Compliance, «capestro»?

Un’indagine Ernst&Young dice che la strategia di sicurezza nelle aziende la fa la legge.

Ernst & Young ha tastato il polso delle iniziative di sicurezza nelle aziende, anche in Italia, per arrivare a comprendere che è la conformità alle norme la leva della sicurezza in azienda.


Lo ha fatto nel contesto dell’ottava edizione dello studio “Global Information Security Survey”, un rapporto costruito intervistando 1.300 responsabili aziendali, appartenenti a società, enti e organizzazioni di 55 Paesi.


Con una buona percentuale (due su tre), gli intervistati hanno evidenziato come problema il rispetto delle scadenze per attuare le normative, come quelle (specie nel nostro paese) sulla privacy, la Sarbanes-Oxley o l’ottava Direttiva europea.


Il nostro paese evidenzia una generale tendenza all’allineamento ai risultati individuati da Ernst & Young a livello mondiale, pur presentando alcune specificità.


Il campione nazionale concorda sull’individuare nella legge sulla privacy il principale fattore di impulso allo sviluppo di strategie di sicurezza informatica.


Un fattore che ha dominato in Italia nel corso dell’ultimo anno, secondo il 94% delle aziende interpellate e che, per l’80%, catalizzerà attenzione e investimenti anche nel prossimo anno, nonostante il 68% degli interpellati abbia già diversi progetti in corso per ottemperare ai requisiti contemplati dal nostro ordinamento sulla privacy.


A livello generale, tuttavia, le aziende non sembrano voler sfruttare le opportunità degli investimenti per l’adeguamento normativo nel senso di rendere la sicurezza delle informazioni una parte integrante del business.


La conformità alle normative, pertanto, pare avere le sembianze di elemento di distrazione di risorse, piuttosto che quelle di esaltatore delle capacità di business con la leva della sicurezza.


A conferma, ci sono i dati che emergono dalla sezione italiana dello studio di E&Y. In Italia le aziende hanno già attuato o stanno attuando politiche e procedure di sicurezza nell’85% dei casi; gli interventi di formazione e sensibilizzazione sono in atto per il 77% delle aziende interpellate. L’adeguamento procedurale-tecnologico, quindi, procede più spedito di quello organizzativo.


L’indagine ha anche rilevato come le necessità aziendali e la diminuzione dei costi della connettività wireless favoriscano l’adozione delle tecnologie mobili.


Tuttavia, poiché questi dispositivi funzionano al di fuori degli ambienti controllati, la protezione delle proprietà intellettuali e del patrimonio di informativo è sempre più lasciata alla responsabilità dei singoli: meno della metà delle aziende intervistate, infatti, ha fornito ai propri utenti le informazioni necessarie per un training o comunque indicazioni sui problemi di sicurezza legati al wireless.


Le altre tecnologie “del momento” (Voice over Ip, open source, virtualizzazione) sono state indicate fra le fonti di preoccupazione per la sicurezza da meno del 20% delle aziende.


L’outsourcing appare una minaccia per la sicurezza nella misura in cui molte aziende non prestano attenzione all’individuazione dei rischi tramite un’analisi periodica delle procedure e delle prassi cui sono sottoposti i prodotti e i servizi dei fornitori.


L’analisi di E&Y ha rivelato che un quinto degli intervistati non ha mai considerato il problema della gestione dei rischi derivanti dai fornitori, mentre un terzo ha dichiarato di adottare esclusivamente procedure informali.


Per quanto riguarda l’Italia, solo il 25% dichiara di selezionare i fornitori in base a certificazioni nell’ambito della sicurezza informatica.


Sempre a livello italiano, le aziende dimostrano un’alta sensibilità nei confronti della certificazione dei sistemi di sicurezza: il 22% di dichiara di essere già certificato e il 23% di aver pianificato la certificazione.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome