53
controlli interni, l’organizzazione…) e l’adozione di
un modello (framework) unificato di enterprise risk
management.
Ottimizzare le risorse
La gestione unitaria del rischio informatico, tenen-
do conto tanto dei rischi che hanno origine nella
tecnologia (per esempio violazione o furto d’infor-
mazioni, perdita e indisponibilità di dati, frodi infor-
matiche…) quanto di quelli che, avendo origine nei
processi operativi, si trasmettono ai sistemi infor-
matici in virtù della loro automazione (per esempio
il rischio di non conformità delle applicazioni alla
normativa o alle procedure in vigore), nonché delle
conseguenze di natura reputazionale che da que-
sti rischi possono derivare, consente di migliorare
l’e‘cacia del processo di governo del rischio e di
abbatterne, al contempo, i costi complessivi grazie a
un utilizzo più e‘ciente di tutte le risorse coinvolte.
Il progetto di ricerca su Rischi informatici e Sicurez-
za, condotto da CeTIF in collaborazione con istitu-
zioni finanziarie, aziende tecnologiche e di servizi,
ha arontato questi temi sviluppandoli lungo le
direttrici
strategica
, con la definizione di principi e
linee guida per il governo del rischio informatico;
organizzativa
, con la definizione della struttura or-
ganizzativa (gerarchica e funzionale), attribuzione
di ruoli e responsabilità, classificazione e mappa-
tura dei processi operativi aziendali e delle risorse,
definizione dei processi per il governo del rischio e
la gestione della sicurezza informatica e
infrastrut-
turale
, conl’identificazione e adozione di tecnologie
abilitanti e soluzioni per il governo del rischio e la
gestione della sicurezza informatica.
Tali direttrici, o dimensioni funzionali, sono state
quindi incrociate con le fasi di un processo ideale
di risk management rappresentate da prevenzione
(le attività poste in essere ex ante, con l’obiettivo
di prevenire il rischio informatico),
individuazione (le attività orientate
alla tempestiva individuazione degli
eventi rischiosi, nel momento in cui
questi si manifestano), contrasto (le
attività orientate a contrastare gli
eventi rischiosi, nel momento in cui
questi si manifestano) e mitigazione
(le attività poste in essere ex post
per il contenimento o la riduzione
dei danni provocati dagli eventi ri-
schiosi, una volta che questi si sono
manifestati).
Un modello integrato
In questo modo si è arrivati alla de-
finizione di un modello organizzativo (framework)
integrato, basato su un macro processo di governo
del rischio informatico trasversale rispetto all’orga-
nizzazione aziendale. Proprio questa caratteristica
di trasversalità del macro-processo rispetto alle
funzioni/unità organizzative coinvolte, ben chiarisce
il significato che si vuole attribuire, in questo con-
testo, al termine integrato: “in relazione all’obietti-
vo di governo del rischio informatico, il processo
rappresentato costituisce l’elemento di integrazio-
ne (o ‘collante’) delle funzioni/unità organizzative
aziendali che, a diverso titolo e con diversi gradi di
responsabilità, contribuiscono al raggiungimento
di tale obiettivo”.
Si tratta di un’operazione fondamentale, che ha lo
scopo di identificare e descrivere, in chiave orga-
nizzativa e tecnologica, i punti d’intersezione tra le
dimensioni funzionali e le diverse fasi del proces-
so. Tuttavia tale operazione rappresenta una con-
dizione necessaria, ma non ancora su‘ciente. Lo
sviluppo di una visione unitaria richiede un elevato
grado di convergenza tra le diverse funzioni e uni-
tà organizzative che, a diverso titolo e con gradi
diversi di responsabilità, presidiano i rischi diretti
(cioè quelli impliciti nella tecnologia), tipicamente
appartenenti all’area della sicurezza informatica (o
sicurezza logica) e i rischi indiretti (cioè quelli che
hanno origine nell’operatività aziendale), tipica-
mente appartenenti ad altre aree aziendali (unità
di business, operational risk management, internal
audit, compliance, organizzazione, sicurezza fisica…).
Quando parliamo di convergenza non intendiamo
necessariamente la costituzione di una nuova o di-
versa funzione/unità organizzativa ‘di tipo mono-
litico’, che racchiuda in sé tutte o gran parte delle
competenze e capacità necessarie a gestire le due
tipologie di rischio in questione. Ci si riferisce piut-
tosto a un approccio orientato all’identificazione
febbraio 2013
Risk Governance Maturity Model - Fonte CeTIF
1...,45,46,47,48,49,50,51,52,53,54 56,57,58,59,60,61,62,63,64,65,...100