ridurre il rischio di attacchi basati sull’accesso[vii]. SecurID e UMB vi possono aiutare a raggiungere questo obiettivo. UMB è un partner RSA Secureworld Titanium. Alla UMB consideriamo la sicurezza informatica come una disciplina integrale dell’intero ambiente IT e comprendiamo le sfide di un mondo in rapida trasformazione. Alla UMB la sicurezza informatica non viene isolata, ma considerata come parte dei concetti di IT, luogo di lavoro e digitalizzazione. Non esitate a contattarci, se desiderate ricevere ulteriori informazioni in materia.

 

[i] SunTrust Banks ex-employee may have stolen 1.5 million customer records | ZDNet

[ii] Dutch web host Verelox suffers huge outage after ex-employee deletes all customer data (ibtimes.co.uk)

[iii] IT administrator set 'time bomb' malware to torpedo ex-employer's year-end audit (ibtimes.co.uk)

[iv] Survey: The Great Resignation’s Impact on Company Security | Beyond Identity

[v] Why ex-employees may be your company's biggest cyberthreat | TechRepublic

[vi] La gestione dell‘identità: che cosa sapete. Che cosa avete. Che cosa siete. (umb.ch)

[vii] Resources (securid.com)