Un nuovo studio illustra i passaggi chiave necessari a proteggere i dati sensibili
Una ricerca condotta dall'IT Policy Compliance Group rivela le azioni vincenti nella tutela dei dati sensibili
,
(informazione.it - comunicati stampa - information technology)
L’IT Policy Compliance Group ha annunciato il nuovo report, “Core Competencies for Protecting Sensitive Data”, basato su benchmark. L'analisi, che include il feedback di oltre 450 organizzazioni a livello mondiale, mette in luce come solo un'azienda su dieci sia in grado di proteggere in maniera adeguata i propri dati sensibili. Lo studio analizza inoltre le variabili che creano la differenza fra aziende “Leader” e realtà meno capaci nei confronti della protezione dei dati, definite “Laggard”, offrendo un approfondimento sulle best practice che possono contribuire a migliorare questa disciplina, incrementare i livelli di conformità e consentire un vantaggio competitivo sostenibile.
Uno dei risultati più sorprendenti della ricerca è la correlazione fra protezione dei dati sensibili e livelli di conformità normativa: le aziende che sanno ben tutelare le informazioni sensibili prestano molta attenzione anche al rispetto delle norme vigenti. Quasi tutte le organizzazioni (96%) che presentano livelli minimi di perdite di dati sensibili sono esattamente le stesse che devono apportare il minor numero di correzioni ai meccanismi di conformità necessari per superare le verifiche normative. Al contrario, la maggioranza di aziende (64%) con un elevato tasso di perdite di dati sensibili sono le stesse che denunciano mancanze rilevanti sul fronte della conformità.
Le competenze chiave identificate nel presente studio rientrano in tre categorie: struttura e strategia organizzativa, customer intimacy ed eccellenza operativa. Prendendo in esame le aziende Leader, ovvero quelle che presentano la minore quantità di perdite di dati sensibili, rispetto alle realtà più indolenti - i cosiddetti Laggard - che di conseguenza hanno tassi di perdita dati più significativi, è possibile comprendere quanto sia importante definire un numero limitato di policy o di obiettivi di controllo effettuando per contro un numero superiore di valutazioni e facendo leva sulla gestione del cambiamento IT per prevenire l'uso o le modifiche non autorizzate.
Lo studio indica, inoltre, che la qualità dei controlli non è importante quanto invece può esserlo la loro idoneità rispetto a rischi specifici e la frequenza con la quale questi controlli vengono effettuati. Le aziende che non si avvalgono di controlli adeguati al rischio e che non ne valutano l'efficacia da un punto di vista procedurale e tecnico con una certa frequenza sono più soggette a episodi di furto o perdita di dati. Le realtà aziendali che addirittura non attuano alcun controllo o valutazione sono quelle che subiscono i maggiori tassi di perdita e furto di informazioni.
“Proteggere i dati di clienti e dipendenti e la proprietà intellettuale non è mai stato tanto importante quanto oggi, considerato il rapido aumento dei requisiti di conformità e del rischio legato alla reputazione”, ha commentato Rocco Grillo, Managing Director Technology Risk Practice di Protiviti Inc. “Eppure continuano a verificarsi casi di falle nei dati e di furti di identità. Nonostante i controlli non possano garantire la protezione al 100%, le aziende devono comunque applicare il giusto livello di diligenza in termini di sicurezza delle informazioni e gestione del rischio. Programmi affidabili volti a mantenere e tutelare in maniera efficace la sicurezza proteggendo le informazioni hanno dato riscontri molto positivi, riuscendo a salvaguardare i dati di valore da perdite o furti. Sono passati i tempi in cui il management poteva attendere passivamente un episodio di crisi per muoversi reattivamente di fronte all'accaduto. Oggi bisogna agire in maniera proattiva e preventiva”.
