Privacy e sicurezza: la parola a Ernst & Young

http://datamanager.it
Secondo un’indagine pubblicata da Ernst & Young che ha coinvolto anche l’Italia emerge dal campione nazionale come la privacy sia uno dei principali fattori nello sviluppo di strategie di sicurezza informatica: il 93% degli intervistati ha dichiarato, infatti, che questo è stato il tema che, negli ultimi 12 mesi, ha maggiormente coinvolto la funzione Information Security nella propria organizzazione.

L’Information Security è considerata sempre più un elemento fondamentale per lo sviluppo del business in quanto, in un sistema economico globalizzato, nel quale le maggiori opportunità spesso comportano anche maggiori rischi, è importante che le aziende si tutelino elevando il livello della propria sicurezza informatica.

E’ quanto afferma la nona edizione annuale del Global Information Security Survey pubblicato da Ernst & Young. Tra le cinque priorità fondamentali, identificate dall’indagine come le più importanti per poter raggiungere il successo, la protezione dei dati personali e della privacy è quella che oggi si è posta più decisamente all’attenzione del management aziendale.

Lo studio, Achieving success in a globalized world – Is your way secure?, riporta il punto di vista di circa 1200 manager della sicurezza informatica operanti in 48 paesi, così come riporta un significativo benchmark su come questo tema sia affrontato in più di 350 organizzazioni in 38 paesi diversi.

Fabio Merello, Partner Ernst & Young, responsabile del dipartimento Technology and Security Services, ha commentato: “Abbiamo identificato le cinque priorità fondamentali in tema di Information Security: le società si stanno attrezzando per poter far fronte a queste esigenze ma è importante essere consapevoli che ciò non basta e che sono necessari continui sforzi per rimanere allineati alle crescenti esigenze relative ad una gestione efficace del rischio. La privacy e la tutela dei dati personali sono tra le più evidenti priorità, oltre a essere tra i temi più vicini al consumatore nell’ambito della sicurezza informatica. Sono, infatti, diventate temi di grande interesse, a causa della crescente attenzione dei consumatori motivata da alcune lacune emerse in importanti sistemi di sicurezza e dalla forte focalizzazione sul tema da parte del legislatore. Comprensibilmente questa è tra le aree in cui le aziende si sono attivate maggiormente, formalizzando policy adeguate”.

Per quanto riguarda l’Italia, il campione nazionale concorda nell’individuare la privacy come uno dei principali fattori nello sviluppo di strategie di sicurezza informatica: il 93% degli intervistati ha dichiarato, infatti, che questo è stato il tema che, negli ultimi 12 mesi, ha maggiormente coinvolto la funzione Information Security nella propria organizzazione.
Fabio Merello ha aggiunto a questo proposito: “ Le società sono ben consapevoli che la problematica relativa alla tutela della privacy e dei dati personali è molto vasta. La nostra indagine mostra come essa continuerà ad essere prioritaria e richiederà, da parte delle aziende, particolare attenzione nella definizione delle misure atte a prevenire i rischi”. Anche nei prossimi 12 mesi, infatti, per il 67% degli interpellati italiani, questo tema continuerà ad essere prioritario e ad attirare significativi investimenti.

Le cinque priorità in tema di sicurezza informatica

Ernst & Young, sulla base dell’ultima indagine realizzata e dei risultati delle edizioni precedenti, ha identificato le cinque priorità in tema di sicurezza informatica, dove sono stati fatti progressi ma dove è necessario un continuo miglioramento: l’integrazione della sicurezza informatica all’interno dell’organizzazione: integrando la sicurezza informatica all’interno delle principali aree di business, con un conseguente incremento di visibilità e risorse; il cambiamento dell’impatto della compliance: passando dalla compliance richiesta a quella proattiva, apportando miglioramenti in tema di gestione del rischio nell’organizzazione; la gestione del rischio derivante da rapporti con terzi: individuando le sfide, i temi e le azioni necessarie ad una corretta gestione dei rischi connessi con i fornitori e i partner esterni; la centralità dei temi della privacy e della protezione dei dati personali: mantenendo un approccio proattivo e complessivo al fine di minimizzare i rischi; la progettazione e realizzazione della sicurezza informatica: utilizzando le richieste di conformità e le esperienze relative agli incidenti quali leve per generare nuovi investimenti per rafforzare le competenze e le difese.

