PER ULTERIORI INFORMAZIONI CONTATTARE:

Emanuela Lombardo Francesco Petrella – Nadia Lauria

Symantec Italia Pleon
02/241151 02/205621
emanuela_lombardo@symantec.com francesco.petrella@pleon.com, nadia.lauria@pleon.com

Il continuo miglioramento delle procedure GRC (Governace, Risk e Compliance) in

ambito IT garantisce vantaggi di business: è quanto emerge dall'ultima ricerca di IT
Policy Compliance Group

Procedure più mature per la gestione dell'IT portano a migliori risultati di business e minori rischi finanziari

Cupertino, Calif. – 19 maggio 2008 - IT Policy Compliance Group ha annunciato l’edizione 2008 della ricerca annuale
dal titolo "IT Governance, Risk and Compliance - Improving business results and mitigating financial risk" che illustra
come sia possibile ottimizzare i risultati di business e limitare il rischio finanziario ricorrendo alle pratiche GRC in
ambito IT. L'approccio IT Governance, Risk and Compliance (IT GRC) riguarda, infatti, la capacità di raggiungere un
equilibrio ideale fra rischi e benefici di business. È emerso come il livello di maturità e di capacità delle procedure IT
GRC influenzi in maniera diretta l'andamento economico delle aziende.

Dallo studio realizzato da IT Policy Compliance Group è risultato, inoltre, come il modo ottimale per aumentare i
risultati di business e ridurre il rischio finanziario, le perdite e le spese, sia quello di incrementare o ottimizzare le
competenze, le metodologie e le capacità atte a gestire l'uso e la fruizione delle risorse IT. Il report, che riporta il
feedback di oltre 2.600 imprese globali, misura l'impatto che i miglioramenti in termini di protezione dati, conformità
normativa e resilienza del livello di servizio IT producono sui risultati di business, fra cui: soddisfazione e
fidelizzazione della clientela, fatturato, spese e profitti.

I dati emersi dal sondaggio indicano chiaramente che le aziende con risultati IT GRC migliori riescono a raggiungere
performance migliori rispetto alle altre imprese in termini di soddisfazione e fidelizzazione della clientela, aumento di
fatturato e profitti. Come confermato dai risultati, le principali funzioni organizzative che fanno davvero la differenza
nel miglioramento del livello di maturità dell'IT GRC includono senior management, manager e direttori in ambito IT,
ufficio legale e comitato incaricato delle verifiche.

Risultati di business ottenuti dalle aziende con le procedure più mature:

• 17% in più di fatturato

• 14% in più di utili
• 18% in più di livello di soddisfazione della clientela
• 17% in più di livello di fidelizzazione della clientela
 • 96% in meno di perdite finanziarie derivanti dallo smarrimento o dal furto di dati della clientela
• 50 volte in meno di probabilità di perdita o furto delle informazioni dei clienti
• 50% in meno di spese annue dedicate alla conformità normativa

Principali suggerimenti

• Uso di Balanced Scorecard per migliorare il valore ricavato dall'IT

• Formare il comitato di governance con esponenti senior delle aree business, finanza, legale, IT, normative e
comitato di verifica
• Gestire i miglioramenti in termini di risultati di business con un programma di qualità continuativo e
misurabile che abbracci tutto l'IT
• Prediligere misurazioni e reporting mensili per promuovere i miglioramenti
• Aumentare e automatizzare i controlli tecnologici per mitigare ed evitare il rischio finanziario, i danni di
immagine e le problematiche di business
• Ottimizzare le competenze e automatizzare le attività nell'ambito della gestione del rischio, della verifica e
della garanzia IT
• Segmentare e limitare l'accesso ai dati sensibili, laddove possibile, per ridurre l'esposizione e i costi
• Gestire il change management e la prevenzione di cambiamenti non autorizzati per evitare rischi finanziari
maggiori e inefficienze economiche
• Misurare ininterrottamente l'efficacia dei controlli per garantire il mantenimento di un giusto equilibrio fra
rischi e benefici.

Unitamente al presente report, IT Policy Compliance Group ha utilizzato i dati dei più importanti benchmark raccolti nel
corso degli ultimi due anni per creare un GRC Capability Maturity Model: si tratta di uno strumento che le aziende
possono utilizzare per valutare i livelli di maturità e le pratiche, le competenze e le capacità specifiche di ogni singolo
livello di maturità.

Citazioni

· "Le pratiche IT GRC includono la gestione dell'IT, incluse le attività top-line e bottom-line correlate", ha commentato
Jim Hurley, Managing Director di IT Policy Compliance Group e Principal Research Manager di Symantec. "L'ultima
ricerca di IT Policy Compliance Group, focalizzata sui risultati di business, offre una base di riferimento concreta per
valutare il livello di maturità delle procedure correnti, i risultati di business inerenti le procedure esistenti e la capacità
di identificare in maniera affidabile le procedure e le capacità in grado di erogare il massimo valore possibile".

