Non solo privacy nel futuro delle imprese
Una ricerca condotta a livello mondiale nelle aziende mostra quali sono le tendenze in atto tra le imprese per contrastare i problemi e i rischi connessi alla sicurezza informatica. Oltre la privacy, emergono interessanti linee di sviluppo.
(Shinynews.it) La sicurezza informatica è considerata sempre più un elemento imprescindibile per l'incremento del business, dato che il numero e la qualità delle minacce informatiche è ormai arrivato a una stabile soglia di preoccupazione. Le aziende percepiscono il trend crescente del livello di rischio e per questo stimano di aumentare considerevolmente nei prossimi tre anni i loro investimenti nel business risk management, ma la mancanza di allineamento con le strategie aziendali potrebbe non consentire di sfruttare completamente il beneficio derivante. È questo quanto emerge dall'edizione annuale del "Global Information Security Survey" pubblicato da Ernst & Young: lo studio riporta il punto di vista di circa 1200 manager della sicurezza informatica operanti in 48 paesi, tra cui l'Italia, e si mostra come una buona panoramica sullo stato dell'arte della sicurezza informatica.
Cinque priorità
Sulla base dell'indagine realizzata sono state identificate cinque priorità sul tema della sicurezza informatica ritenute importanti per poter raggiungere il successo.1. | L'integrazione della sicurezza informatica all'interno delle principali aree di business, con un conseguente incremento di visibilità e risorse. |
2. | Il cambiamento di prospettiva della compliance: da quella passiva, sulla base delle richieste normative e quindi imposta per legge, a quella attiva, spontaneamente prodotta dall'azienda, per cercare di avere risposte ancora migliori. |
3. | La capacità di gestire efficacemente il rischio derivante da rapporti con terzi: risultato da raggiungere individuando le sfide, i temi e le azioni conseguenti. |
4. | La centralità dei temi della privacy e della protezione dei dati personali, mantenendo un approccio proattivo allo scopo di minimizzare i rischi ben aldilà degli obblighi di legge. |
5. | La progettazione e realizzazione della piena sicurezza informatica, utilizzando le richieste di conformità e le esperienze relative agli episodi negativi per originare nuovi investimenti a rafforzamento delle competenze e delle difese. |
La privacy al centro
Tra le cinque priorità indicate dall'indagine, la protezione dei dati personali e della privacy è quella che oggi si è posta più decisamente all'attenzione del management aziendale: le società hanno preso coscienza del fatto che la problematica è molto vasta. Solo in Italia, il 93% degli intervistati ha dichiarato, infatti, che questo è stato il tema che, nell'ultimo anno, ha maggiormente impegnato l'Information Security nella propria organizzazione, e il 67% degli interpellati ritiene che anche nei prossimi 12 mesi questo tema conserverà la priorità su altri aspetti e convoglierà significativi investimenti. Sembra che, dopo anni di sensibilizzazione sull'argomento, le aziende finalmente abbiano preso consapevolezza autonomamente della necessità di assicurare il giusto grado di protezione e tutela ai dati sensibili: il management aziendale sembra essere arrivato a questa conclusione nel momento in cui i pericoli a cui possono essere esposti i dati aziendali hanno rischiato di trasformarsi in ripercussioni economiche e in minacce per il business. La privacy e la tutela dei dati personali, d'altra parte, sono tra i temi più conosciuti e vicini al consumatore nell'ambito della sicurezza informatica.Oltre la legge
Partendo da questo dato di fatto, sembra però emergere un interesse più a largo raggio circa la sicurezza informatica: soprattutto la compliance e il rapporto con i terzi sono temi scottanti ai quali le aziende si propongono di trovare idonee soluzioni. La conformità alle norme ed ai regolamenti di settore (ovvero la compliance) si dimostra il principale driver in termini di impatto attuale e in prospettiva futura: circa l'80% dei partecipanti allo studio concorda nel ritenere che gli impegni e le attività indirizzate al raggiungimento della conformità a norme e regolamenti hanno contribuito in modo significativo al miglioramento della Information Security aziendale. Il prossimo passo importante per le aziende sarà quello di indirizzare la razionalizzazione ed ottimizzazione degli interventi in materia di Information Security al fine di sostenere ed integrare i controlli e i processi realizzati nell'ambito della risposta ad esigenze di conformità normativa. Un altro aspetto interessante è che le aziende cominciano a produrre procedure interne di sicurezza, andando oltre gli obblighi previsti per legge, ma progettandole in funzione del business.La sicurezza verso terze parti
Le aziende stanno dimostrando anche un'accresciuta sensibilità e consapevolezza in merito alle tematiche e alle azioni richieste per gestire i rischi connessi alle relazioni con i terzi, specialmente in merito all'utilizzo dei dati aziendali da parte di fornitori di servizi in outsourcing. Il management, raggiunti buoni risultati interni sul piano della protezione dei dati sensibili, non vuole vederli vanificati affidandoli a terze parti che non ne garantiscono lo stesso livello di sicurezza. Così i rapporti con i partner vengono inclusi nel piano generale di protezione dei dati, e vengono stabiliti standard che regolano i rapporti con gli esterni: più di un terzo dei partecipanti allo studio ha dichiarato di disporre di procedure formalizzate per la gestione dei rischi connessi ai fornitori (per l'Italia questa percentuale si attesta intorno al 33%). Tuttavia lo studio evidenzia anche come attualmente la maggior parte delle aziende affronti i pericoli connessi ai fornitori utilizzando politiche e procedure non formalizzate: più del 50% dei partecipanti allo studio ha affermato di gestire tale rischio in modo informale, o in nessun modo. Solo il 14% delle aziende, il 7% in Italia, richiede ai propri fornitori una revisione indipendente delle attività di privacy e Information Security basate sulle best practice e sugli standard di riferimento.Azienda all'avanguardia
In conclusione, si può affermare che le società si stanno attrezzando per poter rispondere significativamente a queste esigenze. Sta crescendo la consapevolezza di dover aumentare gli sforzi per rimanere allineati alle crescenti esigenze della gestione del rischio: un obiettivo perseguibile solo grazie a maggiori investimenti e a un migliore coinvolgimento dei vertici aziendali. Contemporaneamente, le normative rimangono il motore per l'avviamento delle pratiche di sicurezza, ma sempre più spesso si guarda a normative interne alle aziende stesse, che vadano oltre il dettato legislativo. Le aziende che stanno affrontando i problemi di sicurezza con questo approccio sono sicuramente all'avanguardia nella gestione dei rischi informatici.(publicazione originale on line cliccando sul titolo)
Nessun commento:
Posta un commento