Uno studio di Ernst & Young identifica la privacy come il target principale delle azioni di sicurezza informatica. Sul fronte dei fornitori, è attesa una crescente attenzione verso la conformità agli standard
La sicurezza informatica è considerata sempre più un elemento
fondamentale per lo sviluppo del business, dato che le maggiori opportunità
di contatto spesso combaciano con maggiori rischi.
Cinque sono le priorità fondamentali identificate dalla nona edizione
annuale del Global Information Security Survey pubblicato da Ernst & Young
e individuate come le più importanti per poter raggiungere il successo
di business, la protezione dei dati personali e della privacy, che oggi è
all’attenzione del management aziendale.Lo studio, “Achieving success
in a globalized world – Is your way secure?”, è l’espressione
del pensiero di circa 1.200 manager della sicurezza informatica operanti in
48 paesi. Per quanto riguarda l’Italia, il campione nazionale individua
nella privacy uno dei principali fattori allo sviluppo di strategie di sicurezza
informatica: il 93% degli intervistati lo ha indicato come tema che, negli ultimi
12 mesi, ha più coinvolto la funzione information security nella propria
organizzazione. E anche nei prossimi 12 mesi per il 67% degli interpellati italiani,
questo tema continuerà a essere prioritario e ad attirare significativi
investimenti.
Le cinque priorità in tema di sicurezza informatica, dove sono stati
fatti i maggiori progressi, ma dove è anche necessario un continuo miglioramento
sono: l’integrazione della sicurezza informatica all’interno dell’organizzazione;
il cambiamento dell’impatto della compliance, passando da quella richiesta
(cioè imposta dalla legge) a quella proattiva, cioè spontanea,
perché di beneficio all’organizzazione aziendale; la gestione del
rischio derivante da rapporti con terzi; la centralità dei temi della
privacy e della protezione dei dati personali; la progettazione e realizzazione
della sicurezza informatica.
A proposito di compliance, circa l’80% dei partecipanti allo studio concorda
nel sostenere che gli impegni e le attività indirizzate al raggiungimento
della conformità a norme e regolamenti hanno contribuito al miglioramento
della sicurezza aziendale.
E le aziende intervistate hanno anche mostrato una buona sensibilità
in merito alle tematiche e alle azioni richieste per gestire i rischi connessi
nell’ambito delle relazioni con i terzi, specialmente nei casi dell’utilizzo
di dati aziendali da parte di fornitori di servizi in outsourcing.
Più di un terzo dei partecipanti allo studio ha dichiarato di disporre
di procedure formalizzate per la gestione dei rischi connessi ai fornitori.
In Italia la percentuale si attesta intorno al 33%. Sul fronte dei fornitori
ci si aspetta, inoltre, che nei prossimi anni ci sia una crescente attenzione
nei riguardi della conformità agli standard. Tuttavia lo studio evidenzia
che attualmente la maggior parte delle aziende affronta i rischi connessi ai
fornitori utilizzando politiche e procedure non formalizzate. Più del
50% dei partecipanti allo studio ha affermato di gestire il rischio connesso
ai fornitori in modo informale, o in nessun modo. Solo il 14% delle aziende,
e il 7% in Italia, richiede ai propri fornitori una revisione indipendente delle
attività di privacy e sicurezza basate sulle best practice e sugli standard
di riferimento.
Per quanto riguarda le tendenze future, le esigenze di conformità verso
norme e regolamenti continueranno a dominare lo scenario della sicurezza, ponendo
alle aziende problematiche in merito alle modalità di mantenimento nel
tempo della conformità e alla sua integrazione nell’ambito di una
gestione integrata del rischio complessivo aziendale e dei relativi processi
interni di controllo.
La privacy continuerà a essere elemento di preoccupazione per le aziende
e per i responsabili di sicurezza. I requisiti di certificazione verso standard
riconosciuti acquisiranno sempre maggiore consenso come fattori chiave. Le comparazioni
in termini di benchmarking sia verso gli standard, sia verso le best practice
implementate dalle aziende del medesimo settore saranno più importanti
e riconosciute. La consapevolezza che i rischi informatici saranno sempre più
intrinsecamente correlati ai più ampi obiettivi di business renderà
prioritario un ruolo proattivo per la sicurezza It all’interno delle aziende.
