Governance documentale: l importanza della sicurezza

Transcript

1 Governance documentale: l importanza della sicurezza Una ricerca esclusiva di Coleman Parkes Research Indagine condotta in Belgio, Francia, Germania, Italia, Olanda, Spagna, Regno Unito e Irlanda

2 Indice 1.0 Introduzione la governance documentale e la sicurezza Executive summary Risultati principali La consapevolezza delle aziende sull importanza della sicurezza documentale è alta Nonostante la consapevolezza diffusa, le aziende si espongono a rischi di notevole entità Gli atteggiamenti verso la sicurezza documentale variano in modo netto a seconda del mercato verticale Conclusioni L approccio di Ricoh nei riguardi della sicurezza 14

3 1.0 Introduzione la governance documentale e la sicurezza Ricoh pubblica il terzo di una serie di rapporti che analizzano i differenti aspetti della governance documentale. Ricerche condotte dalla società indipendente Coleman Parkes Research dimostrano che oltre metà delle aziende in Europa (57%) adotta un approccio frammentato nei confronti della governance documentale, con un impatto negativo in termini di efficienza, sostenibilità, produttività e sicurezza. Ed è proprio sulla sicurezza che si focalizza questo terzo rapporto, prendendo in esame le modalità con cui i manager europei gestiscono la sicurezza dei documenti, un aspetto che non può essere trascurato in un progetto di governance documentale. La sicurezza dei documenti dovrebbe abbracciare l azienda nella sua globalità, dal momento che in tutte le aree vi sono informazioni di cui è necessario garantire riservatezza, integrità, confidenzialità e disponibilità. I dati contenuti in questo rapporto consentono di esaminare da un lato le modalità con cui le aziende europee gestiscono la riservatezza dei documenti e dall altro i possibili rischi che si corrono senza una adeguata strategia a riguardo. La divulgazione di informazioni che dovrebbero invece rimanere riservate si ripercuote in maniera negativa sul business e può portare a conseguenze anche molto serie. Si pensi per esempio a: - Diritti di proprietà intellettuale: se le informazioni non sono adeguatamente protette si possono vanificare gli investimenti aziendali in Ricerca e Sviluppo - Informazioni personali: devono essere gestite secondo quanto prescritto dalla normativa, in caso contrario le aziende possono incorrere in sanzioni - Informazioni commerciali: in caso di divulgazione di informazioni sensibili o riservate si rischia di perdere vantaggio competitivo - Informazioni relative ai clienti: l utilizzo è regolamentato da normative e, oltre a incorrere in sanzioni, si rischia una perdita di fiducia da parte dei clienti In Europa si sono verificati diversi casi in cui dati sanitari personali o coordinate bancarie, e persino strategie governative che avrebbero dovuto rimanere segrete, sono andati perduti e addirittura lasciati incustoditi in luoghi pubblici, senza alcuna misura di sicurezza. Oltre a danneggiare la reputazione dell azienda, la mancata protezione delle informazioni può rivelarsi costosa. Si consideri il caso di una casa automobilistica sportiva 1 : un documento di 780 pagine contenente dati tecnici riservati sulla Ferrari di F1 è stato rinvenuto fra le carte in possesso di un progettista della McLaren. La federazione sportiva ha considerato il danno così grave per la Ferrari in termini di vantaggio competitivo, che ha multato pesantemente la McLaren togliendole anche dei punti nel campionato per quella stagione. Vi sono tuttavia altri casi in cui le violazioni alla riservatezza sono meno palesi, ma altrettanto gravi. All interno delle aziende, infatti, sussistono anche rischi quotidiani più sottili. Per esempio, informazioni sensibili dal punto di vista commerciale, come piani aziendali, strategie e dettagli finanziari, possono cadere nelle mani della concorrenza a totale insaputa dell azienda

