Il report Risk:Value di NTT Security mette in evidenza come molti decision-maker non siano consapevoli delle implicazioni del General Data Protection Regulation.
Uno su cinque ammette di non sapere a quali normative è soggetta la propria organizzazione.
Il sondaggio, condotto tra 1.350 dirigenti non dell’ambito IT in 11 paesi, rivela che solo quattro intervistati su dieci (40%) a livello globale ritengono che la loro organizzazione sarà soggetta al GDPR. Il dato forse più preoccupante è che uno su cinque (19%) ammette di non sapere a quali normative è soggetta l’organizzazione. Nel Regno Unito, solo il 39% degli intervistati attualmente considera la GDPR un problema di conformità e il 20% ammette di non saperne niente, mentre al di fuori dell’Europa il livello di consapevolezza è perfino inferiore. Appena un quarto dei decision-maker aziendali negli Stati Uniti, il 26% in Australia e il 29% a Hong Kong ritiene di essere soggetto a GDPR, sebbene queste norme saranno applicabili a qualsiasi azienda che tratta dati di cittadini europei.
Il GDPR già attualmente in vigore, sarà direttamente applicabile dal25 maggio 2018, il tempo rimasto per garantire la conformità ai nuovi rigorosi requisiti sulla protezione dei dati è ormai meno di un anno. Sono previste sanzioni fino a 20 milioni di euro o pari al 4% del fatturato annuo globale.
Analizzando la maturità di trattamento dei dati, componente chiave del GDPR, il report Risk:Value rivela anche che un terzo degli intervistati non sa dove siano archiviati i dati dell’azienda, mentre appena il 47% afferma che tutti i dati critici sono archiviati in modo sicuro. Di quelli che sanno dove sono archiviati i dati, meno della metà (45%) si definisce “completamente consapevole” del modo in cui i nuovi requisiti normativi avranno effetto sull’archiviazione dei dati nella loro organizzazione. Il maggior livello di conoscenza e consapevolezza in tal senso è stato registrato tra le organizzazioni nel settore bancario e dei servizi finanziari, e in quello delle tecnologie e dei servizi informatici.
• Un intervistato su otto ritiene che la scarsa sicurezza delle informazioni rappresenti il “singolo rischio di maggiore entità” per l’organizzazione. Il rischio segnalato più di frequente è “l’acquisizione di quote di mercato da parte dei concorrenti” (28%). In base al report Risk:Value, il 57% dei decision-maker ritiene che prima o poi una violazione dei dati sarà inevitabile.
• L’impatto di una violazione sarà duplice: secondo gli intervistati, una violazione avrà effetto sulla capacità di business a lungo termine, oltre a causare perdite finanziarie a breve termine. Più della metà (55%) cita la perdita di fiducia dei clienti, i danni per la reputazione (51%) e le perdite finanziarie (43%), mentre il 13% ammette che sarebbe interessato da perdite di personale e il 9% dalle dimissioni di dirigenti senior.
• Il costo stimato per la ripresa, in media, è aumentato da 907.000 dollari nel 2015 a 1,35 miliardi di dollari nel 2017.
• L’impatto stimato sulle entrate è diminuito del 12,51% nel 2015
• Solo poco più della metà (56%) dei decision-maker dichiara che impedire gli attacchi per la sicurezza rappresenta un elemento regolarmente all’ordine del giorno del consiglio di amministrazione. Questo suggerisce che resta ancora molto da fare perché la sicurezza venga presa sul serio ai livelli più alti dell’organizzazione.
• Gli intervistati stimano che in media solo il 15% del budget IT in azienda viene speso per la sicurezza delle informazioni, benché questo valore sia aumentato rispetto al 13% nel 2015 e al 10% nel 2014. Molti indicano che la spesa per la sicurezza è inferiore a quella per le attività di ricerca e sviluppo (31%), vendita (28%) e marketing (27%).
L’esigenza di promuovere una cultura della sicurezza
• Il 56% dei decision-maker aziendali dichiara che la propria organizzazione ha definito un criterio formale per la sicurezza delle informazioni, un dato in aumento rispetto al 52% del 2015. Poco più di un quarto (27%) ha avviato l’implementazione di un criterio di questo tipo, mentre l’1% non ha alcun criterio o prevede di implementarne uno.
• Tuttavia, mentre la grande maggioranza (79%) dichiara che il criterio per la sicurezza è stato comunicato attivamente all’interno dell’organizzazione, solo una minoranza (39%) afferma che i dipendenti ne sono completamente consapevoli. La Germania e l’Austria (85%) sono sopra la media per quanto riguarda la comunicazione del criterio, insieme agli Stati Uniti (84%) e al Regno Unito (83%).
• La percentuale di intervistati con un criterio ufficiale per le informazioni è distribuita in modo non uniforme rispetto ai paesi. In Svezia il dato è appena del 30%, mentre nel Regno Unito il 72% dichiara di avere un criterio ufficiale. Relativamente ai settori, quello sanitario è in prima posizione, con il 69% delle aziende che afferma di avere definito un criterio ufficiale per la sicurezza delle informazioni, seguito a breve distanza dal settore finanziario (66%).
• Meno della metà (48%) delle organizzazioni ha un piano di risposta agli incidenti, anche se il 31% ne sta implementando uno. Tuttavia, solo il 47% dei decision-maker intervistati sa con precisione che cosa prevede il piano di risposta agli incidenti.