Sicurezza IT e gestione dei rischi: 3 motivi per cui il partner sfugge ai controlli

Secondo una ricerca di di Ponemon Institute spesso, in ambito sicurezza IT, le aziende non hanno consapevolezza e governance dei rischi che stanno correndo a causa dei partner con cui condividono i propri dati sensibili. Quali sono le ragioni per cui questo accade?

Pubblicato il 12 Set 2017

Pianeta-Orbita

La ricerca “Data Risk in the Third-Party Ecosystem” di Ponemon Institute (pubblicazione: Aprile 2016) sponsorizzata da BuckleySandler e Treliant Risk Advisors mette in luce la difficoltà che hanno le aziende nel controllare il modo in cui le imprese con cui collaborano, e che hanno accesso ai loro dati sensibili, gestiscono e proteggono questi stessi dati: le prime infatti spesso non sanno esattamente che rischi stanno correndo a causa dei partner, se questi hanno subìto incidenti o meno, se il loro approccio alla sicurezza IT è davvero adeguato (per un approfondimento su questi aspetti si veda l’articolo “Sicurezza IT: perché i rischi arrivano dal partner”).

Un fatto rilevante e che mette in allarme, soprattutto si considera il crescere del fenomeno del cybercrime.

Figura 1 – Ragioni per cui non si riporta regolarmente al board aziendale rispetto ai temi Third party risk – Fonte: Ponemon Institute

Perché questo accade? La ricerca ha coinvolto in Usa 598 persone che hanno familiarità con l’approccio che le aziende a cui appartengono (di vari settori, nel 70% dei casi realtà con più di 1.000 dipendenti) adottano in ambito “Third-party risk”, definizione di rischio relativo a terzi entro cui va fatto ricadere anche quello informatico legato alla condivisione dei dati sensibili. Qui riportiamo alcuni dati che suggeriscono alcune possibili cause dell’impreparazione delle imprese su questi ambiti:

  1. Il consiglio di amministrazione non è coinvolto nei programmi di gestione del Third party risk. Solo il 38% del panel dichiara che il loro consiglio di amministrazione richiede garanzie rispetto al fatto che il Third party risk è stato valutato, gestito e monitorato adeguatamente. A tutti gli altri è stato chiesto quali sono le ragioni per cui non vengono redatti per il board aziendale dei report regolari sul tema; il problema principale – in linea con quanto riportato anche nel punto 2 – sembra essere la non rilevanza per il consiglio di amministrazione del modo in cui avviene la gestione del Third party risk (51% dei rispondenti); in molti casi il board viene coinvolto solo quando avviene un incidente di sicurezza (39% dei rispondenti – figura 1).
    Figura 2 – Third party risk: chi è responsabile? – Fonte: Ponemon Institute
  2. Per 1 azienda su 5 non c’è una chiara responsabilità relativamente al programma di gestione del Third party risks: lo ha dichiarato, come mostra la figura 2, il 21% dei rispondenti. In questi casi è evidente che la mancanza di una figura aziendale di riferimento rappresenti l’origine della disattenzione delle imprese sul tema.
    Figura 3 – Gestione del Third party risk: priorità e risorse economiche – Fonte: Ponemon Institute
  3. La gestione del Third party risks non è una priorità, quindi non ci sono sufficienti risorse economiche per gestirlo. Dicono il contrario – con diversi gradi di convinzione – solo il 43% e il 35% dei rispondenti, per cui rispettivamente è una priorità e ci sono sufficienti risorse (figura 3).  Il problema non è solo una questione di budget, ma anche di risorse umane: come si vede nella figura 4, il 66% dei rispondenti sostiene di non monitorare le pratiche di privacy e sicurezza dei partner per mancanza di risorse interne; interessante anche la seconda percentuale più alta dello stesso grafico: per il 61% degli intervistati il problema è che il partner non consente alle aziende di verificare autonomamente le misure di sicurezza adottate.
    Figura 4 – Ragioni per cui non viene svolta una valutazione delle pratiche di privacy e sicurezza adottate dai partner – Fonte: Ponemon Institute

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4