I manager pensano alla privacy

Sicurezza

Secondo un’indagine Ernst & Young, la protezione dei dati personali e la
privacy sono la priorità per i manager della sicurezza informatica

Le aziende hanno la percezione di un livello di rischio crescente e per questo aumenteranno nei prossimi tre anni i loro investimenti nel business risk management, ma la mancanza di allineamento con le strategie di business potrebbe non consentire di sfruttare completamente il beneficio derivante. E’ quanto emerge dall’indagine Il rischio aziendale: i benefici dell’allineamento, realizzata da Ernst & Young su un campione di 441 manager di grandi organizzazioni in 16 Paesi, tra cui l’Italia. In particolare, in un’altra recente ricerca dello stesso istituto sembra che a preoccupare maggiormente i manager sia la protezione della privacy e dei dati personali. Dopo anni durante i quali tutti i tentativi effettuati dal Garante per sensibilizzare le aziende sull’importanza della tutela della privacy sono caduti nel vuoto, le aziende sembrano finalmente aver preso coscienza autonomamente della necessità di assicurare il giusto grado di protezione ai cosidetti dati sensibili. Il fatto è che il management aziendale sembra essere arrivato da solo alla conclusione che certi dati devono essere protetti, e come al solito le imposizioni legislative non sono servite a nulla sino a quando i rischi a cui possono essere soggetti i dati aziendali non si sono trasformati in ripercussioni economiche e in rischi per il business.

Protezione indispensabile

Tra le cinque priorità fondamentali, identificate dall’indagine Global Information Security Survey pubblicato da Ernst & Young, come le più importanti per poter raggiungere il successo, la protezione dei dati personali e della privacy è quella che oggi si è posta più decisamente all’attenzione del management aziendale. Lo studio, Achieving success in a globalized world ? Is your way secure?, riporta il punto di vista di circa 1200 manager della sicurezza informatica operanti in 48 paesi. In particolare, la ricerca ha permesso di individuare le cinque priorità fondam entali in tema di Information Security. Tra queste, la privacy e la tutela dei dati personali sono tra le più evidenti, oltre a essere tra i temi più vicini al consumatore nell’ambito della sicurezza informatica. Sono, infatti, diventate temi di grande interesse, a causa della crescente attenzione dei consumatori motivata da alcune lacune emerse in importanti sistemi di sicurezza. Comprensibilmente questa è tra le aree in cui le aziende si sono attivate maggiormente, formalizzando policy adeguate. Per quanto riguarda l’Italia, il campione nazionale concorda nell’individuare la privacy come uno dei principali fattori nello sviluppo di strategie di sicurezza informatica: il 93% degli intervistati ha dichiarato, infatti, che questo è stato il tema che, negli ultimi 12 mesi, ha maggiormente coinvolto la funzione Information Security nella propria organizzazione. Ovviamente, le società hanno preso coscienza del fatto che la problematica relativa alla tutela della privacy e dei dati personali è molto vasta. L’indagine Ernst & Young ha evidenziato che l’esigenza continuerà ad essere prioritaria e richiederà, da parte delle aziende, particolare attenzione nella definizione delle misure atte a prevenire i rischi. Anche nei prossimi 12 mesi, infatti, per il 67% degli interpellati italiani, questo tema continuerà ad essere prioritario e ad attirare significativi investimenti.

I cinque comandamenti

Ernst & Young, sulla base dell’ultima indagine realizzata e dei risultati delle edizioni precedenti, ha identificato le cinque priorità in tema di sicurezza informatica, dove sono stati fatti progressi ma dove è necessario un continuo miglioramento:

? L’integrazione della sicurezza informatica all’interno dell’organizzazione: integrando la sicurezza informatica all’interno delle principali aree di business, con un conseguente incremento di visibilità e risorse. ? Il cambiamento dell’impatto della compliance: passando dalla compliance richiesta a quella proattiva, apportando miglioramenti in tema di gestione del rischio nell’organizzazione. ? La gestione del rischio derivante da rapporti con terzi: individuando le sfide, i temi e le azioni necessarie ad una corretta gestione dei rischi connessi con i fornitori e i partner esterni. ? La centralità dei temi della privacy e della protezione dei dati personali: mantenendo un approccio proattivo e complessivo al fine di minimizzare i rischi. ? La progettazione e realizzazione della sicurezza informatica: utilizzando le richieste di conformità e le esperienze relative agli incidenti quali leve per generare nuovi investimenti per rafforzare le competenze e le difese.

