PER ULTERIORI INFORMAZIONI CONTATTARE

Emanuela Lombardo Costanza Bajlo – Francesco Petrella – Nadia Lauria

Symantec Italia Pleon srl
02/241151 02/205621
Emanuela_lombardo@symantec.com costanza.bajlo@pleon.com,
francesco.petrella@pleon.com,
nadia.lauria@pleon.com

Un nuovo studio illustra i passaggi chiave necessari

a proteggere i dati sensibili
Una ricerca condotta dall'IT Policy Compliance Group rivela
le azioni vincenti nella tutela dei dati sensibili

Cupertino, Calif. – 8 gennaio 2008 - L’IT Policy Compliance Group ha annunciato il nuovo
report, “Core Competencies for Protecting Sensitive Data”, basato su benchmark. L'analisi, che
include il feedback di oltre 450 organizzazioni a livello mondiale, mette in luce come solo
un'azienda su dieci sia in grado di proteggere in maniera adeguata i propri dati sensibili. Lo studio
analizza inoltre le variabili che creano la differenza fra aziende “Leader” e realtà meno capaci nei
confronti della protezione dei dati, definite “Laggard”, offrendo un approfondimento sulle best
practice che possono contribuire a migliorare questa disciplina, incrementare i livelli di conformità
e consentire un vantaggio competitivo sostenibile.

Uno dei risultati più sorprendenti della ricerca è la correlazione fra protezione dei dati sensibili e
livelli di conformità normativa: le aziende che sanno ben tutelare le informazioni sensibili prestano
molta attenzione anche al rispetto delle norme vigenti. Quasi tutte le organizzazioni (96%) che
presentano livelli minimi di perdite di dati sensibili sono esattamente le stesse che devono apportare
il minor numero di correzioni ai meccanismi di conformità necessari per superare le verifiche
normative. Al contrario, la maggioranza di aziende (64%) con un elevato tasso di perdite di dati
sensibili sono le stesse che denunciano mancanze rilevanti sul fronte della conformità.

Le competenze chiave identificate nel presente studio rientrano in tre categorie: struttura e strategia
organizzativa, customer intimacy ed eccellenza operativa. Prendendo in esame le aziende Leader,
ovvero quelle che presentano la minore quantità di perdite di dati sensibili, rispetto alle realtà più
indolenti - i cosiddetti Laggard - che di conseguenza hanno tassi di perdita dati più significativi, è
possibile comprendere quanto sia importante definire un numero limitato di policy o di obiettivi di
controllo effettuando per contro un numero superiore di valutazioni e facendo leva sulla gestione
del cambiamento IT per prevenire l'uso o le modifiche non autorizzate.

● I Leader definiscono una media di 30 obiettivi di controllo e conducono valutazioni una

volta ogni 19 giorni. Queste aziende subiscono su base annua un massimo di due episodi o
meno di perdita di dati e di due casi o meno di carenza normativa.
● I Laggard definiscono una media di 82 obiettivi di controllo e conducono valutazioni ogni
230 giorni. Questa fascia di aziende sperimenta su base annua 13 o più episodi di perdita di
dati e 22 o più situazioni di carenza normativa.
“Alcuni eventi verificatisi di recente hanno dimostrato come la perdita di dati possa essere dannosa
nei confronti della reputazione e degli obiettivi strategici di un'azienda. È essenziale dunque
garantire l'attuazione di controlli basati sul rischio al fine di prevenire episodi di perdita o furto, ed è
altrettanto fondamentale assicurare che la verifica di tali controlli avvenga su base regolare”, ha
commentato Lynn Lawton, CISA, FCA, FIIA, PIIA, FBCS CITP, International President di ISACA.
“Le aziende di successo sono attente ad un’accurata selezione dei controlli più rilevanti, anziché
limitarsi a implementarne in quantità elevata ed eccessiva. I risultati dello studio dimostrano
chiaramente come selezionare, implementare e comunicare i controlli chiave, oltre a effettuare una
valutazione regolare della loro reale efficacia, rappresenti un approccio di tipo più pratico. In questo
modo si ottengono risultati migliori rispetto a un atteggiamento che favorisce un numero eccessivo
di controlli isolati e non strutturati”.

Lo studio indica, inoltre, che la qualità dei controlli non è importante quanto invece può esserlo la
loro idoneità rispetto a rischi specifici e la frequenza con la quale questi controlli vengono effettuati.
Le aziende che non si avvalgono di controlli adeguati al rischio e che non ne valutano l'efficacia da
un punto di vista procedurale e tecnico con una certa frequenza sono più soggette a episodi di furto
o perdita di dati. Le realtà aziendali che addirittura non attuano alcun controllo o valutazione sono
quelle che subiscono i maggiori tassi di perdita e furto di informazioni.