Le best practice dei Leader nella protezione dati
Le organizzazioni con minori perdite di dati sono quelle che vantano i migliori risultati nell'ambito della conformità normativa. Queste aziende dispongono di un ventaglio di competenze in grado non solo di minimizzare la perdita di dati e migliorare il livello di conformità, ma di ridurre al minimo anche l'impatto finanziario causato dalle falle nei dati (vedere precedente report “Why Compliance Pays Reputations and Revenues at Risk”), supportando un vantaggio competitivo sostenibile. Le competenze chiave includono:
Struttura e strategia organizzativa
Attuare un programma di conformità world-class
Documentare e gestire policy, standard e procedure
Ridefinire i controlli interni, le funzioni di gestione del rischio e della sicurezza IT per fare leva sulla customer intimacy e sull'eccellenza operativa
Customer intimacy
Definire i ruoli e le responsabilità degli addetti alle policy
Identificare e gestire i rischi finanziari e di business
Attuare un programma di formazione per i dipendenti e gestire i casi di eccezione alle policy
Eccellenza operativa
Ampliare il raggio della verifica interna alla maggior parte delle funzioni business
Rendere gli obiettivi di controllo sensibili al rischio
Ridurre il numero degli obiettivi di controllo
Implementare controlli che vengono misurati
Condurre auto-valutazioni di controlli procedurali
Aumentare la frequenza delle valutazioni dei controlli tecnici
Implementare un programma completo di gestione del cambiamento IT
Utilizzare la gestione del cambiamento IT per prevenire utilizzi o modifiche non autorizzati
La ricerca
Gli argomenti oggetto di studio da parte dell'IT Policy Compliance Group rientrano in un calendario di tematiche di ricerca proposte dai membri sponsor e dai soci generali, oltre che a seguito dei risultati ottenuti da report recenti. I benchmark più aggiornati, che costituiscono la base del presente studio, sono stati condotti con 454 organizzazioni fra i mesi di febbraio e marzo 2007. Il margine di errore di questa ricerca è +/- 4,5%. La maggioranza delle organizzazioni (90%) che ha partecipato ai benchmark ha sede negli Stati Uniti. Il restante 10% riguarda fra gli altri Paesi: Australia, Canada, Francia, Germania, Irlanda, Giappone, Spagna e Regno Unito.
Adesioni all'IT Policy Compliance Group
L'IT Policy Compliance Group ha annunciato inoltre un nuovo livello di partecipazione: l'Advisory Membership. Questa nuova categoria è stata creata per formalizzare le indicazioni e le direttive per future ricerche del Gruppo, per accedere a un blog di prossima formazione e per gestire la preparazione, l'orientamento e la partecipazione di gruppi di lavoro. Il livello di partecipazione generale al gruppo è stato rinominato Associate Membership.
Per maggiori informazioni e per scaricare il report aggiornato intitolato “Core competencies for protecting sensitive data” è possibile visitare l'indirizzo www.ITPolicyCompliance.com.
IT Policy Compliance Group
L'IT Policy Compliance Group si impegna per far progredire il grado di conformità IT delle aziende. I suoi componenti provengono da diverse realtà leader nei rispettivi settori come: Computer Security Institute, The Institute of Internal Auditors, Protiviti, ISACA, IT Governance Institute e Symantec Corporation (NASDAQ: SYMC). Il gruppo conduce indagini comparative basate su fatti concreti al fine di determinare le best practice che permettono di migliorare la conformità IT delle aziende. Per ulteriori informazioni www.ITPolicyCompliance.com.
A proposito di Symantec
Symantec è il leader globale nella creazione di soluzioni studiate per la sicurezza, la disponibilità e l’integrità delle informazioni di consumatori e imprese. L’azienda aiuta i propri clienti a proteggere le loro infrastrutture, informazioni e relazioni fornendo software e servizi per fronteggiare i rischi connessi alla sicurezza, accesso, compliance a prestazioni. Con sede a Cupertino, in California, Symantec è presente in oltre 40 paesi. Per ulteriori informazioni, consultare il sito web all’indirizzo www.symantec.com o www.symantec.it
NOTE PER GLI EDITORI: Per maggiori informazioni riguardo Symantec Corporation e i suoi prodotti è possibile visitare la Symantec News Room all'indirizzo http://www.symantec.com/news.
Symantec e il logo Symantec sono marchi o marchi registrati di Symantec Corporation o di sue consociate negli Stati Uniti e in altri Paesi. Gli altri nomi citati possono essere marchi appartenenti ai rispettivi proprietari.
