Risk management e rischio IT, qual è la situazione

Un rapporto della Carnegie Mellon redatto per RSA mette in luce come non tutte le grandi aziende dispongano di un CISO o di un CSO e che il Chief Privacy Officer è merce veramente rara.

Il Governance of Enterprise Security: CyLab 2012 Report di Carnegie Mellon è un sondaggio suddiviso per regione geografica e settore industriale che esamina il modo in cui executive e consigli di amministrazione gestiscono i cyber-rischi.
Sponsorizzato da RSA, il report analizza le risposte di top manager di aziende inserite nella lista Forbes Global 2000 e rivela che questi si stanno occupando di risk management, ma che c'è ancora una mancanza di consapevolezza del collegamento tra questo e il rischio IT.

Uno scollamento che indica una mancanza di comprensione di come tutte le attività siano supportate da sistemi di elaborazione e dati digitali e di come i rischi in queste aree possono influire sul business.

Meno di due terzi degli intervistati dispone di personale a tempo pieno che si occupi di privacy e sicurezza: CISO/CSO, CPO (Chief Privacy Officer) o CRO (Chief Risk Officer).
I risultati del sondaggio confermano il punto di vista degli esperti che, in generale, il settore finanziario ha adottato migliori practice di sicurezza e governance rispetto ad altri mercati.

Mostra il più elevato livello di attenzione da parte degli executive verso elementi critici relativi al cyber risk management, mentre altri settori come energia, utility e industria non si occupano di vendor management, sicurezza IT e operation.

Gli intervistati del settore energia e utility si posizionano tra gli ultimi anche nello stabilire la giusta segregazione di compiti tra Risk Committee e Audit Committee.

Il 57% degli intervistati non analizza l'adeguatezza della copertura assicurativa o non svolge attività relative al cyber-risk management per gestire rischi finanziari e di reputazione associati al furto di dati confidenziali o proprietari e a breach di sicurezza.

Nonostante l'Europa sia all'avanguardia in materia di normative sulla privacy e loro applicazione, solamente il 3% degli intervistati indica che l'organizzazione di cui fanno parte dispone di un CPO.

Un segnale positivo del sondaggio è dato dall'importanza che i CDA pongono su esperienza in IT e sicurezza in fase di assunzione.
Gli intervistati indicano che l'expertise è molto importante o importante per il 37% di loro, o abbastanza importante per il 42%.
L'expertise su rischi e sicurezza è ancora più incoraggiante con un 64% degli intervistati che la indica come molto importante o importante e un 24% abbastanza importante.

Miglioramenti si riscontrano anche a livello organizzativo con un maggior numero di aziende che dispone di Board Risk Committee, team cross-organizzativi che gestiscono rischi legati alla privacy e alla sicurezza.

Solamente l'8% degli intervistati nel 2008 disponeva di Risk Committee, mentre il 48% dei partecipanti al sondaggio 2012 ha confermato di averlo. Allo stesso modo solamente il 17% degli intervistati del 2008 aveva team cross-organizzativi, mentre oggi il 72% dichiara di averlo.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here