Il terzo rapporto condotto da Carnegie Mellon CyLab (“Governance of Enterprise Security: CyLab 2012 Report”) e sponsorizzato da RSA, la divisione sicurezza di EMC ha esaminato il modo in cui executive e consigli di amministrazione gestiscono i cyber-rischi. Suddiviso per regioni geografiche, per settore industriale, i top manager delle aziende inserite nel Forbes Global 2000 hanno rivelato che si stanno occupando molto seriamente di risk management, ma è anche vero che emerge una bassa consapevolezza del collegamento tra questo e il rischio IT a cui vanno incontro.
Meno di due terzi degli intervistati dispone infatti di personale a tempo pieno dedicato alla privacy e alla sicurezza (Ciso/Cso, Cpo e Cro) con best practice e standard internazionali. Nonostante l’Europa sia all’avanguardia in materia di normative sulla privacy e loro applicazione, solo il 3% degli intervistati indica che l’organizzazione di cui fanno parte dispone di un Chief Privacy Officer.
Il comparto finanziario è quello con il più elevato livello di attenzione da parte degli executive verso elementi critici relativi al cyber risk management, mentre altri settori- quali energia, utility e industria in primis - non si occupano di vendor management, sicurezza IT e operation.
Gli intervistati appartenenti al settore energia e utility, in particolare, si posizionano tra gli ultimi anche nello stabilire la giusta segregazione di compiti tra Risk Committee e Audit Committee. Per contro, solo l’8% del campione 2008 disponeva di Risk Committee, mentre il 48% dei partecipanti al sondaggio 2012 ha confermato di averlo. Un miglioramenti che viene confermato dal 17% degli intervistati del 2008 che avevano team cross-organizzativi, oggi saliti al 72%.
Qualche segnale di miglioramento, fa notare in una nota la compagnia americana, si sta comunque avvertendo. Il sondaggio ha rivelato infatti che sempre di più i consigli di amministrazione stanno dando importanza all’esperienza in fatto di competenze IT e di sicurezza dei neoassunti. Gli intervistati indicano che l’expertise è molto importante o importante per il 37% di loro e abbastanza importante per il 42%. L’esperienza su rischi e sicurezza è ancora più incoraggiante con un 64% degli intervistati che la indica come molto importante o importante e un 24% abbastanza importante.
“Oggi non è possibile – parole di Tom Heiser, Presidente di RSA - separare i rischi digitali da quelli tradizionali, ma la gestione degli stessi è una sfida nuova per molti. La crescente criticità delle risorse digitali e i più complessi scenari di minacce fanno sì che gli executive debbano diventare più abili a integrare le funzioni di sicurezza con le attività aziendali e le policy legate al rischio per garantire un ambiente IT sicuro. E non possono farlo senza conoscere meglio la situazione e incrementare il loro coinvolgimento nel cyber risk management”.