All Around Work
Sicurezza
 

17/04/2013

Share    

Dalla sicurezza informatica all’enterprise risk governance

La gestione dei rischi connessi con l’utilizzo della tecnologia passa attraverso diversi stadi evolutivi che tendono verso un modello organizzativo integrato

 

Tradizionalmente incluso nel novero dei rischi operativi, il rischio informatico può essere definito in termini molto generali come ‘il rischio di danni economici e di reputazione derivanti dall’uso della tecnologia, intendendosi con ciò tanto il rischio implicito nella tecnologia (rischi diretti) quanto il rischio che deriva dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (rischi indiretti). Per questo risulta fondamentale affrontare il tema del rischio informatico in un’ottica unitaria che tenga conto delle sue conseguenze dirette, della sua duplice natura - endogena ed esogena - e inquadrandolo nell’ambito più generale del rischio d’impresa.
La gestione dei rischi connessi con l’utilizzo della tecnologia (ICT) passa attraverso diversi stadi evolutivi che, nel loro insieme, definiscono un maturity model.
Nel passaggio dal primo stadio, che si può definire System Security Governance, al secondo stadio, che chiamiamo Information Security Governance, oltre alle problematiche di protezione delle risorse usate per acquisire, memorizzare, elaborare e comunicare le informazioni, assumono rilevanza quelle relative all’integrità, diponibilità e riservatezza dell’informazione. Pur avendo ancora un forte connotato operativo, il secondo stadio si caratterizza per un maggior livello di integrazione dell’unità organizzativa preposta alla gestione della sicurezza informatica con altre componenti dell’organizzazione quali, per esempio, la sicurezza fisica e le unità di business.
Il passaggio dal secondo al terzo stadio (Information Risk Governance) è invece caratterizzato dalla necessità di sviluppare una visione unitaria del rischio informatico, prendendo in considerazione sia i rischi di natura diretta sia quelli di natura indiretta, attraverso un processo di convergenza tra le unità organizzative che, a diverso titolo, e con diversi gradi di responsabilità, presidiano queste specifiche tipologie di rischio. Inoltre il cambiamento di focus della gestione da ‘sicurezza’ a ‘rischio’, oltre a conferire all’attività una maggiore valenza strategica, implica lo sviluppo di capacità di misurazione (risk assessment) e gestione (risk management) del rischio coerenti con le metodologie e gli approcci utilizzati nell’ambito dell’impresa o, in alternativa, un maggior grado di interazione con le altre unità organizzative preposte alla gestione dei rischi.
Il passaggio, infine, all’ultimo stadio (enterprise risk governance), caratterizzato da una visione integrata dei rischi d’impresa e, come tale, di portata strategica elevata, oltre alla convergenza tra le diverse unità preposte alla gestione del rischio informatico propria del livello precedente richiede lo sviluppo di forti interrelazioni, in un’ottica di integrazione organizzativa, tra tutte le entità che si occupano di temi legati al presidio del rischio (gli organi di governo, le funzioni appartenenti al sistema dei controlli interni, l’organizzazione…) e l’adozione di un modello (framework) unificato di enterprise risk management.

 

 

Ottimizzare le risorse


La gestione unitaria del rischio informatico, tenendo conto tanto dei rischi che hanno origine nella tecnologia (per esempio violazione o furto d’informazioni, perdita e indisponibilità di dati, frodi informatiche…) quanto di quelli che, avendo origine nei processi operativi, si trasmettono ai sistemi informatici in virtù della loro automazione (per esempio il rischio di non conformità delle applicazioni alla normativa o alle procedure in vigore), nonché delle conseguenze di natura reputazionale che da questi rischi possono derivare, consente di migliorare l’efficacia del processo di governo del rischio e di abbatterne, al contempo, i costi complessivi grazie a un utilizzo più efficiente di tutte le risorse coinvolte.
Il progetto di ricerca su Rischi informatici e Sicurezza, condotto da CeTIF in collaborazione con istituzioni finanziarie, aziende tecnologiche e di servizi, ha affrontato questi temi sviluppandoli lungo le direttrici strategica, con la definizione di principi e linee guida per il governo del rischio informatico; organizzativa, con la definizione della struttura organizzativa (gerarchica e funzionale), attribuzione di ruoli e responsabilità, classificazione e mappatura dei processi operativi aziendali e delle risorse, definizione dei processi per il governo del rischio e la gestione della sicurezza informatica e infrastrutturale, conl’identificazione e adozione di tecnologie abilitanti e soluzioni per il governo del rischio e la gestione della sicurezza informatica.
Tali direttrici, o dimensioni funzionali, sono state quindi incrociate con le fasi di un processo ideale di risk management rappresentate da prevenzione (le attività poste in essere ex ante, con l’obiettivo di prevenire il rischio informatico), individuazione (le attività orientate alla tempestiva individuazione degli eventi rischiosi, nel momento in cui questi si manifestano), contrasto (le attività orientate a contrastare gli eventi rischiosi, nel momento in cui questi si manifestano) e mitigazione (le attività poste in essere ex post per il contenimento o la riduzione dei danni provocati dagli eventi rischiosi, una volta che questi si sono manifestati).

