La sicurezza dei dati nei drive USB

Una recente ricerca evidenzia l’approccio incauto perpetrato dalla maggior parte delle imprese quando si tratta di proteggere i dati di lavoro archiviati sui supporti USB.

Kingston Digital Europe ( Kingston Technology) ha commissionato a Novembre 2011 uno studio condotto dal Ponemon Institute in dieci paesi d’Europa per valutare il comportamento delle aziende in materia di sicurezza dei dati contenuti nei drive USB.
Sono stati intervistati 2.942 professionisti con decennale esperienza nel settore IT o Sicurezza Informatica: dal survey è emerso che il 71% di aziende non dispone di tecnologie per prevenire o individuare l’accesso non autorizzato ai dati sensibili salvati su drive USB.

I rischi connessi all’uso di drive USB non crittografati sono per lo più ignorati, tanto che il 62% delle aziende prese in esame ha subito, negli ultimi due anni, la perdita di dati riservati a causa dello smarrimento di drive USB; perdita che è stata quantificata economicamente in un valore pari a 52M di euro.

Il dato si registra anche tra le aziende italiane seppur con numeri meno allarmanti: il 58% delle aziende non prevede una policy specifica in tema di penne USB, e quando avviene non si prevedono comunque obblighi di utilizzo di drive USB sicuri per il 42% .
Campioni in sicurezza, invece, la Germania e subito a seguire la Svizzera. In particolare in Germania il 62% delle aziende ha anche una policy interna che disciplina l’uso e la protezione di chiavi USB. In ritardo a sorpresa sono Regno Unito e Francia.

Dal punto di vista dei dipendenti sia in Europa sia in Italia, regna un po’ di confusione: il 68% è convinto che la propria azienda abbia una policy ma in realtà le aziende che lo fanno sono solo il 63%. Nel dubbio i dipendenti le usano lo stesso con il risultato che il 75% degli impiegati utilizza memorie USB senza autorizzazione aziendale, il 63% di questi le ha smarrite senza informare l’azienda e il 38% usa pennette USB di tipo generico e senza alcuna protezione.

Il problema è che ovviamente la tipologia di dati contenuti nei drive non è di tipo personale ma inerente all’attività lavorativa e in particolare si fa riferimento a dati sensibili aziendali che dallo studio risultano contenuti nei drive con le percentuali di:

• 47% dati dei clienti
• 40% documenti riservati non finanziari
• 31% proprietà intellettuali
• 27% dati relativi ai dipendenti
• 17% documenti finanziari riservati

Il management delle aziende intervistate ha però una atteggiamento apparentemente sano e correttamente la scelta di una USB viene valutata in base alla priorità di prevenire attacchi  per il 56%, in base alla certificazione di sicurezza per il 53% dei casi e solo per il 42% si verifica il prezzo.

Ovviamente recuperare questa situazione richiede un attenta politica di informazione e formazione dei dipendenti e poi la pianificazione e attuazione di una policy interna che disciplini, l’uso, la protezione e la tipologia di dati che possono essere trasferiti su memorie USB.