Information Risk Management: priorità per gli istituti bancari, ma l’implementazione procede lentamente. Indagine RSA

RSA, The Security Division of EMC (NYSE: EMC), ha reso noti i risultati di un’indagine europea sulla gestione dei rischi legati alle informazioni. L’indagine, condotta da Datamonitor su un campione di istituti bancari in Europa, ha rivelato che le banche sono consapevoli dell’importanza della gestione delle informazioni a livello strategico, con il 75% degli intervistati che riconosce i vantaggi delle informazioni lungo l’intero ciclo della loro vita. Tuttavia, sono ancora molte le incertezze sul modo migliore di gestire tali informazioni e i rischi ai quali sono esposte. L’indagine è stata effettuata su un campione di responsabili IT senior, responsabili dei rischi e delle conformità normative, CEO, COO, e CIO di istituti finanziari in Gran Bretagna, Spagna, Italia, Francia, Germania e Benelux. Obiettivo dell’indagine era di conoscere in modo approfondito le modalità secondo le quali le banche gestiscono i rischi legati alle informazioni in un ambiente dove gli attacchi alla sicurezza avvengono su base settimanale e dove la protezione dei dati rappresenta un elemento cruciale per mantenere la fiducia dei clienti e il buon nome della banca. L’indagine ha rivelato che l’Information Risk Management sta diventando sempre più una priorità, con il 67% dei rispondenti che riconosce l’importanza di un approccio globale alla gestione dei rischi. Tuttavia, i risultati mettono anche in evidenza il fatto che il cammino verso tale obiettivo è ancora lento, con solo il 32% degli intervistati che afferma di aver già preso provvedimenti in merito.

Le barriere interne all’organizzazione come ostacolo

Gli intervistati hanno citato le barriere interne all’organizzazione come ostacolo a una migliore gestione dei rischi legati alle informazioni, ed è inoltre emerso che i rischi non vengono considerati come parte di una strategia globale. Metà degli intervistati, ad esempio, ha ammesso che la conformità alle normative viene gestita caso per caso, anziché con un approccio strategico. Associato ad un approccio frammentato troviamo una visione ristretta delle modalità secondo le quali la sicurezza delle informazioni può essere raggiunta. Solo il 19% degli intervistati riconosce che la sicurezza perimetrale non è sufficientemente efficace per proteggere le informazioni in possesso delle banche. Mentre circa la metà (47%) è focalizzata sulla sicurezza perimetrale, solo il 43% comprende la necessità di estendere l’Information Risk Management ai dati mentre questi viaggiano oltre i confini dei sistemi aziendali, presso partner, consulenti e contraenti, sottolineando una disparità fra visione e realtà.

I rischi associati a quelle informazioni durante

“La maggior parte delle banche intervistate ritiene di sapere quali informazioni siano in loro possesso, dove si trovino e come siano archiviate e rese accessibili all’interno dell’organizzazione”, ha commentato Andrew Moloney, Director Financial Services, EMEA di RSA. “Tuttavia, questo tipo di approccio impedisce loro di comprendere realmente i rischi associati a quelle informazioni durante il loro ciclo di vita. Le informazioni, infatti, sono sempre più mobili e si presentano sotto varie forme (email, allegati, database); per questo motivo la sicurezza perimetrale non è più adatta a proteggerle dai rischi ai quali sono esposte. Per gli istituti finanziari, in particolare, per la cui attività il flusso di informazioni elettroniche sicure è di importanza vitale, la gestione e la sicurezza delle informazioni non dovrebbe essere più appannaggio esclusivo del dipartimento IT, ma trattata come problematica di business. Gli istituti finanziari dovrebbero iniziare a considerare i rischi per le informazioni in modo consolidato e olistico all’interno dell’organizzazione. Le informazioni - e il modo in cui vengono gestite – dovrebbe rappresentare un importante elemento di differenziazione per gli istituti finanziari”. “La sicurezza delle informazioni è simile alla sicurezza fisica”, ha aggiunto Martha Bennett, Research Director, Financial Services di Datamonitor. “Per quanto sofisticato sia il sistema di allarme di un’abitazione, i ladri prima o poi troveranno il modo di entrare, se si impegnano a fondo. Secondo i risultati della nostra indagine possiamo affermare che le banche continuano ad essere troppo ottimiste quando si tratta di sicurezza delle informazioni. E’ fondamentale che gli istituti finanziari facciano qualcosa di più per gestire in modo efficace i rischi connessi, adottando un approccio globale”. “Gli istituti finanziari devono adottare un approccio strategico alla gestione dei rischi, per garantire che le informazioni siano un patrimonio, non un problema da dover gestire”, ha aggiunto Moloney. L’indagine di RSA sull’Information Risk Management è stata condotta nell’Ottobre 2007 da Datamonitor. Il campione di intervistati comprendeva CIO, responsabili della sicurezza, responsabili della conformità normativa, responsabili IT senior, responsabili dei rischi e COO. L’indagine ha coinvolto istituti finanziari con una dimensione di business da 10 a oltre 250 miliardi di dollari. (r.n.)

(26 ottobre 2007)

© 2002-2012 Key4biz