“Proteggere i dati di clienti e dipendenti e la proprietà intellettuale non è mai stato tanto importante
quanto oggi, considerato il rapido aumento dei requisiti di conformità e del rischio legato alla
reputazione”, ha commentato Rocco Grillo, Managing Director Technology Risk Practice di
Protiviti Inc. “Eppure continuano a verificarsi casi di falle nei dati e di furti di identità. Nonostante i
controlli non possano garantire la protezione al 100%, le aziende devono comunque applicare il
giusto livello di diligenza in termini di sicurezza delle informazioni e gestione del rischio.
Programmi affidabili volti a mantenere e tutelare in maniera efficace la sicurezza proteggendo le
informazioni hanno dato riscontri molto positivi, riuscendo a salvaguardare i dati di valore da
perdite o furti. Sono passati i tempi in cui il management poteva attendere passivamente un episodio
di crisi per muoversi reattivamente di fronte all'accaduto. Oggi bisogna agire in maniera proattiva e
preventiva”.

Le best practice dei Leader nella protezione dati

Le organizzazioni con minori perdite di dati sono quelle che vantano i migliori risultati nell'ambito
della conformità normativa. Queste aziende dispongono di un ventaglio di competenze in grado non
solo di minimizzare la perdita di dati e migliorare il livello di conformità, ma di ridurre al minimo
anche l'impatto finanziario causato dalle falle nei dati (vedere precedente report “Why Compliance
Pays Reputations and Revenues at Risk”), supportando un vantaggio competitivo sostenibile. Le
competenze chiave includono:

Struttura e strategia organizzativa

Attuare un programma di conformità world-class
Documentare e gestire policy, standard e procedure
Ridefinire i controlli interni, le funzioni di gestione del rischio e della sicurezza IT per fare leva
sulla customer intimacy e sull'eccellenza operativa

Customer intimacy
Definire i ruoli e le responsabilità degli addetti alle policy
Identificare e gestire i rischi finanziari e di business
Attuare un programma di formazione per i dipendenti e gestire i casi di eccezione alle policy

Eccellenza operativa
Ampliare il raggio della verifica interna alla maggior parte delle funzioni business
Rendere gli obiettivi di controllo sensibili al rischio
Ridurre il numero degli obiettivi di controllo
Implementare controlli che vengono misurati
Condurre auto-valutazioni di controlli procedurali
Aumentare la frequenza delle valutazioni dei controlli tecnici
Implementare un programma completo di gestione del cambiamento IT
Utilizzare la gestione del cambiamento IT per prevenire utilizzi o modifiche non autorizzati

La ricerca
Gli argomenti oggetto di studio da parte dell'IT Policy Compliance Group rientrano in un calendario
di tematiche di ricerca proposte dai membri sponsor e dai soci generali, oltre che a seguito dei
risultati ottenuti da report recenti. I benchmark più aggiornati, che costituiscono la base del presente
studio, sono stati condotti con 454 organizzazioni fra i mesi di febbraio e marzo 2007. Il margine di
errore di questa ricerca è +/- 4,5%. La maggioranza delle organizzazioni (90%) che ha partecipato
ai benchmark ha sede negli Stati Uniti. Il restante 10% riguarda fra gli altri Paesi: Australia,
Canada, Francia, Germania, Irlanda, Giappone, Spagna e Regno Unito.

Adesioni all'IT Policy Compliance Group

L'IT Policy Compliance Group ha annunciato inoltre un nuovo livello di partecipazione: l'Advisory
Membership. Questa nuova categoria è stata creata per formalizzare le indicazioni e le direttive per
future ricerche del Gruppo, per accedere a un blog di prossima formazione e per gestire la
preparazione, l'orientamento e la partecipazione di gruppi di lavoro. Il livello di partecipazione
generale al gruppo è stato rinominato Associate Membership.

Per maggiori informazioni e per scaricare il report aggiornato intitolato “Core competencies for
protecting sensitive data” è possibile visitare l'indirizzo www.ITPolicyCompliance.com.

IT Policy Compliance Group

L'IT Policy Compliance Group si impegna per far progredire il grado di conformità IT delle
aziende. I suoi componenti provengono da diverse realtà leader nei rispettivi settori come:
Computer Security Institute, The Institute of Internal Auditors, Protiviti, ISACA, IT Governance
Institute e Symantec Corporation (NASDAQ: SYMC). Il gruppo conduce indagini comparative
basate su fatti concreti al fine di determinare le best practice che permettono di migliorare la
conformità IT delle aziende. Per ulteriori informazioni www.ITPolicyCompliance.com.

A proposito di Symantec

Symantec è il leader globale nella creazione di soluzioni studiate per la sicurezza, la disponibilità e l’integrità delle
informazioni di consumatori e imprese. L’azienda aiuta i propri clienti a proteggere le loro infrastrutture, informazioni e
relazioni fornendo software e servizi per fronteggiare i rischi connessi alla sicurezza, accesso, compliance a prestazioni.
Con sede a Cupertino, in California, Symantec è presente in oltre 40 paesi. Per ulteriori informazioni, consultare il sito
web all’indirizzo www.symantec.com o www.symantec.it

###
NOTE PER GLI EDITORI: Per maggiori informazioni riguardo Symantec Corporation e i suoi prodotti è possibile
visitare la Symantec News Room all'indirizzo http://www.symantec.com/news.

Symantec e il logo Symantec sono marchi o marchi registrati di Symantec Corporation o di sue consociate negli Stati
Uniti e in altri Paesi. Gli altri nomi citati possono essere marchi appartenenti ai rispettivi proprietari.