4 Per salvaguardare le informazioni sensibili sono state promulgate normative e legislazioni, come le leggi PCI-DSS 2, il diritto sulla privacy e la legislazione Sarbanes-Oxley. Ciononostante, come mostra questo studio, in alcune aziende le informazioni non vengono adeguatamente protette e sono dunque vulnerabili a tentativi di violazione. Per esempio, solo il 47% 3 dei manager afferma che nella propria azienda vengono attuate procedure formali per proteggere la stampa dei documenti che contengono informazioni relative ai clienti. Metodologia di indagine sulla governance documentale Sono state condotte in totale 311 interviste nei mesi di luglio e agosto 2009, coinvolgendo decision maker senior in Belgio, Francia, Germania, Italia, Olanda, Spagna, Regno Unito e Irlanda. Tutti gli intervistati lavorano in medie o grandi aziende europee nei settori di Servizi finanziari, Servizi professionali, Servizi pubblici, Telecomunicazioni, Aziende di servizi e Media e sono responsabili della gestione dei documenti all interno delle rispettive organizzazioni. L indagine è stata condotta in condizioni controllate per poter fornire informazioni rappresentative sull intera Europa e nell ambito di ciascun settore verticale target. 2 Payment Card Industry Data Security Standard 3 Media nei Servizi Finanziari, Servizi Professionali, Servizi Pubblici, Telecomunicazioni, Aziende di Servizi e Media 4

5 2.0 Executive summary I risultati emersi dalla ricerca dimostrano come, nonostante le imprese europee siano consapevoli dei rischi correlati alla sicurezza dei documenti, solo una minoranza abbia stabilito specifiche policy a riguardo. La maggior parte delle aziende si espone quindi a rischi elevati. La consapevolezza delle aziende sull importanza della sicurezza documentale è alta Come era peraltro prevedibile, i manager delle aziende sono pienamente consapevoli della necessità di garantire la sicurezza dei documenti. I tre quarti degli intervistati (76%) afferma che il crescente utilizzo della tecnologia in ambito aziendale comporti un aumento dei rischi alla sicurezza. Una maggioranza netta (91%) è concorde nel dichiarare che la sicurezza documentale dovrebbe basarsi sull approccio prevenire è meglio che curare, e il 68% dei manager crede che ambienti di stampa ottimizzati migliorerebbero la sicurezza delle informazioni. Nel caso di documenti commerciali, le informazioni digitali e quelle stampate sono di pari importanza per quasi metà degli intervistati (49%). Nonostante la consapevolezza diffusa, le aziende si espongono a rischi di notevole entità Nonostante questa consapevolezza diffusa, le imprese che attuano iniziative per proteggere le informazioni riservate sono una minoranza. Infatti, meno della metà del campione (47%) ha introdotto policy per controllare la stampa delle informazioni relative ai clienti, e una percentuale addirittura inferiore (41%) lo ha fatto in relazione ad altri documenti di natura riservata. Inoltre, solo il 44% degli intervistati ha introdotto policy rigorose per impedire che un dipendente che lascia l azienda possa portare con sé informazioni riservate. La mancanza di tali policy può essere una conseguenza diretta dell approccio frammentato che finora caratterizza la governance documentale. La mancanza di un approccio strutturato non consente di avere una visione chiara delle aree aziendale in cui è necessario proteggere le informazioni. Il risultato è che le aziende sono vulnerabili alle violazioni della sicurezza, siano esse accidentali o intenzionali. Gli atteggiamenti verso la sicurezza documentale variano in modo netto a seconda del mercato verticale Un analisi attenta dei differenti mercati verticali rivela risultati piuttosto sorprendenti. Il settore finanziario è quello in cui l implementazione di policy formali per limitare la stampa dei dati relativi ai clienti è meno diffusa: solo il 46% delle aziende ha adottato procedure di questo tipo. Nel settore pubblico solo il 33% delle organizzazioni dispone di una strategia globale di sicurezza documentale. La percentuale sale al 43% nel caso dei Servizi Professionali e al 48% nei settori Telecomunicazioni, Aziende di Servizi e Media. Nel complesso, dai risultati emerge che anche i settori più regolamentati e consapevoli dell importanza della sicurezza potrebbero fare di più per tutelare le informazioni riservate e per controllare con maggior efficacia i documenti. 5