 

 

Un modello integrato


In questo modo si è arrivati alla definizione di un modello organizzativo (framework) integrato, basato su un macro processo di governo del rischio informatico trasversale rispetto all’organizzazione aziendale. Proprio questa caratteristica di trasversalità del macro-processo rispetto alle funzioni/unità organizzative coinvolte, ben chiarisce il significato che si vuole attribuire, in questo contesto, al termine integrato: “in relazione all’obiettivo di governo del rischio informatico, il processo rappresentato costituisce l’elemento di integrazione (o ‘collante’) delle funzioni/unità organizzative aziendali che, a diverso titolo e con diversi gradi di responsabilità, contribuiscono al raggiungimento di tale obiettivo”.
Si tratta di un’operazione fondamentale, che ha lo scopo di identificare e descrivere, in chiave organizzativa e tecnologica, i punti d’intersezione tra le dimensioni funzionali e le diverse fasi del processo. Tuttavia tale operazione rappresenta una condizione necessaria, ma non ancora sufficiente. Lo sviluppo di una visione unitaria richiede un elevato grado di convergenza tra le diverse funzioni e unità organizzative che, a diverso titolo e con gradi diversi di responsabilità, presidiano i rischi diretti (cioè quelli impliciti nella tecnologia), tipicamente appartenenti all’area della sicurezza informatica (o sicurezza logica) e i rischi indiretti (cioè quelli che hanno origine nell’operatività aziendale), tipicamente appartenenti ad altre aree aziendali (unità di business, operational risk management, internal audit, compliance, organizzazione, sicurezza fisica…).
Quando parliamo di convergenza non intendiamo necessariamente la costituzione di una nuova o diversa funzione/unità organizzativa ‘di tipo monolitico’, che racchiuda in sé tutte o gran parte delle competenze e capacità necessarie a gestire le due tipologie di rischio in questione. Ci si riferisce piuttosto a un approccio orientato all’identificazione dei rischi informatici (diretti e indiretti) e delle interdipendenze tra questi, le unità di business, i processi operativi aziendali e conseguente sviluppo di processi gestionali e soluzioni che consentano di affrontare tali rischi e le relative interdipendenze.

 

 

Le chiavi del successo


Il successo di un’organizzazione nell’implementazione delle proprie strategie si basa, tipicamente, sull’utilizzo di una serie di leve di tipo operativo, generalmente riconducibili a tre diverse categorie:

 

STRATEGIA
• Risk management: valutazione dei rischi ai quali risulta esposta l’impresa e del loro impatto sul business, conseguente determinazione delle strategie da porre in essere per garantirne l’operatività con livelli di rischio accettabili.
• Governance: definizione della struttura di relazioni e processi atta a stabilire i necessari livelli di autorità e responsabilità.

 

PROCESSI
• Definizione del budget: processo di pianificazione finanziaria preventiva (entrate e uscite).
• Definizione di standard e linee guida: documentazione delle modalità per l’implementazione dei processi operativi aziendali.
• Integrazione: fusione o interrelazione di funzioni e processi appartenenti a componenti diverse dell’impresa.
• Sviluppo di business case: analisi strutturata della situazione corrente dell’impresa in relazione a una determinata problematica e descrizione delle azioni da porre in essere per affrontarla con successo.

 

RISORSE UMANE
• Ruoli e responsabilità: documentazione formale delle responsabilità assegnate a ogni ruolo nell’ambito dell’organizzazione.
• Leadership: autorità di dirigere o indirizzare le attività dell’impresa.
• Convergenza del business: comprensione di strategia, obiettivi e assetto organizzativo dell’impresa in relazione al mercato.

