Informazioni in banca: la tua come le protegge?

Una ricerca sull’information risk management negli istituti europei. Per il 67% dei manager va affrontato in modo globale e non solo come un problema It. Italia in retroguardia

Le banche sono consapevoli dell’importanza della gestione delle informazioni a livello strategico ma sono ancora molte le incertezze sul modo migliore di gestirle e sui rischi a cui sono esposte. Sono questi alcuni risultati di un’indagine condotta da Datamonitor per conto di Rsa che ha coinvolto manager di 60 istituti bancari di Gran Bretagna, Spagna, Italia, Francia, Germania e Benelux per comprendere le modalità secondo cui le banche gestiscono i rischi legati alle informazioni.
Secondo l’indagine, l’Information risk management è sempre più una priorità e il 67% degli intervistati riconosce l’importanza di un approccio globale alla gestione dei rischi. Il cammino verso questo obiettivo, tuttavia, è ancora lento e solo il 32% dei manager coinvolti afferma di aver preso provvedimenti in merito.

Le barriere interne all’organizzazione sono viste come un ostacolo a una migliore gestione dei rischi legati alle informazioni; la gestione dei rischi, però, non è parte di una strategia globale. Per metà degli intervistati la conformità alle normative è gestita caso per caso e non con un approccio strategico.
Sui modi per ottenere un livello di sicurezza delle informazioni adeguato c’è ancora una visione ristretta. Solo il 19% riconosce che la sicurezza perimetrale non basta per proteggere le informazioni in possesso dalle banche. Mentre il 47% degli intervistati è focalizzato sulla sicurezza perimetrale, solo il 43% comprende la necessità di estendere l’information risk management ai dati mentre viaggiano oltre i confini dei sistemi aziendali, presso partner, consulenti e contraenti.

«La maggior parte delle banche intervistate crede di sapere quali informazioni siano in loro possesso, dove si trovino e come siano archiviate e rese accessibili nell’organizzazione», afferma Andrew Moloney, director financial services Emea di Rsa. «Questo tipo di approccio, tuttavia, impedisce di comprendere realmente i rischi associati a quelle informazioni durante il loro ciclo di vita. Le informazioni, infatti, sono sempre più mobili e si presentano sotto varie forme (e-mail, allegati, database): per questo motivo la sicurezza perimetrale non è più adatta a proteggerle dai rischi. Per gli istituti finanziari, per la cui attività il flusso di informazioni elettroniche sicure è di importanza vitale, la gestione e la sicurezza delle informazioni non dovrebbe più essere compito esclusivo del dipartimento It, ma trattata come problematica di business. Gli istituti finanziari dovrebbero considerare i rischi per le informazioni in modo consolidato e olistico nell’organizzazione. Le informazioni e il modo in cui sono gestite dovrebbero rappresentare un importante elemento di differenziazione per gli istituti finanziari».

Realismo italiano
Secondo la ricerca l’Italia ha un approccio realistico all’Information risk management, ma l’atteggiamento dei manager italiani ruota attorno alle informazioni entro le operazioni della banca più che su un approccio basato su tutto il ciclo di vita. La perdita della reputazione è vista come la principale conseguenza dei fallimenti in ambito sicurezza e le banche italiane si rendono conto che per la salvaguardia delle informazioni non basta la loro conservazione in depositi, ma il problema è più complesso e non riguarda solo l’It. Gli operatori spesso non sanno quali informazioni hanno, dove si trovano e come sono immagazzinate e rese accessibili entro l’azienda e credono che la gestione informatica del rischio dovrebbe essere considerata sull’intero ciclo di vita delle informazioni. Solo il 40%, tuttavia, pensa che l’Information risk management debba essere gestito a livello globale e il 70% non ritiene che debba essere esteso a terze parti.