Conformità e governance IT per ridurre la perdita dati

Il gruppo IT Policy Compliance ha annunciato la pubblicazione di un nuovo, importante studio dal titolo “Perché la conformità paga: reputazioni e ricavi a rischio”. Secondo questo documento, nove aziende su dieci sono esposte a rischi finanziari connessi a perdite e furti di dati. Tali rischi, che possono costare clienti, profitti e addirittura cali di valore azionario, potrebbero ridursi considerevolmente con l'adozione di metodi di controllo procedurale e tecnico, da monitorare almeno ogni due settimane.

Nelle grandi aziende, la possibilità che si verifichino pubblicamente perdite di dati è stimata in un caso ogni tre anni, se l’azienda non agisce in modo preventivo. Di contro, le organizzazioni in cui si sono registrati risultati migliori presentano una possibilità di perdita di dati pari a un caso ogni 42 anni. Lo studio mostra inoltre come le organizzazioni che raggiungono un livello d'eccellenza nella conformità riducono la perdita di dati e il numero di guasti derivati da downtime.  

"Gran parte delle aziende e delle istituzioni pubbliche combatte ancora con alti tassi annuali di non conformità che causano interruzioni nei flussi di lavoro, perdite di dati e furti" spiega James Hurley, Senior Research Manager Symantec Corp. e amministratore delegato di IT Policy Compliance Group.  "Anche se la probabilità di perdere dati e lavoro è quasi sempre una questione di "quando" piuttosto che di "se", adottare in modo corretto una serie di pratiche legate a conformità, rischio e governance può ridurre considerevolmente la frequenza e l'impatto di tali eventi."

Quanto costano i danni ai dati         
Secondo il Data Loss Database di Attrition.org, gli episodi noti di furto o perdita di dati negli Stati Uniti sono stati circa 280 all'anno negli ultimi due anni. Una media destinata ad aumentare, data la crescente incidenza delle violazioni di dati da parte di consumatori, enti e autorità. Secondo l'ultimo rapporto del Gruppo IT Policy Compliance, tali perdite possono avere effetti di rilievo sull'azienda. Lo studio, inoltre, dimostra che le organizzazioni che hanno dichiarato pubblicamente una perdita di dati sono destinate a rimetterci circa l'8% in termini di clienti e profitti, l’8% di ribasso nel valore delle azioni per le aziende quotate e ulteriori spese di circa 100 USD per ciascuna scheda cliente.

Le Best Practice dei leader nella conformità        
La ricerca attesta come le aziende di successo, quelle con minori perdite di dati e furti, sono in grado di raggiungere l’eccellenza operativa delle infrastrutture IT, migliorando i risultati legati alla conformità e i controlli generali e delle procedure di sicurezza IT. Inoltre, i risultati dello studio dimostrano bassissime perdite di dati tra le aziende che si occupano in modo costante del monitoraggio e della valutazione dei controlli, con cadenza almeno bimestrale.

“Le aziende, grazie a un processo di governance efficace focalizzato su specifici obiettivi di controllo IT, combinato a sua volta, a un mix di controlli integrati, sono in grado di impostare politiche valutabili in modo coerente”, spiega Everett C. Johnson, CPA, International President di ISACA e IT Governance Institute. “Creando un programma di conformità IT misurabile e riproducibile, le aziende possono produrre dati garantendo allo stesso tempo un elevato livello di conformità.”

In base alle esperienze positive avute dalle aziende limitate perdite di dati sensibili, il rapporto del Gruppo IT Policy Compliance Group identifica una serie di azioni di supporto tese a migliorare le prestazioni di conformità tecnologica delle aziende, a ridurre i tempi morti e limitare perdite e furti di informazioni.

Tra queste:

• Controlli IT più accurati;
• Riduzione degli obiettivi di controllo, facilitando comunicazione, misurazione e relazione;
• Impostazione di standard più elevati nelle performance;
• Incentivare una cultura di eccellenza operativa delle infrastrutture IT;
• Monitoraggio, valutazione e reporting dei controlli finalizzati agli obiettivi almeno una volta ogni due settimane;
• Maggiori investimenti nell'automazione dei controlli IT.

Oltre a dedicare una più ampia fetta del budget IT ai controlli di sicurezza, le aziende che hanno denunciato il minor numero di perdite dati e non conformità stanno riallocando i fondi finora spesi con fornitori esterni a favore di nuove strutture e software dedicate all'automatizzazione del monitoraggio e misurazione di controlli e procedure.

"I sostenitori dei controlli sono sempre stati obbligati a giustificare l'assegnazione di ulteriori fondi ad hoc. Questo studio conferma ancora una volta che i test aggiuntivi non solo sono una garanzia, ma si rivelano fondamentali nella prevenzione di furti e perdite" spiega Rocco Grillo, Amministratore Delegato della sezione Technology Risk di Protiviti Inc. "La ricerca collega inoltre la resistenza di un sistema alla conformità. Anche se si tratta di nuova prospettiva, come spiega il documento, è importante ci sia un collegamento tra controlli efficaci e resistenza."

Il gruppo IT Policy Compliance, creato per la formulazione di ricerche sul campo e la promozione di best practice di aiuto ai professionisti IT impegnati nel campo delle conformità a politiche e regolamenti, ha annunciato inoltre l'ingresso di due nuovi membri: ISACA e IT Governance Institute. 

Il nuovo rapporto è consultabile al sito www.ITPolicyCompliance.com.