Il Governance of Enterprise Security: CyLab 2012 Report rivela le complessità associate alla gestione dei rischi di privacy e sicurezza. I dati dell’indagine, sponsorizzata da RSA, The Security Division of EMC e condotta da Jody Westby, CyLab Adjunct Distinguished Fellow, dimostrano che a livello manageriale manca spesso la consapevolezza del collegamento tra rischi IT e enterprise risk management. Dopo aver analizzato la situazione, il rapporto ha offerto 12 suggerimenti per migliorare la governance della sicurezza aziendale.
Il report analizza le risposte di top manager di aziende inserite nella lista Forbes Global 2000 e rivela che questi ultimi si stanno occupando molto seriamente di risk management, ma che c’è ancora una mancanza di consapevolezza del collegamento tra questo e il rischio IT. Questo scollamento indica una mancanza di comprensione di come tutte le attività siano supportate da sistemi di elaborazione e dati digitali e di come i rischi in queste aree possono influire sul business. Meno di due terzi degli intervistati dispone di personale a tempo pieno che si occupi di privacy e sicurezza (CISO/CSO, CPO, CRO) in maniera coerente con best practice e standard internazionali.
Oltre la metà degli intervistati, il 57%, non analizza l’adeguatezza della copertura assicurativa o non svolge attività relative al cyber-risk management per gestire rischi finanziari e di reputazione associati al furto di dati confidenziali o proprietari e a breach di sicurezza. Nonostante l’Europa sia all’avanguardia in materia di normative sulla privacy e loro applicazione, solo il 3% degli intervistati indica che l’organizzazione di cui fanno parte dispone di un CPO (Chief Privacy Officer).
Un segnale positivo del sondaggio è dato dall’importanza che i consigli di amministrazione pongono su esperienza in IT e sicurezza in fase di assunzione. Gli intervistati indicano che l’expertise è molto importante o importante per il 37% di loro, o abbastanza importante per il 42%. L’expertise su rischi e sicurezza è ancora più incoraggiante con un 64% degli intervistati che la indica come molto importante o importante e un 24% abbastanza importante.
Miglioramenti si riscontrano anche a livello organizzativo con un maggior numero di organizzazioni che dispone di Board Risk Committee, team cross-organizzativi che gestiscono rischi legati alla privacy e alla sicurezza. Solo l’8% degli intervistati nel 2008 disponeva di Risk Committee, mentre il 48% dei partecipanti al sondaggio 2012 ha confermato di averlo. Allo stesso modo solo il 17% degli intervistati del 2008 aveva team cross-iorganizzativi, oggi il 72% dichiara di averlo.