La Compliance si conferma come il primo driver

Mentre la tutela della privacy e dei dati personali si confermano come temi di primaria importanza, la conformità alle norme ed ai regolamenti di settore si dimostra, per il secondo anno consecutivo, il principale driver in termini di impatto attuale e prospettico (prossimi 12 mesi) sulle attività di Information Security.
Circa l’80% dei partecipanti allo studio è concorde nel sostenere che gli impegni e le attività indirizzate al raggiungimento della conformità a norme e regolamenti hanno significativamente contribuito al miglioramento della Information Security aziendale. Il prossimo passo importante per le aziende sarà quello di indirizzare la razionalizzazione ed ottimizzazione degli interventi in materia di Information Security al fine di sostenere ed integrare i controlli e i processi realizzati nell’ambito della risposta ad esigenze di conformità normativa.

I rischi nei rapporti con i terzi

Le aziende hanno mostrato un’accresciuta sensibilità in merito alle tematiche e alle azioni richieste per gestire i rischi connessi nell’ambito delle relazioni con i terzi, specialmente in merito all’utilizzo dei dati aziendali da parte di fornitori di servizi in outsourcing.
Più di un terzo dei partecipanti allo studio ha dichiarato di disporre di procedure formalizzate per la gestione dei rischi connessi ai fornitori. Per l’Italia questa percentuale si attesta intorno al 33%. Lato fornitori ci si aspetta inoltre che nei prossimi anni ci sia una crescente attenzione nei riguardi della conformità a standard in ambito Information Security. Tuttavia lo studio evidenzia che attualmente la maggior parte delle aziende affronta i rischi connessi ai fornitori utilizzando politiche e procedure non formalizzate. Più del 50% dei partecipanti allo studio ha affermato di gestire il rischio connesso ai fornitori in modo informale, o in nessun modo. Solo il 14% delle aziende, il 7% in Italia, richiede ai propri fornitori una revisione indipendente delle attività di privacy e Information Security basate sulle best practice e sugli standard di riferimento.
Fabio Merello conclude: “Complessivamente il nostro Global Information Security Survey 2006 conferma che l’Information Security nelle aziende è considerata molto importante. Lo studio dimostra che molte aziende stanno conseguendo risultati significativi nell’ambito della riduzione dei rischi rafforzando l’Information Security. Questo obiettivo viene perseguito in virtù di investimenti crescenti, maggior coinvolgimento dei vertici aziendali, pressioni normative e maggiore consapevolezza.”

Uno sguardo al futuro: linee di tendenza per il 2007
Il 2006 Global Information Security Survey evidenzia alcune linee di tendenza per il prossimo futuro: le esigenze di conformità verso norme e regolamenti continueranno a dominare l’Information Security, ponendo alle aziende problematiche in merito alle modalità di mantenimento nel tempo della conformità e alla sua integrazione nell’ambito di una gestione integrata del rischio complessivo aziendale e dei relativi processi interni di controllo; la privacy continuerà ad essere elemento di grande preoccupazione per le aziende e per i responsabili dell’Information Security; i requisiti di certificazione verso standard riconosciuti acquisiranno sempre maggiore consenso come fattori chiave per l’Information Security; le comparazioni in termini di benchmarking sia verso gli standard che verso le best practice implementate dalle aziende del medesimo settore saranno sempre più importanti e riconosciute; la consapevolezza che i rischi informatici saranno sempre più intrinsecamente correlati ai più ampi obiettivi di business renderà prioritario un ruolo proattivo per l’Information Security all’interno delle aziende.

Comments(0)