6 Risultati principali 3.0 La consapevolezza delle aziende sull importanza della sicurezza documentale è alta Il 49% degli intervistati si dice preoccupato per i rischi alla sicurezza sia delle informazioni digitali che di quelle stampate Come prevedibile, i vertici aziendali in Europa sono consapevoli della necessità di proteggere la sicurezza documentale in tutta l organizzazione. La maggioranza (76%) concorda che i rischi per la sicurezza stiano aumentando come conseguenza della maggiore diffusione delle tecnologie informatiche in ambito aziendale. Ne consegue che un ambiente di stampa ottimizzato e controllato a livello centrale aumenterebbe l efficacia delle misure di sicurezza. Il 68% dei manager aziendali concorda con questa affermazione e il 91% sostiene che quando si tratta di sicurezza documentale prevenire è meglio che curare. Le risposte evidenziano che i manager sono consapevoli della necessità di garantire sicurezza nei flussi documentali. Quasi la metà delle aziende europee (il 49%) dice di essere preoccupata per la sicurezza sia delle informazioni digitali che di quelle stampate. Vi sono diverse soluzioni di sicurezza che permetterebbero alle aziende di controllare con efficacia i documenti limitando i rischi e le preoccupazioni a riguardo. Tra le principali contromisure da adottare vi sono i Document Management Services, a cui si aggiungono applicazioni di natura più specifica, come l autenticazione degli utenti, la stampa protetta e lo smart-accounting. Altre misure includono la protezione tramite password, che consente l accesso e la stampa delle informazioni riservate solo a coloro che si autenticano correttamente. L integrità dei documenti può anche essere salvaguardata con filigrane integrate negli stessi, che evidenziano eventuali modifiche apportate e/o prevengono scansioni o copie non autorizzate. Inoltre, mediante un processo di sovrascrittura dei dati si possono eliminare automaticamente tutti i dati memorizzati temporaneamente sul disco fisso dei dispositivi multifunzione. 6

7 Fig. 1: Atteggiamenti nei riguardi della sicurezza delle informazioni stampate e digitali In today s economic environment which poses the greatest security threat to the company? Base: Total Respondents Digital information % Physical/printed information % Both equally % Total sample Financial Services Professional Services Public Sector Telco/Utilities/Media Source: Coleman Parks Research Ltd.,

8 4.0 Nonostante la consapevolezza diffusa, le aziende si espongono a rischi di notevole entità Solo il 47% delle aziende dispone di policy rigorose per controllare la stampa delle informazioni relative ai clienti La consapevolezza degli intervistati riguardo ai rischi che minacciano i documenti non si traduce però nell implementazione di soluzioni tecnologiche che garantiscono la tutela delle informazioni aziendali. Solo il 47% dei manager intervistati ha confermato l introduzione di policy formali per controllare la stampa dei dati relativi ai clienti e ancora meno, il 41%, ha introdotto misure per regolamentare la stampa di altre tipologie di documenti riservati. Inoltre, solo il 44% del campione dispone di procedure rigorose per impedire che un dipendente che lascia l azienda possa portare con sé informazioni riservate. Senza procedure formali per la sicurezza documentale, le organizzazioni si espongono a rischi di notevole entità. Indipendentemente dalla natura accidentale o volontaria delle violazioni, le ripercussioni, nel caso in cui dati riservati cadano in mani sbagliate, possono essere molto gravi. Fig. 2: Presenza di procedure di controllo sulla stampa di dati relativi ai clienti Existence of a security policy that restricts or controls the printing of customer information Base: Total Respondents Yes, strictly enforced % Yes, but not strictly enforced % No % Total sample Financial Services Professional Services Public Sector Telco/Utilities/Media Source: Coleman Parks Research Ltd.,

9 Il divario fra la consapevolezza dei rischi e l attuazione di specifiche policy può essere correlato ai risultati emersi dallo studio Ricoh Document Governance Index 4. La ricerca ha evidenziato che la governance documentale tende a essere frammentata, senza una funzione specifica che se ne faccia carico in modo esplicito. In molti casi, i responsabili della governance documentale sono molteplici e spesso la responsabilità è affidata ai manager di reparto o addirittura ai singoli. Tale approccio non strutturato porta a duplicazioni e inefficienze. Inoltre, si ripercuote negativamente sulla produttività, sulla sostenibilità e ovviamente sulla sicurezza dei documenti. Fig. 3: Presenza di procedure di controllo sulla stampa di altre informazioni sensibili Existence of a wider reaching policy that restricts or controls the printing of corporate documents Base: Total Respondents Yes, strictly enforced % Yes, but not strictly enforced % No % Total sample Financial Services Professional Services Public Sector Telco/Utilities/Media Source: Coleman Parks Research Ltd., Coleman Parkes Research. Ottobre

