Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Sicurezza IT e gestione dei rischi: 3 motivi per cui il partner sfugge ai controlli

pittogramma Zerouno

Attualità

Sicurezza IT e gestione dei rischi: 3 motivi per cui il partner sfugge ai controlli

12 Set 2017

di Valentina Bucci

Secondo una ricerca di di Ponemon Institute spesso, in ambito sicurezza IT, le aziende non hanno consapevolezza e governance dei rischi che stanno correndo a causa dei partner con cui condividono i propri dati sensibili. Quali sono le ragioni per cui questo accade?

La ricerca “Data Risk in the Third-Party Ecosystem” di Ponemon Institute (pubblicazione: Aprile 2016) sponsorizzata da BuckleySandler e Treliant Risk Advisors mette in luce la difficoltà che hanno le aziende nel controllare il modo in cui le imprese con cui collaborano, e che hanno accesso ai loro dati sensibili, gestiscono e proteggono questi stessi dati: le prime infatti spesso non sanno esattamente che rischi stanno correndo a causa dei partner, se questi hanno subìto incidenti o meno, se il loro approccio alla sicurezza IT è davvero adeguato (per un approfondimento su questi aspetti si veda l’articolo “Sicurezza IT: perché i rischi arrivano dal partner”).

Un fatto rilevante e che mette in allarme, soprattutto si considera il crescere del fenomeno del cybercrime.

Figura 1 – Ragioni per cui non si riporta regolarmente al board aziendale rispetto ai temi Third party risk – Fonte: Ponemon Institute

Perché questo accade? La ricerca ha coinvolto in Usa 598 persone che hanno familiarità con l’approccio che le aziende a cui appartengono (di vari settori, nel 70% dei casi realtà con più di 1.000 dipendenti) adottano in ambito “Third-party risk”, definizione di rischio relativo a terzi entro cui va fatto ricadere anche quello informatico legato alla condivisione dei dati sensibili. Qui riportiamo alcuni dati che suggeriscono alcune possibili cause dell’impreparazione delle imprese su questi ambiti:

  1. Il consiglio di amministrazione non è coinvolto nei programmi di gestione del Third party risk. Solo il 38% del panel dichiara che il loro consiglio di amministrazione richiede garanzie rispetto al fatto che il Third party risk è stato valutato, gestito e monitorato adeguatamente. A tutti gli altri è stato chiesto quali sono le ragioni per cui non vengono redatti per il board aziendale dei report regolari sul tema; il problema principale – in linea con quanto riportato anche nel punto 2 – sembra essere la non rilevanza per il consiglio di amministrazione del modo in cui avviene la gestione del Third party risk (51% dei rispondenti); in molti casi il board viene coinvolto solo quando avviene un incidente di sicurezza (39% dei rispondenti – figura 1).

    Figura 2 – Third party risk: chi è responsabile? – Fonte: Ponemon Institute
  2. Per 1 azienda su 5 non c’è una chiara responsabilità relativamente al programma di gestione del Third party risks: lo ha dichiarato, come mostra la figura 2, il 21% dei rispondenti. In questi casi è evidente che la mancanza di una figura aziendale di riferimento rappresenti l’origine della disattenzione delle imprese sul tema.

    Figura 3 – Gestione del Third party risk: priorità e risorse economiche – Fonte: Ponemon Institute
  3. La gestione del Third party risks non è una priorità, quindi non ci sono sufficienti risorse economiche per gestirlo. Dicono il contrario – con diversi gradi di convinzione – solo il 43% e il 35% dei rispondenti, per cui rispettivamente è una priorità e ci sono sufficienti risorse (figura 3).  Il problema non è solo una questione di budget, ma anche di risorse umane: come si vede nella figura 4, il 66% dei rispondenti sostiene di non monitorare le pratiche di privacy e sicurezza dei partner per mancanza di risorse interne; interessante anche la seconda percentuale più alta dello stesso grafico: per il 61% degli intervistati il problema è che il partner non consente alle aziende di verificare autonomamente le misure di sicurezza adottate.

    Figura 4 – Ragioni per cui non viene svolta una valutazione delle pratiche di privacy e sicurezza adottate dai partner – Fonte: Ponemon Institute
Valentina Bucci
Giornalista

Giornalista pubblicista, per ZeroUno scrive dei cambiamenti che la digitalizzazione sta imponendo alle imprese sul piano tecnologico, organizzativo, culturale e segue in particolare i temi: Sicurezza Informatica, Smart Working, Collaboration, Big data, Iot. Master in Giornalismo e comunicazione istituzionale della scienza (Università di Ferrara), laurea specialistica in Culture Moderne Comparate (Università di Bergamo).

Argomenti trattati

Approfondimenti

C
Cybercrime
D
Data Privacy
G
Garante Privacy

Articolo 1 di 4