Uno studio di Ernst&Young identifica la privacy come il target principale delle azioni di sicurezza informatica.
La sicurezza informatica è considerata sempre più un elemento fondamentale per lo sviluppo del business, dato che le maggiori opportunità di contatto spesso combaciano con maggiori rischi.
Lo afferma la nona edizione annuale del Global Information Security Survey pubblicato da Ernst & Young.
Tra le cinque priorità fondamentali, identificate dall’indagine come le più importanti per poter raggiungere il successo di business, la protezione dei dati personali e della privacy è quella che oggi è all’attenzione del management aziendale.
Lo studio, “Achieving success in a globalized world – Is your way secure?”, è l’espressione del pensiero di circa 1.200 manager della sicurezza informatica operanti in 48 paesi, fra cui il nostro.
Per quanto riguarda l’Italia, il campione nazionale individua nella privacy uno dei principali fattori allo sviluppo di strategie di sicurezza informatica: il 93% degli intervistati lo ha indicato come tema che, negli ultimi 12 mesi, ha più coinvolto la funzione Information Security nella propria organizzazione.
E anche nei prossimi 12 mesi per il 67% degli interpellati italiani, questo tema continuerà ad essere prioritario e ad attirare significativi investimenti.
Le cinque priorità in tema di sicurezza informatica, dove sono si stati fatti progressi, ma dove è anche necessario un continuo miglioramento sono l’integrazione della sicurezza informatica all’interno dell’organizzazione; il cambiamento dell’impatto della compliance, passando da quella richiesta (cioè imposta dalla legge) a quella proattiva, spontanea perché di beneficio all’organizzazione aziendale; la gestione del rischio derivante da rapporti con terzi; la centralità dei temi della privacy e della protezione dei dati personali; la progettazione e realizzazione della sicurezza informatica.
A proposito di compliance, circa l’80% dei partecipanti allo studio concorda nel sostenere che gli impegni e le attività indirizzate al raggiungimento della conformità a norme e regolamenti hanno contribuito al miglioramento della sicurezza aziendale.
E le aziende intervistate hanno anche mostrato una buona sensibilità in merito alle tematiche e alle azioni richieste per gestire i rischi connessi nell’ambito delle relazioni con i terzi, specialmente nei casi dell’utilizzo di dati aziendali da parte di fornitori di servizi in outsourcing.
Più di un terzo dei partecipanti allo studio ha dichiarato di disporre di procedure formalizzate per la gestione dei rischi connessi ai fornitori.
In Italia la percentuale si attesta intorno al 33%. Sul fronte dei fornitori ci si aspetta, inoltre, che nei prossimi anni ci sia una crescente attenzione nei riguardi della conformità a standard. Tuttavia lo studio evidenzia che attualmente la maggior parte delle aziende affronta i rischi connessi ai fornitori utilizzando politiche e procedure non formalizzate. Più del 50% dei partecipanti allo studio ha affermato di gestire il rischio connesso ai fornitori in modo informale, o in nessun modo. Solo il 14% delle aziende, e il 7% in Italia, richiede ai propri fornitori una revisione indipendente delle attività di privacy e sicurezza basate sulle best practice e sugli standard di riferimento.
Il 2006 Global Information Security Survey ha anche evidenziato alcune linee di tendenza per il prossimo futuro.
Le esigenze di conformità verso norme e regolamenti continueranno a dominare lo scenario della sicurezza, ponendo alle aziende problematiche in merito alle modalità di mantenimento nel tempo della conformità e alla sua integrazione nell’ambito di una gestione integrata del rischio complessivo aziendale e dei relativi processi interni di controllo.
La privacy continuerà a essere elemento di preoccupazione per le aziende e per i responsabili di sicurezza.
I requisiti di certificazione verso standard riconosciuti acquisiranno sempre maggiore consenso come fattori chiave.
Le comparazioni in termini di benchmarking sia verso gli standard, sia verso le best practice implementate dalle aziende del medesimo settore saranno più importanti e riconosciute.
La consapevolezza che i rischi informatici saranno sempre più intrinsecamente correlati ai più ampi obiettivi di business renderà prioritario un ruolo proattivo per la sicurezza informatica all’interno delle aziende.
