Sia a livello globale che a livello italiano gli analisti riscontrano ancora una bassa propensione all’esternalizzazione di attività critiche di Information security, come la gestione del disaster recovery e della business continuity, la gestione degli …
Sia a livello globale che a livello italiano gli analisti riscontrano ancora una bassa propensione all’esternalizzazione di attività critiche di Information security, come la gestione del disaster recovery e della business continuity, la gestione degli incidenti di sicurezza e le attività di investigazione forense. L’esternalizzazione di attività critiche di information security, infatti, è percepita sia come una vera e propria vulnerabilità in grado di aumentare l’esposizione a eventuali minacce esterne sia come un possibile canale di fuoriuscita delle informazioni riservate. Il ricorso all’outsourcing riguarda solo le attività prettamente tecnico-specialistiche quali penetration test e security audit o assessment, per le quali è previsto un significativo aumento nel prossimo futuro. «Abbiamo riscontrato il frequente ricorso all’analisi di self assessment demandati agli stessi fornitori e terze parti – osserva Andrea Mariotti, senior manager, Technology & Security Risk Services di Ernst&Young – quale strumento per valutare la loro sicurezza e le modalità di gestione dei dati, non garantendo la totale indipendenza di tali valutazioni». Rispetto a un discorso di outsourcing, secondo i ricercatori di Ernst&Young il 23% degli intervistati italiani e il 29% del campione mondiale non verifica o non valuta il modo in cui i contraenti tutelano le proprie informazioni.