PER ULTERIORI INFORMAZIONI CONTATTARE
Emanuela Lombardo
Symantec Italia
02/241151 [email protected]
Costanza Bajlo – Francesco Petrella – Nadia Lauria
Pleon srl
[email protected], [email protected], [email protected]
Uno dei risultati più sorprendenti della ricerca è la correlazione fra protezione dei dati sensibili e livelli di conformità normativa: le aziende che sanno ben tutelare le informazioni sensibili prestano molta attenzione anche al rispetto delle norme vigenti. Quasi tutte le organizzazioni (96%) che presentano livelli minimi di perdite di dati sensibili sono esattamente le stesse che devono apportare il minor numero di correzioni ai meccanismi di conformità necessari per superare le verifiche normative. Al contrario, la maggioranza di aziende (64%) con un elevato tasso di perdite di dati sensibili sono le stesse che denunciano mancanze rilevanti sul fronte della conformità.
Le competenze chiave identificate nel presente studio rientrano in tre categorie: struttura e strategia organizzativa, customer intimacy ed eccellenza operativa. Prendendo in esame le aziende Leader, ovvero quelle che presentano la minore quantità di perdite di dati sensibili, rispetto alle realtà più indolenti - i cosiddetti Laggard - che di conseguenza hanno tassi di perdita dati più significativi, è possibile comprendere quanto sia importante definire un numero limitato di policy o di obiettivi di controllo effettuando per contro un numero superiore di valutazioni e facendo leva sulla gestione del cambiamento IT per prevenire l'uso o le modifiche non autorizzate.
- I Leader definiscono una media di 30 obiettivi di controllo e conducono valutazioni una volta ogni 19 giorni. Queste aziende subiscono su base annua un massimo di due episodi o meno di perdita di dati e di due casi o meno di carenza normativa.
- I Laggard definiscono una media di 82 obiettivi di controllo e conducono valutazioni ogni 230 giorni. Questa fascia di aziende sperimenta su base annua 13 o più episodi di perdita di dati e 22 o più situazioni di carenza normativa.
Lo studio indica, inoltre, che la qualità dei controlli non è importante quanto invece può esserlo la loro idoneità rispetto a rischi specifici e la frequenza con la quale questi controlli vengono effettuati. Le aziende che non si avvalgono di controlli adeguati al rischio e che non ne valutano l'efficacia da un punto di vista procedurale e tecnico con una certa frequenza sono più soggette a episodi di furto o perdita di dati. Le realtà aziendali che addirittura non attuano alcun controllo o valutazione sono quelle che subiscono i maggiori tassi di perdita e furto di informazioni.
“Proteggere i dati di clienti e dipendenti e la proprietà intellettuale non è mai stato tanto importante quanto oggi, considerato il rapido aumento dei requisiti di conformità e del rischio legato alla reputazione”, ha commentato Rocco Grillo, Managing Director Technology Risk Practice di Protiviti Inc. “Eppure continuano a verificarsi casi di falle nei dati e di furti di identità. Nonostante i controlli non possano garantire la protezione al 100%, le aziende devono comunque applicare il giusto livello di diligenza in termini di sicurezza delle informazioni e gestione del rischio. Programmi affidabili volti a mantenere e tutelare in maniera efficace la sicurezza proteggendo le informazioni hanno dato riscontri molto positivi, riuscendo a salvaguardare i dati di valore da perdite o furti. Sono passati i tempi in cui il management poteva attendere passivamente un episodio di crisi per muoversi reattivamente di fronte all'accaduto. Oggi bisogna agire in maniera proattiva e preventiva”.
