Uno studio dell’It Policy Compliance Group aiuta a scoprire le pratiche di una compliance ben fatta. La riduzione dei punti di controllo è foriera di dati sicuri
L’It Policy Compliance Group, organizzazione impegnata per far progredire il grado di conformità It delle aziende a cui partecipano Computer Security Institute, The Institute of Internal Auditors, Protiviti, Isaca, It Governance Institute e Symantec, ha rilasciato il nuovo report, “Core Competencies for Protecting Sensitive Data”. L’analisi, che include il responso aziende a livello mondiale, mette in risalto come solo una azienda su dieci sia in grado di proteggere bene i propri dati sensibili. I benchmark che costituiscono la base dello studio, sono stati condotti con 454 aziende fra i mesi di febbraio e marzo 2007. Il margine di errore della ricerca è del 4,5%. La maggioranza delle organizzazioni che ha partecipato ai benchmark ha sede negli Stati Uniti.
Lo studio analizza anche le variabili che creano la differenza fra aziende “leader” e realtà meno capaci nei confronti della protezione dei dati, definite “laggard”, offrendo una vista sulle best practice che possono contribuire a migliorare la disciplina, incrementare i livelli di conformità e consentire un vantaggio competitivo.
Uno dei risultati più significativi della ricerca è la correlazione fra protezione dei dati sensibili e livelli di conformità normativa: le aziende che sanno ben tutelare le informazioni sensibili prestano molta attenzione anche al rispetto delle norme vigenti. Quasi tutte le organizzazioni (96%) che presentano livelli minimi di perdite di dati sensibili sono le stesse che devono apportare il minor numero di correzioni ai meccanismi di conformità necessari per superare le verifiche normative. Al contrario, la maggioranza di aziende (64%) con un elevato tasso di perdite di dati sensibili sono le stesse che denunciano mancanze rilevanti sul fronte della conformità.
Le competenze chiave identificate nello studio rientrano in tre categorie: struttura e strategia organizzativa, customer intimacy (ossia conoscenza dei clienti e confidenza dei rapporti) ed eccellenza operativa. Prendendo in esame le aziende leader, ossia quelle che presentano la minore quantità di perdite di dati sensibili, rispetto alle realtà più indolenti, che di conseguenza hanno tassi di perdita dati più significativi, è possibile comprendere quanto sia importante definire un numero limitato di policy o di obiettivi di controllo effettuando, per contro, un numero superiore di valutazioni e facendo leva sulla gestione del cambiamento It per prevenire l’uso o le modifiche non autorizzate. Risulta che i leader definiscono una media di 30 obiettivi di controllo e li valutano una volta ogni 19 giorni. Queste aziende subiscono, su base annua, un massimo di due episodi di perdita di dati e di due casi di carenza normativa. I laggard, invece, definiscono una media di 82 obiettivi di controllo e conducono valutazioni ogni 230 giorni. Queste realtà soffrono su base annua almeno 13 episodi di perdita di dati e 22 casi di carenza normativa.
Lo studio indica, anche, che la qualità dei controlli non è importante quanto invece può esserlo la loro idoneità rispetto a rischi specifici e la frequenza con cui questi controlli vengono effettuati. Le aziende che non si avvalgono di controlli adeguati al rischio e che non ne valutano l’efficacia procedurale e tecnica con frequenza sono più soggette a episodi di furto o perdita di dati. Le realtà che non attuano controlli, va da sé, sono quelle che patiscono più casi di perdita e furto di informazioni.
Le organizzazioni con minori perdite di dati sono quelle che conseguono i migliori risultati nell’ambito della conformità normativa. Queste aziende hanno un ventaglio di competenze in grado sia di minimizzare la perdita di dati e migliorare il livello di conformità, sia di ridurre l’impatto finanziario causato dalle falle.