10 5.0 Gli atteggiamenti verso la sicurezza documentale variano in modo netto a seconda del mercato verticale Da un confronto tra i vari settori verticali emergono dati che possono sorprendere. I settori presi in considerazione sono: Servizi Finanziari Servizi Professionali Servizi Pubblici Telecomunicazioni/Aziende di Servizi/Media La media fra tutti i settori mostra che meno della metà delle aziende (48%) ha implementato una strategia strutturata per la sicurezza documentale, ha attuato procedure per controllare la stampa delle informazioni relative ai clienti (47%) ed è in grado di impedire che documenti di natura sensibile escano dall azienda (44%). Servizi Finanziari Dall analisi dei Servizi Finanziari, una delle industrie più regolamentate, emergono risultati inattesi. Solo il 46% dei manager di questo settore afferma di avere procedure formali per controllare la stampa delle informazioni relative ai clienti. E questo pone i Servizi Finanziari all ultimo posto in questa particolare area. Al contrario, le aziende dei Servizi Finanziari sono più propense (49%) di quelle appartenenti ad altri settori ad adottare procedure rigorose per evitare che i dipendenti che lasciano l azienda portino con sé informazioni riservate. Non sarebbe corretto affermare che le aziende siano pienamente consapevoli di queste situazioni; è infatti più probabile che il problema risieda nell approccio decentrato nei riguardi della governance documentale e nella mancanza di un unico responsabile per il monitoraggio del flusso delle informazioni aziendali. Il risultato è che gli asset documentali non sono controllati e quindi non è possibile evitare i rischi e proteggere le informazioni. Servizi Pubblici Anche nei Servizi Pubblici si registra una tendenza inattesa: solo il 39% dei manager afferma che nella propria azienda sono state introdotte procedure in grado di impedire che i dipendenti che lasciano l azienda portino con sé informazioni sensibili o riservate. Questa percentuale è nettamente inferiore alla media del 44% e preoccupa non poco considerando le tipologie di informazioni sensibili in questione e l elevato numero di casi di perdita e divulgazione delle informazioni. Inoltre, le organizzazioni dei Servizi Pubblici dispongono meno frequentemente di una strategia strutturata per la governance documentale (33%) e per la gestione e la sicurezza dell ambiente di stampa. E lo stesso si può dire in merito al potenziamento della sicurezza quale vantaggio-chiave di un approccio ottimizzato alla gestione della stampa (il 59%)

11 Servizi Professionali Oltre alle iniziative per tutelare e proteggere la stampa dei dati relativi ai clienti, dallo studio emerge un indicazione sulla diffusione di procedure per limitare o controllare la stampa di altri documenti o informazioni aziendali riservate. Fra le altre tipologie di documenti vi sono i business plan, le informazioni sul personale e i bilanci. Solo il 37% dei manager nel settore dei Servizi Professionali, la percentuale più bassa in Europa, ha attuato procedure formali, rispetto al 46% riscontrato nel settore dei Servizi Finanziari (la percentuale più elevata). Telecomunicazioni, Servizi e Media Mentre nei settori Telecomunicazioni, Servizi e Media si registra il maggior consenso sul fatto che il volume delle informazioni stampate stia aumentando, solo il 43% dei manager ha attuato procedure formali per il controllo della stampa di documenti riservati. Tuttavia, le percentuali superano comunque di poco i settori dei Servizi Professionali e dei Servizi Pubblici (41%). Fig. 4: Presenza di procedure per evitare che i dipendenti che lasciano l azienda portino con sé informazioni riservate Existence of formal or ad-hoc procedures to prevent employees taking confidential/sensitive information Base: Total Respondents 80 Yes, formal % 70 Yes, ad-hoc % 60 No % Total sample Financial Services Professional Services Public Sector Telco/Utilities/Media Source: Coleman Parks Research Ltd.,

