La ricerca rivela variazioni geografiche e per industria nel modo in cui il top management comprende e gestisce i rischi IT
RSA, The Security Division of EMC, insieme a Carnegie Mellon CyLab presentano il nuovo 2012 Governance Report, la prima analisi globale sulle modalità con cui il top management gestisce i cyber-rischi suddiviso per regione geografica e settore industriale
Il rapporto rivela le complessità associate alla gestione dei rischi di privacy e sicurezza, con dati che mostrano come a livello di management spesso manchi la consapevolezza del collegamento tra rischi IT e enterprise risk management
Il rapporto offre 12 suggerimenti per migliorare la governance della sicurezza aziendale
I risultati confermano il punto di vista degli esperti di sicurezza e cioè che, in linea di massima, il settore finanziario applica le best practice della sicurezza meglio di aziende che operano nei settori energia/utility, IT/telecom e industria. Nessun segmento, tuttavia, sta svolgendo attività di governance critiche quali la revisione della copertura assicurativa,l'assegnazione di responsabilità di privacy e sicurezza e la raccolta regolare di rapporti su rischi e incidenti
I risultati indicano che i consigli di amministrazione negli Stati Uniti siano in ritardo rispetto a quelli europeo e asiatico nell'adozione di attività associate a best practice per la governance di privacy e sicurezza
Milano, 17 maggio 2012 — Il Governance of Enterprise Security: CyLab 2012 Report di Carnegie Mellon è il primo sondaggio - suddiviso per regione geografica e settore industriale - a esaminare il modo in cui executive e consigli di amministrazione gestiscono i cyber-rischi. Sponsorizzato da RSA, The Security Division of EMC, questo è il terzo rapporto condotto da Jody Westby, CyLab Adjunct Distinguished Fellow. Il report analizza le risposte di top manager di aziende inserite nella lista Forbes Global 2000 e rivela che questi ultimi si stanno occupando molto seriamente di risk management, ma che c'è ancora una mancanza di consapevolezza del collegamento tra questo e il rischio IT. Questo scollamento indica una mancanza di comprensione di come tutte le attività siano supportate da sistemi di elaborazione e dati digitali e di come i rischi in queste aree possono influire sul business. Meno di due terzi degli intervistati dispone di personale a tempo pieno che si occupi di privacy e sicurezza (CISO/CSO, CPO, CRO) in maniera coerente con best practice e standard internazionali.
I risultati del sondaggio confermano il punto di vista degli esperti che, in generale, il settore finanziario ha adottato migliori practice di sicurezza e governance rispetto ad altri mercati. Mostra infatti il più elevato livello di attenzione da parte degli executive verso elementi critici relativi al cyber risk management, mentre altri settori quali energia, utility e industria non si occupano di vendor management, sicurezza IT e operation. Gli intervistati del settore energia e utility si posizionano tra gli ultimi anche nello stabilire la giusta segregazione di compiti tra Risk Committee e Audit Committee.
Oltre la metà degli intervistati, il 57%, non analizza l'adeguatezza della copertura assicurativa o non svolge attività relative al cyber-risk management per gestire rischi finanziari e di reputazione associati al furto di dati confidenziali o proprietari e a breach di sicurezza.
Nonostante l'Europa sia all'avanguardia in materia di normative sulla privacy e loro applicazione, solo il 3% degli intervistati indica che l'organizzazione di cui fanno parte dispone di un CPO (Chief Privacy Officer).
Segni di miglioramento
Un segnale positivo del sondaggio è dato dall'importanza che i consigli di amministrazione pongono su esperienza in IT e sicurezza in fase di assunzione. Gli intervistati indicano che l'expertise è molto importante o importante per il 37% di loro, o abbastanza importante per il 42%. L'expertise su rischi e sicurezza è ancora più incoraggiante con un 64% degli intervistati che la indica come molto importante o importante e un 24% abbastanza importante.
