Gestire la privacy e i rischi correlati in azienda è difficile, a volte quasi impossibile. E la causa principale sta nella mancanza di strategie definite. Più precisamente di una strategia eGRC, vale a dire e-Governance, Risk and Compliance.
È quanto emerge da una ricerca pubblicata da EMC e Ponemon Institute, che ha domandato a oltre 6000 professionisti. Solo il 20% delle organizzazioni possiede una strategia di eGRC chiaramente definita che riguarda tutta l'azienda, e il 33% ammette di non possederne alcuna.
I Silos, per Ponemon l'isolamento dei dipartimenti aziendali
E invece dotarsi di una strategia estesa per privacy e rischi "non è più di un'opzione, ma un imperativo strategico" afferma Tom Roloff, Chief Operating Officer di EMC Consulting.
Emerge anche che nelle aziende manchi ancora una collaborazione ottimale tra le diverse aree,
come quella finanziaria e quella legale. Nel 12% dei casi i vari
settori operano in modo del tutto isolato. Eppure questo è un elemento
fondamentale per una strategia di successo.
È il dipartimento IT a gestire la governance, ma la gestione dei
rischi è affidata ai vari dipartimenti di appartenenza. La privacy dei
dati viene affidata al dipartimento legale, e così via. Tante necessità diverse e tanti operatori, tutti sotto il "cappello" della strategia eGRC.
"I silos sono il nemico principale di un programma eGRC
efficiente," ha affermato Larry Ponemon del Ponemon Institute for
Privacy Research, riferendosi ai dipartimenti isolati all'interno di
un'azienda, che non collaborano con gli altri.
Tra le sfide più complesse c'è sempre la gestione della privacy, che deve unire diverse necessità: rendere i dati utilizzabili per le aziende, proteggerli ed essere aderenti alle normative di ogni paese.
I partecipanti al sondaggio tuttavia sembrano profondamente consapevoli di queste problematiche, e infatti il 90% di loro crede che siano necessarie "tecnologie abilitanti" per le attività eGRC, che permettano di eseguire valutazione del rischio, gestione delle policy, valutazione dei controlli, risposta e gestione degli incidenti, e monitoraggio della conformità.