12 Fig. 5: Atteggiamenti dei settori verticali nei riguardi delle procedure per la governance documentale Companies Document Governance strategy/policy Base: Total Respondents Departments have their own approach Telco/Utilities/Media Public Sector Nothing in place or planned Planning a strategy for the future but it is not in place Professional Services Financial Services Total No formal strategy, just a series of guidelines The strategy is being developed and will be implemented soon The strategy is fully developed and implemented Source: Coleman Parks Research Ltd.,

13 6.0 Conclusioni Se la metà dei manager in Europa si dice preoccupata sui rischi per la riservatezza delle informazioni sia cartacee che digitali, questa ricerca mostra che non vengono poi attuate procedure adeguate per tutelare i documenti di natura riservata. I dati evidenziano che, nonostante i possibili rischi, le crescenti esigenze normative e le pressioni da parte dei clienti, solo il 48% degli intervistati ha attuato una strategia strutturata per la sicurezza documentale. Vi sono dunque molte opportunità di miglioramento in tutti i settori, anche in quelli maggiormente regolamentati. I motivi sono da ricercarsi molto probabilmente nella scarsa consapevolezza dei vantaggi derivanti da una governance documentale centralizzata. Attuando una strategia che assegni in modo chiaro la responsabilità dei flussi documentali, le aziende possono limitare i rischi e raggiungere allo stesso tempo obiettivi in termini di efficienza e di sostenibilità. È necessario considerare le risorse documentali come parte integrante della strategia aziendale complessiva per la sicurezza e gestirle come tutti gli altri asset. Dal punto di vista strategico, gli interventi nell ambito della sicurezza documentale consentono alle aziende di adeguarsi alle normative e aumentare la produttività dei dipendenti, grazie a un flusso di lavoro più razionalizzato. Inoltre, la sicurezza dei documenti permette alle aziende di differenziarsi dimostrando di perseguire un business etico e responsabile, operando con integrità e trasparenza. Questo contribuisce ad aumentare la fiducia dei clienti e il vantaggio competitivo. Forse, a questo punto, allo stesso modo in cui richiedono assoluta trasparenza e accountability da parte dei fornitori, le aziende potranno iniziare a comunicare all esterno i processi interni volti a garantire la sicurezza documentale, enfatizzando quindi un importante elemento di differenza agli occhi dei clienti. 13

14 7.0 L approccio di Ricoh nei riguardi della sicurezza Per supportare le esigenze delle aziende nell ambito della protezione dei dati, Ricoh ha fatto della sicurezza un elemento strategico in tutte le aree di business: dalla Ricerca & Sviluppo fino ai servizi post-vendita e di supporto, oltre che in tutti i processi interni. Ricoh prende in considerazione tutte le sfaccettature del concetto di sicurezza documentale per gestire la riservatezza, l integrità, la confidenzialità e la disponibilità delle informazioni. Ricoh è convinta che la sicurezza delle informazioni debba diventare una priorità importante per tutte le aziende. Questa priorità può derivare dall esigenza di rispettare le normative vigenti o da considerazioni di ordine commerciale. Indipendentemente dalle motivazioni, le esigenze delle organizzazioni europee possono essere soddisfatte grazie al portafoglio di soluzioni Ricoh per la sicurezza. Attuando adeguate misure, le aziende possono monitorare i sistemi per la riproduzione e la stampa e proteggersi dal rischio di divulgazione e perdita delle informazioni. Il portafoglio di soluzioni Ricoh offre molti strumenti di cui le organizzazioni possono avvalersi nell ambito dei sistemi di gestione della sicurezza delle informazioni: Tecnologie affidabili Tecnologie per la sicurezza dei documenti vengono integrate nell hardware e nel software. Nel 2002 Ricoh è stata la prima organizzazione a ricevere la certificazione di conformità alla norma ISO/IEC per una stampante digitale multifunzione. Da allora Ricoh ha continuato a progettare e a sviluppare dispositivi e tecnologie certificati. Anche l opzione DataOverwite Security è conforme alla norma ISO/IEC Definizione e attuazione delle procedure I consulenti Ricoh collaborano con i clienti per definire procedure formali per la stampa che soddisfino sia l esigenza di sicurezza che la necessità di flessibilità e di efficienza. Una volta definite le procedure, occorre sensibilizzare gli utenti sulla problematica e mostrare loro le modalità di utilizzo delle funzionalità. L applicazione delle procedure per la stampa può essere automatizzata, utilizzando varie soluzioni della gamma Ricoh. Limitazione dell accesso ai dispositivi Uno dei massimi rischi per la sicurezza deriva dal fatto che le persone in azienda godono di accesso illimitato alle aree di lavoro e ai dispositivi. Se non si attuano le opportune misure di sicurezza, i sistemi multifunzione possono essere utilizzati in modo improprio per la diffusione o la copia non autorizzata di informazioni sensibili. È possibile fare in modo che, per poter utilizzare le funzionalità di un multifunzione, un utente debba autenticarsi mediante badge o password. Inoltre, le funzionalità disponibili ai singoli utenti possono essere limitate, sulla base delle loro esigenze e dei ruoli aziendali; questo, ad esempio, per controllare le operazioni di scansione per l invio via fax e . 14