Nonsolo Privacy

Mentre la tutela della privacy e dei dati personali si confermano come temi di primaria importanza, la conformità alle norme ed ai regolamenti di settore si dimostra, per il secondo anno consecutivo, il principale obiettivo che guida le attività di Information Security. Circa l’80% dei partecipanti allo studio è infatti concorde nel sostenere che gli impegni e le attività indirizzate al raggiungimento della conformità a norme e regolamenti hanno significativamente contribuito al miglioramento della Information Security aziendale. Il prossimo passo importante per le aziende sarà quello di indirizzare la razionalizzazione ed ottimizzazione degli interventi in materia di Information Security al fine di sostenere ed integrare i controlli e i processi realizzati nell’ambito della risposta ad esigenze di conformità normativa. Inoltre, e forse contestualmente al riconoscimento dell’importanza della protezione dei dati sensibili, le aziende hanno mostrato un’accresciuta sensibilità in merito alle tematiche e alle azioni richieste per gestire i rischi connessi nell’ambito delle relazioni con i terzi, specialmente in merito all’utilizzo dei dati aziendali da parte di fornitori di servizi in outsourcing. Insomma, il management una volta implementato un piano di protezione per i dati sensibili non vuole vanificare gli sforzi affidandoli a terze parti che non ne garantiscono lo stesso livello di sicurezza. Oppure, i rapporti con i partner vengono inclusi nel piano generale di protezione dei dati, e vengono stabiliti standard che regolano i rapporti con le terze parti. Più di un terzo dei partecipanti allo studio ha infatti dichiarato di disporre di procedure formalizzate per la gestione dei rischi connessi ai fornitori. Per l’Italia questa percentuale si attesta intorno al 33%. Lato fornitori ci si aspetta inoltre che nei prossimi anni ci sia una crescente attenzione nei riguardi della conformità a standard in ambito Information Security. Tuttavia lo studio evidenzia che attualmente la maggior parte delle aziende affronta i rischi connessi ai fornitori utilizzando politiche e procedure non formalizzate. Più del 50% dei partecipanti allo studio ha affermato di gestire il rischio connesso ai fornitori in modo informale, o in nessun modo. Solo il 14% delle aziende, il 7% in Italia, richiede ai propri fornitori una revisione indipendente delle attività di privacy e Information Security basate sulle best practice e sugli standard di riferimento.

Verso il futuro

Il 2006 Global Information Security Survey ha permesso di evidenziare alcune linee di tendenza per il prossimo futuro:

? Le esigenze di conformità verso norme e regolamenti continueranno a dominare l’Information Security, ponendo alle aziende problematiche in merito alle modalità di mantenimento nel tempo della conformità e alla sua integrazione nell’ambito di una gestione integrata del rischio complessivo aziendale e dei relativi processi interni di controllo. ? La privacy continuerà ad essere elemento di grande preoccupazione per le aziende e per i responsabili dell’Information Security. ? I requisiti di certificazione verso standard riconosciuti acquisiranno sempre maggiore consenso come fattori chiave per l’Information Security. ? Le comparazioni in termini di benchmarking sia verso gli standard che verso le best practice implementate

dalle aziende del medesimo settore saranno sempre più importanti e riconosciute. ? La consapevolezza che i rischi informatici saranno sempre più intrinsecamente correlati ai più ampi obiettivi di business renderà prioritario un ruolo proattivo per l’Information Security all’interno delle aziende.

Insomma, nel momento in cui le nuove minacce informatiche hanno dimostrato di puntare allo sfruttamento massivo dei dati personali e al furto delle identità, i manager aziendali, colpiti al portafoglio, hanno finalmente scoperto l’importanza di proteggere i dati sensibili. E’ anche vero che dal rilascio della nuova versione del decreto per la protezione della Privacy, il Garante ha fornito chiari segnali di non voler più transigere, pretendendo il rispetto di quanto contenuto nella normativa. In ogni caso, molto più sembrano aver fatto i recenti attacchi informatici, e in effetti è comprensibile. In un’ottica di business gli investimenti effettuati devono essere seguiti da un maggior ritorno economico. A questo punto quindi, se il furto di identità o di dati aziendali strategicamente fondamentali è in grado di generare pesanti perdite economiche, ecco motivato l’investimento in attività e strumenti destinati alla protezione delle informazioni. Vero è che se invece delle solite sanzioni si fosse puntato sull’offerta di uno sgravio fiscale per gli investimenti in sicurezza e per l’adeguamento alla normativa, forse oggi il nostro paese potrebbe rappresentare finalmente un esempio da seguire.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore