venerdì 7 dicembre 2007

Ipse Dixit

CW Security / Security policies? Workers ignore them, survey says
[ policy di sicurezza ? gl'impiegati le ignorano, dice il sondaggio]

"The key take-away is that information security policies are not being read, or if they are being read, are not being understood; if understood, people may not be following it"
[ il punto fondamentale é che le policy di sicurezza non sono lette, e se lo sono, non sono capite, e fossero capite le persone potrebbero non seguirle ]
ha dichiarato Larry Ponemon, Chairman del Ponemon Institute, commentando un sondaggio fra 890 professionisti dell'IT dal quale si evince che:
  • Più della metà degli intervistati ha personalmente copiato informazioni confidenziali su chiavette USB (di questi quasi uno su dieci sapeva però che la policy aziendale lo proibiva)
  • Quasi la metà ammette di condividere password con colleghi (anche se i due terzi sanno che la policy lo proibisce)
  • Otto su dieci hanno detto di non essere sicuri (quasi due su dieci l'ha fatto!) se spegnere un network firewall é violazione della policy o no.
  • .. e svariate altre.
"The reason why these things are happening [is] because compliance is not enforced, people are just not paying attention to enforcement. "
[ la ragione é che se la compliance non é applicata, le persone non ci fanno attenzione (e non applicano) ]

Suggerisco: scrivere le policy in forma più semplice, fare dei test per la comprensione (da me lo fanno, e la comprensione migliora - anche se qualcuno copia -), fare enforcement tramite tecnologia (la tecnologia aiuta) e sanzionare chi non si attiene.

Etichette:

posted by misi @ 10.57

2 Comments:

At 8 dicembre 2007 19.45, Anonymous claudio said...

L'ultimo punto è quello critico: sanzionare chi non si attiene.
Del resto, lo studio stesso dimostra che spesso le politiche sono violate scientemente.
Ma sanzionare è una rogna, per un mare di motivi, e le aziende spesso non sentono la necessità di prendersi una tale rogna per una cosa banale come aver violato una politica di sicurezza.

 
At 12 dicembre 2007 11.30, Blogger SpippolAzione said...

Sanzionare, magri no, ma terrorirzzare si. Io amministro una rete ed i miei colleghi "amministrati" hanno timore di fare certe cose.

Ho impiegato anni di terrorismo psicologico e con i nuovi arrivi piu' "scafati" e' sempre piu' difficile, ma io temgo duro :-)

 

Posta un commento

<< Home