· "Fondamentalmente l'IT GRC si pone due obiettivi: conferire valore al business e mitigare i rischi di business associati
all'IT", ha evidenziato Everett Johnson, CPA, Presidente uscente di ISACA e di IT Governance Institute. "Le imprese di
successo raggiungono questi obiettivi attraverso l'allineamento delle strategie di business e di quelle IT, oltre che
integrando il valore della responsabilità per un IT efficace all'interno dell'organizzazione, a iniziare dai vertici".

“Questi risultati rafforzano la convinzione che la sicurezza e la tutela delle informazioni costituiscono aspetti di
business critici, la cui gestione ottimale è possibile solo se vengono implementati e ben gestiti i programmi di IT
compliance”, ha spiegato Rocco Grillo, Managing Director della IT Security Practice di Protiviti. “Quanto emerso dallo
studio supporta in maniera empirica la nostra visione del mercato, quella secondo la quale proteggere i dati sensibili sta
diventando una delle maggiori priorità nel segmento dell'IT compliance. Senza dubbio questa consapevolezza deriva da
costosi episodi di falle nella sicurezza e successivi adeguamenti dei sistemi, oltre alla normativa PCI e altri requisiti di
conformità”.

“Questo studio è perfettamente in linea con quanto la IIA ha compreso essere una realtà: le aziende mature stanno
adottando nelle loro attività di verifica un approccio top-down basato sul rischio che consente loro di essere più
efficienti ed efficaci in termini di pratiche di gestione del rischio e della conformità”, ha sottolineato Heriot Prentice,
Direttore IIA Standards and Guidance, MIIA, FIIA, QiCA. “Le imprese cosiddette ‘best in class’ si impegnano al
massimo per agire efficacemente da subito; investire adeguatamente sui controlli interni efficaci è poi senz'altro un'altra
pratica che aiuta a proteggere i dati, ridurre il rischio finanziario e aumentare la redditività”.

Link pertinenti

Per avere maggiori informazioni sull'IT GRC è possibile visitare i seguenti link:
• IT Policy Compliance Group Research Center
• IT GRC Maturity Model Assessment Tool
• ITPCG Blog
• Wikipedia: GRC

La Ricerca
Gli argomenti oggetto di studio da parte dell’IT Policy Compliance Group rientrano in un calendario di tematiche di
ricerca proposte dai membri sponsor, membri del consultivo, e dai soci generali oltre che a seguito dei risultati ottenuti
dai report recenti. I benchmark più aggiornati inclusi nello studio, sono stati condotti tra i mesi di dicembre 2007 e
marzo 2008 con 558 organizzazioni qualificate. I risultati più rilevanti, relativi alle domande provenienti dai benchmark
di 2,608 aziende, preventivamente condotti tra i mesi di giugno 2007 e marzo 2008, sono stati inclusi nello studio, ma
solo quando il margine di errore non si discostava in modo significativo dalla ricerca. La maggioranza delle
organizzazioni (90%) che ha partecipato ai benchmark ha sede negli Stati Uniti, il restante 10%è suddiviso tra gli altri
Paesi: Africa, Asia Pacifica, Europa, Medio Oriente e Sud America.

IT Policy Compliance Group

L’IT Policy Compliance Group è dedicato all’informazione e alla promozione mirata a far progredire il grado di
conformità IT delle aziende. L’IT Policy Compliance Group intende assistere le organizzazioni membro nel migliorare i
processi di business, di governance e la loro conformità IT, conducendo indagini comparative basate su fatti concreti. I
componenti provengono da diverse realtà leader, tra cui: Computer Security, The Institute of Internal Auditors, Protiviti,
ISACA, IT Governance Institute e Symantec Corporation (NASDAQ: SYMC). Per ulteriori informazioni:
www.ITPolicyCompliance.com .

A proposito di Symantec
Symantec è il leader globale nella creazione di soluzioni studiate per la sicurezza, la disponibilità e l’integrità delle
informazioni di consumatori e imprese. L’azienda aiuta i propri clienti a proteggere le loro infrastrutture, informazioni e
relazioni fornendo software e servizi per fronteggiare i rischi connessi alla sicurezza, accesso, compliance a prestazioni.
Con sede a Cupertino, in California, Symantec è presente in oltre 40 paesi. Per ulteriori informazioni, consultare il sito
web all’indirizzo www.symantec.com o www.symantec.it

###
NOTE PER GLI EDITORI: Per maggiori informazioni riguardo Symantec Corporation e i suoi prodotti è possibile
visitare la Symantec News Room all'indirizzo http://www.symantec.com/news.

Symantec e il logo Symantec sono marchi o marchi registrati di Symantec Corporation o di sue consociate negli Stati
Uniti e in altri Paesi. Gli altri nomi citati possono essere marchi appartenenti ai rispettivi proprietari.