L'indagine The Risk of Insider Fraud, commissionata da Attachmate e condotta da Ponemon Institute, ha rivelato alcune interessanti lacune nella lotta alle frodi provenienti dall'interno dell'azienda stessa.
La ricerca è di carattere qualitatitivo, in quanto il campione di 700 organizzazioni a livello internazionale non può essere considerato statisticamente significativo, ma è comunque indicativo che meno della metà degli intervistati (il 44% per la precisione) ritiene una priorità, per la propria azienda, la prevenzione delle frodi.
Secondo quanto riportato, inoltre, questa percentuale è in costante calo dal 2011, segno che per quanto clamore abbiano avuto episodi come il caso Ferrari-McLaren o quello dei furti di dati in Sony o in RSA, le imprese non hanno ancora compreso a quali rischi siano esposti.
Intanto, secondo uno studio condotto da Ponemon nel 2011, il costo medio di una violazione è quantificabile in 194 dollari per record smarrito o sottratto. Dopodiché, considerati i volumi in gioco, è facile calcolare che per un'azienda media o piccola, come sono quelle italiane, il danno potrebbe essere vitale: se a essere rubati fossero i dati sui 3 principali clienti che da soli fanno più del 70% del fatturato?
Lo studio definisce una frode interna l'attacco criminale ai danni di aziende ed enti governativi da parte di dipendenti e collaboratori. Tipicamente, obiettivo di tali attacchi è il furto di beni finanziari o d'informazioni, che comprendono dati sui clienti, segreti industriali e proprietà intellettuale. Talvolta, i soggetti più pericolosi sono quelli che possiedono forti competenze IT o che hanno accesso ad applicazioni e dati critici per l'azienda.
Tra i risultati che gli autori dell'indagine risaltano, elenchiamo:
- In media, occorrono 87 giorni per rendersi conto che si è subita una frode interna e oltre 3 mesi (105 giorni) per scoprirne la causa.
- Il 79% degli intervistati ha dichiarato che nella propria organizzazione un utente dotato di privilegi di accesso può modificare i controlli dell'applicazione per modificare informazioni riservate e, successivamente, ripristinare tali controlli.
- Secondo il 73% degli intervistati, l'abuso da parte di un dipendente ha causato perdite finanziarie e danni al brand.
- L'81% degli intervistati ha dichiarato di avere già sperimentato una situazione in cui un dipendente ha utilizzato le credenziali di qualcun altro per avere maggiori diritti di accesso o per eludere i controlli.
Sul piano qualitativo, Larry Ponemon, chairman e fondatore di Ponemon Institute, afferma che, in pratica, "le azioni dei dipendenti sono praticamente invisibili all'azienda" e sottolinea: "Sebbene le organizzazioni abbiano spesso in vigore policy e procedure per impedire le frodi, ciò non significa che i dipendenti rispettino le regole, in particolare con la diffusione del BYOD (Bring Your Own Device)".
Sotto accusa è soprattutto il BYOD: "La sicurezza dei dati e le minacce interne continuano a rappresentare una sfida per le aziende, in particolare per le complessità create dal BYOD alla gestione dei rischi aziendali", commenta infatti Christine Meyers, director enterprise fraud management solutions di Attachmate.
La Meyers conclude: "La minaccia delle frodi interne rappresenta un rischio sempre maggiore che può tradursi in una tangibile perdita finanziaria per le aziende. Più tempo le organizzazioni impiegano a prendere provvedimenti, più alti saranno i costi".