Miglioramenti si riscontrano anche a livello organizzativo con un maggior numero di organizzazioni che dispone di Board Risk Committee, team cross-organizzativi che gestiscono rischi legati alla privacy e alla sicurezza. Solo l'8% degli intervistati nel 2008 disponeva di Risk Committee, mentre il 48% dei partecipanti al sondaggio 2012 ha confermato di averlo. Allo stesso modo solo il 17% degli intervistati del 2008 aveva team cross-iorganizzativi, oggi il 72% dichiara di averlo.
I risultati dimostrano che governance ed enterprise security sono ancora assenti in molte organizzazioni e il rapporto indica 12 suggerimenti per migliorare la sicurezza e ridurre i rischi.
"Nell'attuale mondo basato su tecnologia non è possibile separare i rischi digitali da quelli tradizionali, ma la gestione degli stessi è una sfida nuova per molti. La crescente criticità delle risorse digitali e i più complessi scenari di minacce fanno sì che gli executive debbano diventare più abili a integrare le funzioni di sicurezza con le attività aziendali e le policy legate al rischio per garantire un ambiente IT sicuro. E non possono farlo senza conoscere meglio la situazione e incrementare il loro convolgimento nel cyber risk management", dichiara Tom Heiser, Presidente RSA.
"I cyber criminali sono sofisticati, entrano nei sistemi aziendali e sottraggono dati confidenziali e proprietari. E' fondamentale che gli executive prendano le adeguate misure per proteggere i sistemi e le informazioni aziendali. Questo prevede lo svolgimento di alcune attività di controllo, la disponibilità di competenze sulla gestione dei rischi, l'assunzione di membri del board con esperienza di governance e cyber risk, e la revisione della copertura assicurativa legata a questi eventi. Le aziende che non adottano queste misure mettono il loro business a rischio e potrebbero non rispettare il loro impegno a proteggere gli asset aziendali, compresi quelli digitali", conclude Jody Wesby, CEO Global Risk e Adjunct Disntiguished Fellow in Carnegie Mellon CyLab.
***
Informazioni su RSA
RSA, la Divisione di Sicurezza di EMC, è fornitore leader in soluzioni di sicurezza, risk e compliance management che favoriscono il business e aiutano le più importanti organizzazioni a livello mondiale ad affrontare e risolvere le problematiche di sicurezza più critiche e complesse. Queste sfide comprendono la gestione del rischio organizzativo, la salvaguardia di accesso e collaborazione mobili, la dimostrazione di conformità e la protezione di ambienti virtuali e cloud.
RSA offre soluzioni leader nel campo dell'identificazione sicura degli utenti e del controllo degli accessi, della data loss prevention, della crittografia e della gestione delle chiavi, della compliance e della gestione delle informazioni di sicurezza e della protezione dalle frodi con avanzate funzionalità eGRC e validi servizi di consulenza. Queste soluzioni garantiscono l'affidabilità di milioni di identità utenti, delle relative transazioni e dei dati che generano. Per maggiori informazioni: www.RSA.com e www.EMC.com
RSA is a registered trademarks or trademarks of RSA Security, Inc. in the U.S. and/or other countries. FraudAction is a registered service mark of RSA Security Inc. in the U.S. and/or other countries. EMC is a registered trademark of EMC Corporation in the U.S. and/or other countries.
Informazioni su EMC
EMC Corporation è leader mondiale nell'aiutare aziende e fornitori di servizi a trasformare il loro modo di operare e fornire l'IT come servizio. Indispensabile in questa trasformazione è il cloud computing. Grazie a prodotti e servizi innovativi EMC accelera il passaggio al cloud computing, supportando i dipartimenti IT nell'archiviazione, nella protezione e nell'analisi della loro risorsa più importante, le informazioni, con maggiore flessibilità, affidabilità e convenienza. Ulteriori informazioni su prodotti e servizi EMC sono disponibili agli indirizzi: www.italy.emc.com e www.emc.com.
Nessun commento:
Posta un commento