Un altro rischio che corrono le imprese riguarda quella che viene spesso chiamata shadow IT, cioè i molti servizi Web che, in modalità cloud, vengono attivati dai dipendenti senza coinvolgere lo staff IT aziendale e spesso in modalità gratuita, quindi senza alcuna garanzia sulla sicurezza. Un problema spesso connesso con il BYOD, laddove il dispositivo usato per il privato contiene informazioni che magari vengono copiate nel cloud insieme alle foto delle vacanze.
A questi si aggiungono anche applicazioni più o meno discutibili, come Torrent e i vari Peer to Peer, o gli anonimyzer. Secondo la ricerca, il 96% delle organizzazioni prese in esame ha utilizzato almeno una applicazione ad alto rischio nel corso del 2014, con una crescita del 10% rispetto all'anno precedente. Gli esperti hanno anche misurato un tasso pari a 12,7 eventi ad alto rischio l'ora: ciascuno di questi può essere un attacco che va a buon fine permettendo ai criminali informatici di accedere a una rete aziendale.
La perdita di dati, peraltro, avviene spesso per errori o comportamenti scorretti del personale aziendale. Più precisamente, la ricerca rivela che l'81% delle imprese coinvolte ha subito perdite di dati, il 41% in più rispetto al 2013.
Le buone notizie
Lo scenario è certamente tragico, ma il rapporto completo mostra anche qualche risultato positivo, come l'impatto di tecnologie come la Threat Emulation di Check Point (catalogabile tra le soluzioni di sandboxing, semplificando un po'), che svolgono un'efficace azione di contenimento degli attacchi.
I responsabili locali della multinazionale israeliana sottolineano anche le elevate capacità della recente Threat Extraction, che va oltre la simulazione del codice sospetto, arrivando a riscrivere il codice stesso, "pulendolo" di tutte le componenti potenzialmente pericolose (per esempio un file di Word, di cui viene praticamente conservato solo il contenuto testuale).
La tecnologia di Check Point, spiega Gubiani, consente di eliminare tutte le componenti attive e, in particolare, quelle che impattano sui controlli a livello di CPU, utilizzate per eludere le tecnologie di emulazione e sandboxing.
Concludendo, Pozzi e Gubiani rimarcano l'importanza dell'educazione alla sicurezza, che deve essere affrontata seriamente in azienda, definendo un vero e proprio regolamento aziendale, distribuito in tutta l'azienda e affisso in bacheca: non bastano raccomandazioni via mail. L'IT deve poi implementare sistemi che consentano di rafforzare il rispetto delle politiche aziendali e le policy di sicurezza attraverso automatismi e strumenti che delegano (per quanto possibile con le leggi italiane) la responsabilità all'utente finale: per esempio avvisando che si sta inviando via mail un documento classificato e imponendo all'utilizzatore una scelta consapevole delle conseguenze.