Quali mosse per proteggere i dati sensibili?

L’IT Policy Compliance Group ha annunciato il nuovo report, “Core Competencies for Protecting Sensitive Data”, basato su benchmark. L'analisi, che include il feedback di oltre 450 organizzazioni a livello mondiale, mette in luce come solo un'azienda su dieci sia in grado di proteggere in maniera adeguata i propri dati sensibili. Lo studio analizza inoltre le variabili che creano la differenza fra aziende “Leader” e realtà meno capaci nei confronti della protezione dei dati, definite “Laggard”, offrendo un approfondimento sulle best practice che possono contribuire a migliorare questa disciplina, incrementare i livelli di conformità e consentire un vantaggio competitivo sostenibile.

Uno dei risultati più sorprendenti della ricerca è la correlazione fra protezione dei dati sensibili e livelli di conformità normativa: le aziende che sanno ben tutelare le informazioni sensibili prestano molta attenzione anche al rispetto delle norme vigenti. Quasi tutte le organizzazioni (96%) che presentano livelli minimi di perdite di dati sensibili sono esattamente le stesse che devono apportare il minor numero di correzioni ai meccanismi di conformità necessari per superare le verifiche normative. Al contrario, la maggioranza di aziende (64%) con un elevato tasso di perdite di dati sensibili sono le stesse che denunciano mancanze rilevanti sul fronte della conformità.

Le competenze chiave identificate nel presente studio rientrano in tre categorie: struttura e strategia organizzativa, customer intimacy ed eccellenza operativa. Prendendo in esame le aziende Leader, ovvero quelle che presentano la minore quantità di perdite di dati sensibili, rispetto alle realtà più indolenti - i cosiddetti Laggard - che di conseguenza hanno tassi di perdita dati più significativi, è possibile comprendere quanto sia importante definire un numero limitato di policy o di obiettivi di controllo effettuando per contro un numero superiore di valutazioni e facendo leva sulla gestione del cambiamento IT per prevenire l'uso o le modifiche non autorizzate.

● I Leader definiscono una media di 30 obiettivi di controllo e conducono valutazioni una volta ogni 19 giorni. Queste aziende subiscono su base annua un massimo di due episodi o meno di perdita di dati e di due casi o meno di carenza normativa.

● I Laggard definiscono una media di 82 obiettivi di controllo e conducono valutazioni ogni 230 giorni. Questa fascia di aziende sperimenta su base annua 13 o più episodi di perdita di dati e 22 o più situazioni di carenza normativa.

Lo studio indica, inoltre, che la qualità dei controlli non è importante quanto invece può esserlo la loro idoneità rispetto a rischi specifici e la frequenza con la quale questi controlli vengono effettuati. Le aziende che non si avvalgono di controlli adeguati al rischio e che non ne valutano l'efficacia da un punto di vista procedurale e tecnico con una certa frequenza sono più soggette a episodi di furto o perdita di dati. Le realtà aziendali che addirittura non attuano alcun controllo o valutazione sono quelle che subiscono i maggiori tassi di perdita e furto di informazioni.

“Proteggere i dati di clienti e dipendenti e la proprietà intellettuale non è mai stato tanto importante quanto oggi, considerato il rapido aumento dei requisiti di conformità e del rischio legato alla reputazione”, ha commentato Rocco Grillo, Managing Director Technology Risk Practice di Protiviti Inc. “Eppure continuano a verificarsi casi di falle nei dati e di furti di identità. Nonostante i controlli non possano garantire la protezione al 100%, le aziende devono comunque applicare il giusto livello di diligenza in termini di sicurezza delle informazioni e gestione del rischio. Programmi affidabili volti a mantenere e tutelare in maniera efficace la sicurezza proteggendo le informazioni hanno dato riscontri molto positivi, riuscendo a salvaguardare i dati di valore da perdite o furti. Sono passati i tempi in cui il management poteva attendere passivamente un episodio di crisi per muoversi reattivamente di fronte all'accaduto. Oggi bisogna agire in maniera proattiva e preventiva”.

Le best practice dei Leader nella protezione dati

Le organizzazioni con minori perdite di dati sono quelle che vantano i migliori risultati nell'ambito della conformità normativa. Queste aziende dispongono di un ventaglio di competenze in grado non solo di minimizzare la perdita di dati e migliorare il livello di conformità, ma di ridurre al minimo anche l'impatto finanziario causato dalle falle nei dati (vedere precedente report “Why Compliance Pays Reputations and Revenues at Risk”), supportando un vantaggio competitivo sostenibile. Le competenze chiave includono:

Struttura e strategia organizzativa

Attuare un programma di conformità world-class

Documentare e gestire policy, standard e procedure

Ridefinire i controlli interni, le funzioni di gestione del rischio e della sicurezza IT per fare leva sulla customer intimacy e sull'eccellenza operativa

Customer intimacy

Definire i ruoli e le responsabilità degli addetti alle policy

Identificare e gestire i rischi finanziari e di business

Attuare un programma di formazione per i dipendenti e gestire i casi di eccezione alle policy

Eccellenza operativa

Ampliare il raggio della verifica interna alla maggior parte delle funzioni business

Rendere gli obiettivi di controllo sensibili al rischio

Ridurre il numero degli obiettivi di controllo

Implementare controlli che vengono misurati

Condurre auto-valutazioni di controlli procedurali

Aumentare la frequenza delle valutazioni dei controlli tecnici

Implementare un programma completo di gestione del cambiamento IT

Utilizzare la gestione del cambiamento IT per prevenire utilizzi o modifiche non autorizzati

La ricerca

Gli argomenti oggetto di studio da parte dell'IT Policy Compliance Group rientrano in un calendario di tematiche di ricerca proposte dai membri sponsor e dai soci generali, oltre che a seguito dei risultati ottenuti da report recenti. I benchmark più aggiornati, che costituiscono la base del presente studio, sono stati condotti con 454 organizzazioni fra i mesi di febbraio e marzo 2007. Il margine di errore di questa ricerca è +/- 4,5%. La maggioranza delle organizzazioni (90%) che ha partecipato ai benchmark ha sede negli Stati Uniti. Il restante 10% riguarda fra gli altri Paesi: Australia, Canada, Francia, Germania, Irlanda, Giappone, Spagna e Regno Unito.