Le best practice dei Leader nella protezione dati
Le organizzazioni con minori perdite di dati sono quelle che vantano i migliori risultati nell'ambito della conformità normativa. Queste aziende dispongono di un ventaglio di competenze in grado non solo di minimizzare la perdita di dati e migliorare il livello di conformità, ma di ridurre al minimo anche l'impatto finanziario causato dalle falle nei dati (vedere precedente report “Why Compliance Pays Reputations and Revenues at Risk”), supportando un vantaggio competitivo sostenibile. Le competenze chiave includono:
Struttura e strategia organizzativa
Attuare un programma di conformità world-class
Documentare e gestire policy, standard e procedure
Ridefinire i controlli interni, le funzioni di gestione del rischio e della sicurezza IT per fare leva sulla customer intimacy e sull'eccellenza operativa
Customer intimacy
Definire i ruoli e le responsabilità degli addetti alle policy
Identificare e gestire i rischi finanziari e di business
Attuare un programma di formazione per i dipendenti e gestire i casi di eccezione alle policy
Eccellenza operativa
Ampliare il raggio della verifica interna alla maggior parte delle funzioni business
Rendere gli obiettivi di controllo sensibili al rischio
Ridurre il numero degli obiettivi di controllo
Implementare controlli che vengono misurati
Condurre auto-valutazioni di controlli procedurali
Aumentare la frequenza delle valutazioni dei controlli tecnici
Implementare un programma completo di gestione del cambiamento IT
Utilizzare la gestione del cambiamento IT per prevenire utilizzi o modifiche non autorizzati
La ricerca
Gli argomenti oggetto di studio da parte dell'IT Policy Compliance Group rientrano in un calendario di tematiche di ricerca proposte dai membri sponsor e dai soci generali, oltre che a seguito dei risultati ottenuti da report recenti. I benchmark più aggiornati, che costituiscono la base del presente studio, sono stati condotti con 454 organizzazioni fra i mesi di febbraio e marzo 2007. Il margine di errore di questa ricerca è +/- 4,5%. La maggioranza delle organizzazioni (90%) che ha partecipato ai benchmark ha sede negli Stati Uniti. Il restante 10% riguarda fra gli altri Paesi: Australia, Canada, Francia, Germania, Irlanda, Giappone, Spagna e Regno Unito.
Adesioni all'IT Policy Compliance Group
L'IT Policy Compliance Group ha annunciato inoltre un nuovo livello di partecipazione: l'Advisory Membership. Questa nuova categoria è stata creata per formalizzare le indicazioni e le direttive per future ricerche del Gruppo, per accedere a un blog di prossima formazione e per gestire la preparazione, l'orientamento e la partecipazione di gruppi di lavoro. Il livello di partecipazione generale al gruppo è stato rinominato Associate Membership.
Per maggiori informazioni e per scaricare il report aggiornato intitolato “Core competencies for protecting sensitive data” è possibile visitare l'indirizzo www.ITPolicyCompliance.com.
IT Policy Compliance Group
L'IT Policy Compliance Group si impegna per far progredire il grado di conformità IT delle aziende. I suoi componenti provengono da diverse realtà leader nei rispettivi settori come: Computer Security Institute, The Institute of Internal Auditors, Protiviti, ISACA, IT Governance Institute e Symantec Corporation (NASDAQ: SYMC). Il gruppo conduce indagini comparative basate su fatti concreti al fine di determinare le best practice che permettono di migliorare la conformità IT delle aziende. Per ulteriori informazioni www.ITPolicyCompliance.com.
A proposito di Symantec
Symantec è il leader globale nella creazione di soluzioni studiate per la sicurezza, la disponibilità e l’integrità delle informazioni di consumatori e imprese. L’azienda aiuta i propri clienti a proteggere le loro infrastrutture, informazioni e relazioni fornendo software e servizi per fronteggiare i rischi connessi alla sicurezza, accesso, compliance a prestazioni. Con sede a Cupertino, in California, Symantec è presente in oltre 40 paesi. Per ulteriori informazioni, consultare il sito web all’indirizzo www.symantec.com o www.symantec.it
NOTE PER GLI EDITORI: Per maggiori informazioni riguardo Symantec Corporation e i suoi prodotti è possibile visitare la Symantec News Room all'indirizzo http://www.symantec.com/news.
Symantec e il logo Symantec sono marchi o marchi registrati di Symantec Corporation o di sue consociate negli Stati Uniti e in altri Paesi. Gli altri nomi citati possono essere marchi appartenenti ai rispettivi proprietari.
PER ULTERIORI INFORMAZIONI CONTATTARE
Emanuela Lombardo
Symantec Italia
02/241151 [email protected]
Costanza Bajlo – Francesco Petrella – Nadia Lauria
Pleon srl
02/205621
[email protected], [email protected], [email protected]
Per maggiori informazioni
Sito Web
http://www.symantec.it
Ufficio Stampa
