IT Policy Compliance Group ha pubblicato la nuova edizione del report “Taking Action to Protect Sensitive Data”. Secondo i dati contenuti in questo studio, il 20% delle aziende ha subito in un anno 22 perdite di dati sensibili o più. I casi più frequenti riguardano la sottrazione, la perdita o la distruzione di dati relativi a clienti o dipendenti, informazioni finanziarie o aziendali, o dati inerenti la sicurezza IT. I canali maggiormente coinvolti in queste perdite sono, in ordine di rischio: PC, laptop e dispositivi mobili, e-mail, instant messaging, applicazioni e database.
Le aziende coinvolte in casi di furto di dati resi pubblici hanno scoperto a loro spese quanto la mancata protezione delle informazioni possa costare in termini di perdita di denaro e clienti: queste aziende hanno infatti registrato perdite medie nell'ordine dell'8% del fatturato, e altrettanto in termini di perdita di clienti preoccupati per i propri dati personali. Alle perdite di ricavi e clienti occorre aggiungere per ogni record perso o sottratto una spesa media di 100 dollari necessaria a notificare l'accaduto agli interessati e ripristinare i dati.
"Misure preventive, come l'integrazione dei controlli IT, sono indispensabili per consentire alle aziende di proteggere i dati raccolti. Tali misure non devono essere prese in considerazione a posteriori ma in anticipo, in fase di progettazione della ridondanza hardware e software così da garantire che le informazioni siano mantenute al sicuro e supportate lungo tutto il loro ciclo di vita", ha commentato Heriot Prentice, Director of Technology Practices di The Institute of Internal Auditors. "È molto semplice: alla raccolta dei dati deve corrispondere un'adeguata protezione".
I valori di benchmark mostrano che le aziende con le minori perdite di dati identificano le informazioni sensibili per il core business, si impegnano a ridurre gli errori degli utenti, le violazioni delle policy e gli attacchi internet, ed eseguono settimanalmente il monitoraggio di vari controlli e procedure IT. Le persone che gestiscono i dati si riconfermano ancora una volta come la prima linea di difesa nella protezione delle informazioni. Le aziende devono sviluppare e aggiornare policy per la protezione, il trattamento, la conservazione e la distruzione dei dati sensibili che comprendano anche programmi di accountability.
Secondo quanto affermano le aziende che hanno registrato le minori perdite di dati sensibili, esse dedicano parecchio tempo alla verifica di conformità alle policy e ricorrono a più controlli IT per ridurre le perdite di dati sensibili. Le realtà best-in-class monitorano e misurano con cadenza settimanale i controlli e le procedure per la tutela dei dati sensibili, mentre gran parte delle aziende esegue questi rilievi solo una volta ogni 176 giorni. Le aziende che perdono meno dati classificano inoltre fra la informazioni sensibili anche la sicurezza IT e i dati legati alle normative regolamentari, assumendo le iniziative necessarie alla loro protezione.
"Non proteggere i dati che garantiscono la sicurezza IT e quelli richiesti dalle normative di legge equivale al caso di una banca che comunica la combinazione della propria cassaforte", ha dichiarato Jim Hurley, Managing Director dell'IT Policy Compliance Group. "Al posto dei titoli e del contante, queste aziende espongono al rischio i dati sensibili e quindi i clienti, il fatturato e il futuro della loro attività".
Il report dell'IT Policy Compliance Group fornisce una serie di raccomandazioni per aiutare le aziende a migliorare la protezione dei dati:
– Dedicare tempo all'identificazione dei dati maggiormente sensibili per il business – Formare il personale e implementare tecnologie per limitare gli errori degli utenti, la violazione delle policy e gli attacchi interni – Monitorare i controlli e le procedure che garantiscono la conformità – Aumentare la frequenza delle verifiche e delle misurazioni
Discussione 0
Ancora nessun commento. Sii il primo a commentare!