Sicurezza IT e gestione dei rischi: 3 motivi per cui il partner sfugge ai controlli

pittogramma Zerouno

Sicurezza IT e gestione dei rischi: 3 motivi per cui il partner sfugge ai controlli

Secondo una ricerca di di Ponemon Institute spesso, in ambito sicurezza IT, le aziende non hanno consapevolezza e governance dei rischi che stanno correndo a causa dei partner con cui condividono i propri dati sensibili. Quali sono le ragioni per cui questo accade?

Pubblicato il 12 Set 2017

di Valentina Bucci

La ricerca “Data Risk in the Third-Party Ecosystem” di Ponemon Institute (pubblicazione: Aprile 2016) sponsorizzata da BuckleySandler e Treliant Risk Advisors mette in luce la difficoltà che hanno le aziende nel controllare il modo in cui le imprese con cui collaborano, e che hanno accesso ai loro dati sensibili, gestiscono e proteggono questi stessi dati: le prime infatti spesso non sanno esattamente che rischi stanno correndo a causa dei partner, se questi hanno subìto incidenti o meno, se il loro approccio alla sicurezza IT è davvero adeguato (per un approfondimento su questi aspetti si veda l’articolo “Sicurezza IT: perché i rischi arrivano dal partner”).

Un fatto rilevante e che mette in allarme, soprattutto si considera il crescere del fenomeno del cybercrime.

Figura 1 – Ragioni per cui non si riporta regolarmente al board aziendale rispetto ai temi Third party risk – Fonte: Ponemon Institute

Perché questo accade? La ricerca ha coinvolto in Usa 598 persone che hanno familiarità con l’approccio che le aziende a cui appartengono (di vari settori, nel 70% dei casi realtà con più di 1.000 dipendenti) adottano in ambito “Third-party risk”, definizione di rischio relativo a terzi entro cui va fatto ricadere anche quello informatico legato alla condivisione dei dati sensibili. Qui riportiamo alcuni dati che suggeriscono alcune possibili cause dell’impreparazione delle imprese su questi ambiti:

  1. Il consiglio di amministrazione non è coinvolto nei programmi di gestione del Third party risk. Solo il 38% del panel dichiara che il loro consiglio di amministrazione richiede garanzie rispetto al fatto che il Third party risk è stato valutato, gestito e monitorato adeguatamente. A tutti gli altri è stato chiesto quali sono le ragioni per cui non vengono redatti per il board aziendale dei report regolari sul tema; il problema principale – in linea con quanto riportato anche nel punto 2 – sembra essere la non rilevanza per il consiglio di amministrazione del modo in cui avviene la gestione del Third party risk (51% dei rispondenti); in molti casi il board viene coinvolto solo quando avviene un incidente di sicurezza (39% dei rispondenti – figura 1).
    Figura 2 – Third party risk: chi è responsabile? – Fonte: Ponemon Institute
  2. Per 1 azienda su 5 non c’è una chiara responsabilità relativamente al programma di gestione del Third party risks: lo ha dichiarato, come mostra la figura 2, il 21% dei rispondenti. In questi casi è evidente che la mancanza di una figura aziendale di riferimento rappresenti l’origine della disattenzione delle imprese sul tema.
    Figura 3 – Gestione del Third party risk: priorità e risorse economiche – Fonte: Ponemon Institute
  3. La gestione del Third party risks non è una priorità, quindi non ci sono sufficienti risorse economiche per gestirlo. Dicono il contrario – con diversi gradi di convinzione – solo il 43% e il 35% dei rispondenti, per cui rispettivamente è una priorità e ci sono sufficienti risorse (figura 3).  Il problema non è solo una questione di budget, ma anche di risorse umane: come si vede nella figura 4, il 66% dei rispondenti sostiene di non monitorare le pratiche di privacy e sicurezza dei partner per mancanza di risorse interne; interessante anche la seconda percentuale più alta dello stesso grafico: per il 61% degli intervistati il problema è che il partner non consente alle aziende di verificare autonomamente le misure di sicurezza adottate.
    Figura 4 – Ragioni per cui non viene svolta una valutazione delle pratiche di privacy e sicurezza adottate dai partner – Fonte: Ponemon Institute

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Valentina Bucci

Giornalista pubblicista, per ZeroUno scrive dei cambiamenti che la digitalizzazione sta imponendo alle imprese sul piano tecnologico, organizzativo, culturale e segue in particolare i temi: Sicurezza Informatica, Smart Working, Collaboration, Big data, Iot. Master in Giornalismo e comunicazione istituzionale della scienza (Università di Ferrara), laurea specialistica in Culture Moderne Comparate (Università di Bergamo).

Argomenti trattati

Approfondimenti

D
Data Privacy
D
Data Protection

Articolo 1 di 4