La ricerca “Data Risk in the Third-Party Ecosystem” di Ponemon Institute (pubblicazione: Aprile 2016) sponsorizzata da BuckleySandler e Treliant Risk Advisors mette in luce la difficoltà che hanno le aziende nel controllare il modo in cui le imprese con cui collaborano, e che hanno accesso ai loro dati sensibili, gestiscono e proteggono questi stessi dati: le prime infatti spesso non sanno esattamente che rischi stanno correndo a causa dei partner, se questi hanno subìto incidenti o meno, se il loro approccio alla sicurezza IT è davvero adeguato (per un approfondimento su questi aspetti si veda l’articolo “Sicurezza IT: perché i rischi arrivano dal partner”).
Un fatto rilevante e che mette in allarme, soprattutto si considera il crescere del fenomeno del cybercrime.
Perché questo accade? La ricerca ha coinvolto in Usa 598 persone che hanno familiarità con l’approccio che le aziende a cui appartengono (di vari settori, nel 70% dei casi realtà con più di 1.000 dipendenti) adottano in ambito “Third-party risk”, definizione di rischio relativo a terzi entro cui va fatto ricadere anche quello informatico legato alla condivisione dei dati sensibili. Qui riportiamo alcuni dati che suggeriscono alcune possibili cause dell’impreparazione delle imprese su questi ambiti:
- Il consiglio di amministrazione non è coinvolto nei programmi di gestione del Third party risk. Solo il 38% del panel dichiara che il loro consiglio di amministrazione richiede garanzie rispetto al fatto che il Third party risk è stato valutato, gestito e monitorato adeguatamente. A tutti gli altri è stato chiesto quali sono le ragioni per cui non vengono redatti per il board aziendale dei report regolari sul tema; il problema principale – in linea con quanto riportato anche nel punto 2 – sembra essere la non rilevanza per il consiglio di amministrazione del modo in cui avviene la gestione del Third party risk (51% dei rispondenti); in molti casi il board viene coinvolto solo quando avviene un incidente di sicurezza (39% dei rispondenti – figura 1).
Figura 2 – Third party risk: chi è responsabile? – Fonte: Ponemon Institute - Per 1 azienda su 5 non c’è una chiara responsabilità relativamente al programma di gestione del Third party risks: lo ha dichiarato, come mostra la figura 2, il 21% dei rispondenti. In questi casi è evidente che la mancanza di una figura aziendale di riferimento rappresenti l’origine della disattenzione delle imprese sul tema.
Figura 3 – Gestione del Third party risk: priorità e risorse economiche – Fonte: Ponemon Institute - La gestione del Third party risks non è una priorità, quindi non ci sono sufficienti risorse economiche per gestirlo. Dicono il contrario – con diversi gradi di convinzione – solo il 43% e il 35% dei rispondenti, per cui rispettivamente è una priorità e ci sono sufficienti risorse (figura 3). Il problema non è solo una questione di budget, ma anche di risorse umane: come si vede nella figura 4, il 66% dei rispondenti sostiene di non monitorare le pratiche di privacy e sicurezza dei partner per mancanza di risorse interne; interessante anche la seconda percentuale più alta dello stesso grafico: per il 61% degli intervistati il problema è che il partner non consente alle aziende di verificare autonomamente le misure di sicurezza adottate.
Figura 4 – Ragioni per cui non viene svolta una valutazione delle pratiche di privacy e sicurezza adottate dai partner – Fonte: Ponemon Institute
