Molti decision-maker aziendali nel mondo non sono consapevoli delle implicazioni del Regolamento europeo in materia di protezione dei dati personali (GDPR, General Data Protection Regulation), nonché di altre normative come PCI-DSS e ISO27001/2: uno su cinque ammette di non sapere a quali normative è soggetta la propria organizzazione. Sono questi i risultati ottenuti dal report Risk:Value 2017 commissionato da NTT Security, l’azienda specializzata nella sicurezza del gruppo NTT, che esamina l’attitudine delle aziende nei confronti dei rischi e il valore della sicurezza delle informazioni per le aziende.
Il sondaggio, condotto tra 1.350 dirigenti non dell’ambito IT in 11 paesi, rivela che solo quattro intervistati su dieci (40%) a livello globale ritengono che la loro organizzazione sarà soggetta al GDPR. Il dato forse più preoccupante è che uno su cinque (19%) ammette di non sapere a quali normative è soggetta l’organizzazione. Nel Regno Unito, solo il 39% degli intervistati attualmente considera la GDPR un problema di conformità e il 20% ammette di non saperne niente, mentre al di fuori dell’Europa il livello di consapevolezza è perfino inferiore. Appena un quarto dei decision-maker aziendali negli Stati Uniti, il 26% in Australia e il 29% a Hong Kong ritiene di essere soggetto a GDPR, sebbene queste norme saranno applicabili a qualsiasi azienda che tratta dati di cittadini europei.
Il GDPR già attualmente in vigore, sarà direttamente applicabile dal 25 maggio 2018, il tempo rimasto per garantire la conformità ai nuovi rigorosi requisiti sulla protezione dei dati è ormai meno di un anno. Sono previste sanzioni fino a 20 milioni di euro o pari al 4% del fatturato annuo globale.
Il trattamento dei dati
Analizzando la maturità di trattamento dei dati, componente chiave del GDPR, il report Risk:Value rivela anche che un terzo degli intervistati non sa dove siano archiviati i dati dell’azienda, mentre appena il 47% afferma che tutti i dati critici sono archiviati in modo sicuro. Di quelli che sanno dove sono archiviati i dati, meno della metà (45%) si definisce “completamente consapevole” del modo in cui i nuovi requisiti normativi avranno effetto sull’archiviazione dei dati nella loro organizzazione. Il maggior livello di conoscenza e consapevolezza in tal senso è stato registrato tra le organizzazioni nel settore bancario e dei servizi finanziari, e in quello delle tecnologie e dei servizi informatici.
“Il 25 maggio 2018 è una data importante – ha dichiarato Dolman Aradori vice president e responsabile Security di NTT DATA Italia -, l’applicazione del GDPR interessa tutte le Aziende operanti nell’Unione Europea o anche al di fuori purché trattino dati relativi ai cittadini comunitari. Il suo obiettivo principale è rafforzare i diritti delle persone fisiche in termini di protezione dei dati personali pur agevolando la libera circolazione dei dati stessi all’interno del mercato unico digitale. È evidente che avrà un impatto rilevante.
Il nostro report indica chiaramente che un numero significativo di dirigenti non è ancora consapevole di questa norma o la ignora del tutto. Purtroppo, spesso la conformità è considerata un costoso adempimento che genera un valore minimo o del tutto assente. Tuttavia, il GDPR rappresenta per le aziende l’occasione per considerare la protezione dei dati come parte integrante della propria strategia di business, inoltre il mancato rispetto delle norme comporta il pagamento di notevoli sanzioni".
Quantificare la minaccia:
• Un intervistato su otto ritiene che la scarsa sicurezza delle informazioni rappresenti il “singolo rischio di maggiore entità" per l'organizzazione. Il rischio segnalato più di frequente è “l’acquisizione di quote di mercato da parte dei concorrenti” (28%). In base al report Risk:Value, il 57% dei decision-maker ritiene che prima o poi una violazione dei dati sarà inevitabile.
• L’impatto di una violazione sarà duplice: secondo gli intervistati, una violazione avrà effetto sulla capacità di business a lungo termine, oltre a causare perdite finanziarie a breve termine. Più della metà (55%) cita la perdita di fiducia dei clienti, i danni per la reputazione (51%) e le perdite finanziarie (43%), mentre il 13% ammette che sarebbe interessato da perdite di personale e il 9% dalle dimissioni di dirigenti senior.
• Il costo stimato per la ripresa, in media, è aumentato da 907.000 dollari nel 2015 a 1,35 miliardi di dollari nel 2017.
• L’impatto stimato sulle entrate è diminuito del 12,51% nel 2015
• Solo poco più della metà (56%) dei decision-maker dichiara che impedire gli attacchi per la sicurezza rappresenta un elemento regolarmente all’ordine del giorno del consiglio di amministrazione. Questo suggerisce che resta ancora molto da fare perché la sicurezza venga presa sul serio ai livelli più alti dell'organizzazione.
• Gli intervistati stimano che in media solo il 15% del budget IT in azienda viene speso per la sicurezza delle informazioni, benché questo valore sia aumentato rispetto al 13% nel 2015 e al 10% nel 2014. Molti indicano che la spesa per la sicurezza è inferiore a quella per le attività di ricerca e sviluppo (31%), vendita (28%) e marketing (27%).
L’esigenza di promuovere una cultura della sicurezza
• Il 56% dei decision-maker aziendali dichiara che la propria organizzazione ha definito un criterio formale per la sicurezza delle informazioni, un dato in aumento rispetto al 52% del 2015. Poco più di un quarto (27%) ha avviato l’implementazione di un criterio di questo tipo, mentre l’1% non ha alcun criterio o prevede di implementarne uno.
• Tuttavia, mentre la grande maggioranza (79%) dichiara che il criterio per la sicurezza è stato comunicato attivamente all’interno dell’organizzazione, solo una minoranza (39%) afferma che i dipendenti ne sono completamente consapevoli. La Germania e l’Austria (85%) sono sopra la media per quanto riguarda la comunicazione del criterio, insieme agli Stati Uniti (84%) e al Regno Unito (83%).
• La percentuale di intervistati con un criterio ufficiale per le informazioni è distribuita in modo non uniforme rispetto ai paesi. In Svezia il dato è appena del 30%, mentre nel Regno Unito il 72% dichiara di avere un criterio ufficiale. Relativamente ai settori, quello sanitario è in prima posizione, con il 69% delle aziende che afferma di avere definito un criterio ufficiale per la sicurezza delle informazioni, seguito a breve distanza dal settore finanziario (66%).
• Meno della metà (48%) delle organizzazioni ha un piano di risposta agli incidenti, anche se il 31% ne sta implementando uno. Tuttavia, solo il 47% dei decision-maker intervistati sa con precisione che cosa prevede il piano di risposta agli incidenti.