Sicurezza Dati per le aziende: il rischio è anche all’interno (parte I)

I GAP NELLA GESTIONE DEI DATI CHE POSSONO COMPROMETTERE GLI OBIETTIVI STRATEGICI DELL’IMPRESA

I dati sono la linfa vitale dell’impresa moderna e sono alla base della maggior parte delle decisioni. Pertanto le organizzazioni lavorano costantemente per mantenere livelli elevati di sicurezza dei dati e proteggere così preziose risorse. Mentre la maggior parte di tali sforzi viene applicata alle minacce esterne, l’accesso ai dati dall’interno dell’azienda può creare altrettanto rischio, rendendo l’autorizzazione ai database interni dell’azienda una delle componenti più critiche per la sicurezza delle informazioni e della gestione dei rischi.

Questa fonte di vulnerabilità aziendale sta rapidamente diventando una delle maggiori preoccupazioni per la sicurezza. Pertanto, i dirigenti aziendali di livello C e i ruoli CISO devono prendere in seria considerazione l’idea di supportare l’adozione di nuovi strumenti e metodi di gestione dell’accesso ai dati che li aiuteranno a comprendere e misurare esattamente dove si trovano i loro dati, come e da chi sono accessibili, quanti dati vengono scaricati, quando e da dove. Questo non è fondamentalmente un problema tecnico, perché incide anche sulla responsabilità aziendale, la legal compliance e la produttività – e tutto ciò non è più facoltativo.

CHI ACCEDE AI DATI DELLA VOSTRA AZIENDA?

Praticamente tutte le organizzazioni stanno lottando per tenersi al passo con i controlli sui propri dati. Ma una sfida in tre parti sta creando grandi complessità e rischi su scala mai sperimentata prima:

1. In un mondo digitale completamente connesso, i concorrenti ostili stanno diventando più sofisticati nei loro attacchi. Inoltre, gli attacchi “sponsorizzati” dagli Stati stanno diventando la norma.
2. Diverse funzioni aziendali hanno scoperto un nuovo valore in grandi database aziendali e ne chiedono l’accesso ad un ritmo estremamente alto. I team di marketing stanno cercando in modo aggressivo di trovare modi per produrre più lead, mentre i team operativi utilizzano i dati per fornire una migliore esperienza ai clienti o innovano le pratiche di riduzione dei costi ed i team finanziari utilizzano i dati per preparare un budget migliore. La “Shadow IT” viene utilizzata in modo aggressivo perché le funzioni IT non possono tenere il passo con le esigenze di questi team mantenendo allo stesso tempo la necessaria legal compliance. Inoltre, i dati dei clienti hanno un valore reale e spesso significativo. Aziende come Facebook e Google hanno creato un mercato per vendere l’accesso o l’uso di tali dati e le aziende stanno collaborando in nuovi modi per combinare i dati e identificare sinergie digitali.
3. Molti nuove iniziative normative stanno spingendo per l’adozione dei principi di base della sicurezza dei dati. Più che mai le entità governative stanno imponendo responsabilità ai proprietari dei dati. Inoltre, le frequenti violazioni dei dati stanno alzando il livello di quelli che possono essere definiti principi di “standard di protezione” che gli enti di regolamentazione e i tribunali si aspettano che le organizzazioni rispettino. Pertanto, quando si verificano violazioni, gli enti di regolamentazione non solo porranno domande sui dati violati, ma l’organizzazione dovrà dimostrare di aver compiuto tutti gli sforzi ragionevoli per evitare di subire violazioni nell’accesso ai suoi dati.

Dato che i team a corto di tempo devono velocizzare il raggiungimento degli obiettivi di business, l’accesso immediato ai dati è diventato un’aspettativa diffusa. Ma è necessario un attento equilibrio tra il perseguimento degli obiettivi aziendali stabiliti a livello di vertice e la corretta gestione dell’accesso ai dati in ambienti estremamente complessi.

Pertanto è fondamentale il bilanciamento della dirigenza, che deve valutare i costi di una potenziale violazione con i costi della conformità legale alla sicurezza. È noto che i budget per la sicurezza informatica siano saliti in modo pesante negli ultimi anni e continueranno ad aumentare. Tuttavia, con la maggior parte delle risorse dirette verso la protezione esterna, i team IT mantengono in genere solo controlli base sull’accesso interni ai dati.

Resta tecnicamente difficile trasferire sull’agenda dei manager di livello C i rischi e le protezioni necessarie a tutti i dati di un’impresa. È incredibilmente complesso gestire anche chi ha bisogno e ha accesso ai dati. I tipici strumenti di sicurezza, purtroppo, non prevengono le minacce interne.

[prosegue]

Consulta la nostra presentazione per conoscere il metodo di lavoro con cui cogliere le opportunità riducendo al minimo i rischi ad esse associati.

Non guardare solo al lato negativo. Prendi il lato buono del rischio!