52
Tradizionalmente incluso nel novero dei rischi ope-
rativi, il rischio informatico può essere definito in
termini molto generali come ‘il rischio di danni eco-
nomici e di reputazione derivanti dall’uso della tec-
nologia, intendendosi con ciò tanto il rischio impli-
cito nella tecnologia (rischi diretti) quanto il rischio
che deriva dall’automazione, attraverso l’uso della
tecnologia, di processi operativi aziendali (rischi in-
diretti). Per questo risulta fondamentale arontare
il tema del rischio informatico in un’ottica unitaria
che tenga conto delle sue conseguenze dirette,
della sua duplice natura - endogena ed esogena
- e inquadrandolo nell’ambito più generale del ri-
schio d’impresa.
La gestione dei rischi connessi con l’utilizzo del-
la tecnologia (ICT) passa attraverso diversi stadi
evolutivi che, nel loro insieme, definiscono un ma-
turity model.
Nel passaggio dal primo stadio, che si può definire
System Security Governance, al secondo stadio, che
chiamiamo Information Security Governance, oltre
alle problematiche di protezione delle risorse usate
per acquisire, memorizzare, elaborare e comunicare
le informazioni, assumono rilevanza quelle relative
all’integrità, diponibilità e riservatezza dell’informa-
zione. Pur avendo ancora un forte connotato ope-
rativo, il secondo stadio si caratterizza per un mag-
gior livello di integrazione dell’unità organizzativa
preposta alla gestione della sicurezza informatica
con altre componenti dell’organizzazione quali, per
esempio, la sicurezza fisica e le unità di business.
Il passaggio dal secondo al terzo stadio (Informa-
tion Risk Governance) è invece caratterizzato dalla
necessità di sviluppare una visione unitaria del ri-
schio informatico, prendendo in considerazione sia
i rischi di natura diretta sia quelli di natura indiretta,
attraverso un processo di convergenza tra le uni-
tà organizzative che, a diverso titolo, e con diversi
gradi di responsabilità, presidiano queste specifi-
che tipologie di rischio. Inoltre il cambiamento di
focus della gestione da ‘sicurezza’ a ‘rischio’, oltre
a conferire all’attività una maggiore valenza strate-
gica, implica lo sviluppo di capacità di misurazione
(risk assessment) e gestione (risk management) del
rischio coerenti con le metodologie e gli approcci
utilizzati nell’ambito dell’impresa o, in alternativa,
un maggior grado di interazione con le altre uni-
tà organizzative preposte alla gestione dei rischi.
Il passaggio, infine, all’ultimo stadio (enterprise risk
governance), caratterizzato da una visione integrata
dei rischi d’impresa e, come tale, di portata strate-
gica elevata, oltre alla convergenza tra le diverse
unità preposte alla gestione del rischio informatico
propria del livello precedente richiede lo sviluppo
di forti interrelazioni, in un’ottica di integrazione
organizzativa, tra tutte le entità che si occupano
di temi legati al presidio del rischio (gli organi di
governo, le funzioni appartenenti al sistema dei
Dalla sicurezza
informatica
all’enterprise
risk governance
La gestione dei rischi connessi con l’utilizzo
della tecnologia passa attraverso diversi stadi evolutivi
che tendono verso un modello organizzativo integrato.
Paolo Gatelli, Serena Piccirillo*
SPECIALE SICUREZZA
febbraio 2013
Foto: © alphaspirit - Fotolia.com
1...,44,45,46,47,48,49,50,51,52,53 55,56,57,58,59,60,61,62,63,64,...100