L'indagine - effettuata su un campione di responsabili IT senior, responsabili dei rischi e delle conformità normative, CEO, COO, e CIO di istituti finanziari in Gran Bretagna, Spagna, Italia, Francia, Germania e Benelux - è stata condotta presso Istituti finanziari con una dimensione di business da 10 a oltre 250 miliardi di dollari.
Obiettivo dello screening, approfondire le conoscenze circa le modalità in base alle quali le banche gestiscono i rischi legati alle informazioni, in un ambiente dove gli attacchi alla sicurezza avvengono con frequenza settimanale e dove la protezione dei dati rappresenta un elemento cruciale per mantenere salde la fiducia dei clienti e l'immagine della banca.
L'inchiesta ha rivelato che l'Information Risk Management è sempre più una priorità, con il 67% degli intervistati che riconosce l'importanza di un approccio globale alla gestione dei rischi.
Tuttavia, i risultati mettono anche in evidenza che il cammino verso tale obiettivo è ancora lento.
Solo il 32% degli intervistati, infatti, afferma di aver già preso provvedimenti in merito.
Gestire il rischio con strategia
In particolare, gli intervistati hanno citato le barriere interne all'organizzazione come ostacolo a una migliore gestione dei rischi legati alle informazioni ed è inoltre emerso che i rischi non vengono considerati come parte di una “strategia globale”.
Metà degli intervistati, ad esempio, ha ammesso che la conformità alle normative viene gestita caso per caso, anziché mediante un approccio strategico.
Associata a un metodo frammentato, sussiste una visione ristretta delle modalità con cui mettere in sicurezza le informazioni.
Solo il 19% degli intervistati riconosce che la sicurezza perimetrale non è sufficiente a proteggere le informazioni in possesso delle banche.
Mentre circa la metà dei partecipanti (47%) è focalizzata sulla sicurezza perimetrale, solo il 43% ha capito la necessità di estendere l'Information Risk Management ai dati mentre questi viaggiano oltre i confini dei sistemi aziendali, presso partner, consulenti e contraenti, sottolineando una disparità fra immaginario e realtà.
La maggior parte delle banche intervistate ritiene di sapere quali informazioni siano in loro possesso, dove si trovino e come siano archiviate e rese accessibili all'interno dell'organizzazione.
Tuttavia, questo tipo di approccio impedisce loro di comprendere realmente i rischi associati a quelle informazioni durante il loro ciclo di vita: le informazioni, infatti, sono sempre più mobili e si presentano sotto varie forme (e-mail, allegati, database). Per questo motivo la sicurezza perimetrale non è più adatta a proteggerle dai rischi ai quali sono esposte.
Per gli Istituti finanziari, in particolare - per la cui attività il flusso di informazioni elettroniche sicure è di importanza vitale - la gestione e la sicurezza delle informazioni non dovrebbe essere più appannaggio esclusivo del dipartimento IT, ma trattate come problematica di business.
La sicurezza delle informazioni è simile alla sicurezza fisica. Per quanto sofisticato sia il sistema di allarme di un'abitazione, i ladri prima o poi troveranno il modo di entrare se si impegnano a fondo.
Dai risultati dell'indagine emerge, dunque, che le banche continuano a essere troppo ottimiste quando si tratta di sicurezza delle informazioni.
Gli Istituti finanziari dovrebbero, invece, adottare un approccio strategico alla gestione dei rischi, per garantire che le informazioni siano considerate un patrimonio, non un problema da dover gestire.
Reputazione e immagine di un'organizzazione vengono meno se la sicurezza viene attaccata e le informazioni perse, rubate o usate impropriamente.
Un approccio olistico alla sicurezza e ai rischi delle informazioni contribuisce al raggiungimento degli obiettivi, al mantenimento dei clienti e al focus sull'attività principale, aumentando, al contempo la fiducia del mercato.
L'approccio di RSA
E' stato ideato dall'azienda per consentire alle società di servizi finanziari di implementare la gestione del rischio legato alle informazioni.
Più nel dettaglio, attraverso tale approccio è possibile proteggere accesso remoto, accesso alle applicazioni Web, accesso enterprise e accesso dei clienti alle informazioni sul conto corrente.
I nuovi servizi della soluzione RSA Information Risk Management comprendono:
• Information Security Program Development Service: consente alle aziende di organizzare le proprie iniziative di risk remediation con un approccio a livello progettuale. Questo servizio è stato ideato per aziende medio-grandi, che hanno già una certa consapevolezza dei propri rischi e delle proprie lacune in fatto di sicurezza. Componente integrante è la valutazione delle carenze della sicurezza delle informazioni, al fine di rispondere ai requisiti di conformità normativa e ad altri requisiti di business.
• Information Risk Assessment Service: è un servizio di valutazione di rischi per le informazioni, ideato per offrire una visione sistematica delle capacità di sicurezza di un'organizzazione e una roadmap per le attività di risk remediation. Questo servizio si basa su una metodologia che comprende valutazione di governance, policy, protezione dati, autenticazione, accesso e altri controlli della sicurezza di infrastrutture tecniche e di business