15 Una gestione sicura delle stampe I documenti stampati lasciati incustoditi sui vassoi dei dispositivi non sono solo un segno visibile di spreco, ma costituiscono anche un rischio per la sicurezza. I documenti di natura riservata possono essere mantenuti sulla memoria del dispositivo (oppure su un server) ed essere prodotti solo dopo che l utente si è autenticato direttamente sul pannello del dispositivo mediante per esempio un codice pin o un badge. I documenti che non vengono stampanti possono essere eliminati in modo automatico dopo un periodo di tempo predeterminato. È anche possibile proteggere i dati che viaggiano verso la stampante mediante crittografia. Inoltre, un processo di sovrascrittura dei dati può eliminare automaticamente tutti i dati memorizzati temporaneamente sul disco fisso dei dispositivi multifunzione. L importanza dell audit I report degli audit interni sono uno strumento fondamentale per qualunque responsabile della sicurezza e rappresentano una soluzione per evitare gli abusi. Informazioni sugli utenti che hanno eseguito scansioni, fax e stampe possono servire a identificare eventuali comportamenti non conformi alle policy e a eliminare le minacce alla sicurezza. L approccio interno di Ricoh nei riguardi della sicurezza delle informazioni Ricoh adotta un approccio strutturato e globale per garantire la sicurezza delle informazioni. Ha ottenuto la conformità alla norma ISO27001 in tutti i suoi stabilimenti nel mondo già nel 2004, un risultato senza paragoni fra le aziende del settore della gestione documentale. Operando nell ambito dell outsourcing e dei Managed Print Services, per Ricoh è importante ottenere la piena fiducia dei propri clienti e la conformità alla norma ISO rappresenta un importante punto di forza in questo senso. Link utili Per informazioni: Luca Tomelleri Communication Manager Tel l.tomelleri@ricoh.it 15

16 Informazioni su Ricoh Ricoh Company, Ltd ( Ricoh Company ) è leader tecnologico mondiale per la stampa office e production printing. Lavora con primarie aziende in tutto il mondo per rinnovare gli ambienti di lavoro ed ottimizzare l efficienza documentale. Con un organico globale di oltre persone, è attiva in Europa, in America, nell Asia-Pacifica, in Cina e in Giappone. La struttura Ricoh Global Services offre supporto strategico alle filiali Ricoh in tutto il mondo. Grazie a una rete di vendita diretta e di assistenza senza eguali nel mercato, Ricoh Global Services offre elevato valore aggiunto alle aziende multinazionali, con soluzioni end to-end fornite in modo omogeneo anche in Paesi diversi. I Clienti Ricoh possono quindi contare su un partner unico per tutte le esigenze a livello mondiale. Ricoh Europe Holdings Plc è una società per azioni e il quartier generale Ricoh per l area EMEA - con sedi a Londra (Regno Unito) e ad Amstelveen (Paesi Bassi) - cui fanno capo oltre 35 filiali e consociate di vendita. Nell anno fiscale conclusosi il 31 marzo 2009 il fatturato Ricoh nell area EMEA ha superato i 523,4 miliardi di yen, pari al 25% del totale mondiale. Il fatturato consolidato del Gruppo è stato di oltre 2.091,7 miliardi di yen. 16