Sulla base di tale approccio le istituzioni finanziarie, così come tutte le aziende in generale, adottano tecnologie abilitanti al perseguimento degli obiettivi di presidio del rischio informatico e di governo della sicurezza. Tali tecnologie sono state raggruppate in classi omogenee per finalità e funzionalità e quindi ulteriormente suddivise sulla base dei processi supportati e degli ambiti di utilizzo in banca: soluzioni tecnologiche a supporto dei processi di governo della sicurezza, soluzioni tecnologiche di sicurezza logica, soluzioni tecnologiche di sicurezza fisica.

 

* Gruppo di ricerca CeTIF


CeTIF (Centro di Ricerca in Tecnologie, Innovazione e Servizi Finanziari dell’Università Cattolica del Sacro Cuore di Milano), dal 1990 si occupa di definire, sviluppare e promuovere progetti di ricerca sulle variabili e sulle dinamiche di cambiamento strategico e organizzativo nei settori finanziario, bancario e assicurativo.
www.cetif.it - cetif@unicatt.it


Soluzioni tecnologiche a supporto dei processi di governo della sicurezza

Per presidiare il rischio informatico e, più in generale mettere in pratica un approccio integrato di governo della sicurezza, le istituzioni finanziarie adottano specifiche soluzioni tecnologiche che, generalmente, trovano applicazione in un insieme di attività finalizzate all’indirizzo strategico, alla produzione della normativa e degli standard tecnologici di sicurezza (Pianificazione e Indirizzo della sicurezza informatica). Questo tipo di soluzioni tecnologiche supportano la valutazione del grado di vulnerabilità dei sistemi aziendali e la conseguente pianificazione, comprensiva della gestione del budget e degli interventi progettuali da avviare per l’abbattimento del livello di rischio informatico complessivo. La tecnologia deve essere in grado di raccogliere e gestire le diverse tipologie di richieste, rendendole confrontabili e consentendone una prioritizzazione rispetto ai criteri di scelta e regole stabilite dalla banca.
Per questo motivo è importante che la richiesta possa essere mappata in modo univoco, attraverso l’inserimento in un unico sistema che possa tracciare l’intera gamma di proposte e richieste di progetti (tattici, strategici, di compliance) e richiamarne le caratteristiche utili a supportare le valutazioni ad essi relative (ad esempio l’identificazione e classificazione degli asset, l’identificazione e valutazione delle minacce e vulnerabilità, la valutazione degli impatti e l’identificazione del profilo di rischio informatico, l’analisi delle proposte progettuali delle varie unità organizzative, la definizione del portafoglio interventi, l’allocazione del budget).
A supporto della gestione dei progetti di sicurezza vengono invece adottate soluzioni tecnologiche ed organizzative in grado di supportare (progettazione e implementazione delle misure di sicurezza informatica) la gestione complessiva, l’insieme dei progetti di sicurezza in essere (iniziative nuove e in fase di realizzazione) in tempo reale, aggiornando risorse, budget, costi, benefici sia in forma aggregata (intero portafoglio), sia in dettaglio. Un’importante caratteristica delle tecnologie in oggetto è quella di poter offrire analisi e simulazioni di scenario in una prospettiva previsionale rispetto a criteri liberamente gestiti dall’utente. Questo per garantire non soltanto migliori strumenti informativi su cui basare le proprie valutazioni, ma anche validi elementi per gestire i rischi, migliorare la qualità deli output prodotti, e governare i costi.
Attraverso il monitoraggio e il controllo della sicurezza informatica le soluzioni tecnologiche verificano l’efficacia e l’adeguatezza nel tempo delle misure di sicurezza realizzate (ad esempio analisi dei log, vulnerability assessment…) verificando la conformità delle tecnologie e delle modalità operative all’impianto e agli standard di sicurezza adottati.
Infine non possiamo non citare le soluzioni tecnologiche che rendono possibile la collaborazione, comunicazione e formazione, nonostante la loro applicazione risulti trasversale all’organizzazione. In particolare esse risultano di particolare importanza per l’innalzamento del livello complessivo di consapevolezza e preparazione delle risorse umane sulle tematiche di sicurezza informatica.
La diffusione nel continuo di un’adeguata cultura aziendale della sicurezza è un’attività fondamentale per la messa in atto di qualsiasi pratica di governo e gestione del rischio informatico.
Parallelamente, è necessario creare e supportare nel continuo un’adeguata cultura operativa, attraverso la quale le risorse possano evitare comportamenti potenzialmente pericolosi e, talvolta, dannosi. A tutto ciò bisogna aggiungere che i processi di governo del rischio informatico prevedono lo scambio strutturato e formalizzato di flussi informativi con le altre unità organizzative coinvolte.

 

 

TORNA INDIETRO >>