GDPR: LO STATO DELL’ARTE FOTOGRAFATO DALLA RICERCA DI NTT SECURITY

GDPR: LO STATO DELL’ARTE FOTOGRAFATO DALLA RICERCA DI NTT SECURITY

L’argomento GDPR è sempre più scottante e non solo perché il termine della sua applicabilità si avvicina (25/05/2018), ma anche a causa delle sanzioni (fino a 20 milioni di euro o il 4% del fatturato annuo) per coloro che non si adegueranno e, per la portata del regolamento (interessa infatti anche le organizzazioni extra UE che trattano i dati personali dei cittadini europei). Oltre a queste informazioni, che già da tempo circolano in rete, è interessante approfondire l’argomento grazie ai dati riassunti dal report di NTT Security. Vediamo, per ciascuna main issue indagata, qual è lo stato dell’arte:

REQUISITI DI CONFORMITÀ

La ricerca rileva che molte aziende non sono ancora a conoscenza di quanti regolamenti emergenti in materia di sicurezza li riguardano. In Europa, appena la metà delle aziende sono consapevoli di essere soggette al GDPR. I rispondenti della Svizzera sono stati i più consapevoli (58%) insieme a quelli di Germania e Austria (53%). Maglia nera della consapevolezza per il Regno Unito (39%). Non va meglio uscendo dall’Europa. Negli Stati Uniti solo un quarto degli intervistati ha ritenuto che il GDPR li riguardi, analogamente, a: Hong Kong (29%), Australia (26%) e Singapore (33%).

ARCHIVIAZIONE SICURA DEI DATI

La gestione e l’immagazzinamento dei dati sono un problema molto importante per il GDPR. Nel 2017, il 47 % delle aziende afferma che tutti i loro dati critici sono conservati in sicurezza (solo un misero +7% rispetto a quanto emerse quindi nel 2015). Ma la domanda vera è: perché questi numeri sono ancora così bassi? “Semplice”: solo i due terzi degli intervistati (67%) sanno dove sono tenuti i loro dati e di quelli che sanno dove sono, meno della metà (45%), crede che le nuove normative influenzeranno il modo in cui avviene la loro archiviazione dei dati.

INVESTIRE IN SICUREZZA

Le aziende non riconoscono la sicurezza dell’informazione nelle loro valutazioni sul rischio. Nel 2015, solo il 18% dei decision makers considerava la scarsa sicurezza dell’informazione come il rischio più grande per il proprio business. Nel 2017 la percentuale è scesa addirittura al 12%. Per i decision makers i rischi più grandi derivano dal perdere quote di mercato, dal ridurre i profitti e dalle risorse “unskilled”. Un motivo per cui le aziende sono poco preoccupate, per il rischio sulla sicurezza delle informazioni, è che si sentono protette dagli investimenti sulla sicurezza che hanno effettuato, ma ovviamente spendere di più sulla cyber security non significa essere realmente più protetti.

VALUTARE IL RISCHIO

Il 57% degli intervistati da NTT Security crede che una violazione dei dati sia inevitabile con conseguenze sia a lungo termine (capacità di fare affari) sia a breve termine (impatto finanziario diretto). Gli effetti più temuti dai rispondenti sono stati “culturali”. Il 55% ha dichiarato infatti che una violazione influenzerebbe la fiducia dei propri clienti, la marca e la reputazione aziendale (51%). Tali effetti sono correlati con l’alto rischio aziendale percepito ovvero, perdere quote di mercato rispetto ai competitor.

POLITICHE DI SICUREZZA DELL’INFORMAZIONE

Dovrebbero essere i vertici aziendali a guidare dall’alto una cultura interna della sicurezza. Come? Creando politiche di sicurezza dell’informazione che indirizzino realmente il personale sulla gestione dei dati sensibili. Se nella pratica questo concetto sembra chiaro al 73% dei vertici aziendali intervistati, nella pratica le cose sono diverse. Le aziende mancano di direzione quando si tratta di sicurezza delle informazioni e solo il 56% delle intervistate, ha individuato in merito una politica formale. Le aziende più illuminate sul tema, son risultate quelle dei settori sanitario (69%) e finanziario (66%), segnando un elevato distacco dalle aziende dei servizi al consumo. Solo il 35% fra di esse, ha dichiarato infatti di avere una politica formale in ambito sicurezza dati.

COMUNICAZIONE E CONSAPEVOLEZZA

Le politiche di sicurezza dovrebbero aggiornate e riviste ma soprattutto, dovrebbero essere comprese dal personale interessato. Fra le aziende che hanno stilato una politica formale sulla sicurezza, otto su dieci hanno dichiarato di aver comunicato attivamente tale politica a tutti gli interessati in azienda. Questi dati non tengono conto tuttavia della qualità della comunicazione effettuata. La ricerca di NTT Security ha dimostrato infatti, che solo il 39% dei dipendenti è risultato pienamente consapevole della politica formale dell’organizzazione in tema sicurezza dati.

INCIDENT RESPONS

Uno dei problemi più importanti per un’azienda colpita da una violazione della sicurezza è il tempo necessario per rispondere alla violazione. Ciò ha un effetto diretto sulla resilienza del business. Se essa è bassa, si rischia di cessare la propria operatività. I rispondenti si aspettano una media di due mesi per riuscire a rispondere ad una violazione. Cruciale, per i tempi di recupero, è l’esistenza e l’applicazione di un Piano di Risposta degli Incidenti. Purtroppo meno della metà delle aziende intervistate (48%) ne hanno uno e per esse, solo il 47% degli intervistati ne ha compreso pienamente il contenuto.

L’INTERESSE SULLE ASSICURAZIONI CONTRO I CYBER-RISK

L’assicurazione contro i cyber rischi è un modo (per il 40% degli intervistati) di mitigare i rischi di violazione dati a cui si è esposti. I settori più lungimiranti che hanno stipulato una tale assicurazione, sono il settore finanziario (52% degli istituti intervistati) ed il settore biotecnologico/chimico-farmaceutico (51% degli appartenenti). Fra i più in ritardo sul tema, le aziende afferenti al ramo utilities (20%), il governo (25%) e le aziende di servizi per i consumatori (26%).

LAVORARE CON TERZI

Il 6% delle aziende intervistate, ha attualmente assistenza da parte di un provider di servizi di sicurezza dati. Il 38 % degli intervistati ha dichiarato che sta pianificando la dotazione di un supporto esterno, mentre un altro 28% considera tale supporto come eventualità futura. I servizi finanziari si distinguono leader sul tema (1 su 10 aziende intervistate utilizzano infatti fornitori esterni). I settori risultati più interessati ad esternalizzare i servizi per la sicurezza sono stati: imprese e servizi professionali (51%), seguiti da servizi informatici e società tecnologiche (49%). Oltre a ciò, il 43% di coloro che utilizzano o intendono utilizzare un provider esterno vorrebbe aiuto con l’archiviazione dei dati, mentre il 41% cerca assistenza per una gestione più ampia dei dati. Le aziende che dichiarano di aver bisogno di aiuto esterno credono che le proprie capacità interne siano insufficienti. Le aziende che non utilizzano o intendono utilizzare i servizi di terze parti, credono invece l’esatto opposto. Altri fattori ostativi, per tali aziende, riguardano la condivisione dei dati (40%), la sicurezza (28%) ed il costo del servizio esterno (21%).

Avatar of admin