officeautomation-febbraio2013

SPECIALE SICUREZZA

Dalla sicurezza informatica all’enterprise risk governance La gestione dei rischi connessi con l’utilizzo

della tecnologia passa attraverso diversi stadi evolutivi che tendono verso un modello organizzativo integrato.

Paolo Gatelli, Serena Piccirillo*

Foto: © alphaspirit - Fotolia.com

con altre componenti dell’organizzazione quali, per esempio, la sicurezza fisica e le unità di business. Il passaggio dal secondo al terzo stadio (Informa- tion Risk Governance) è invece caratterizzato dalla necessità di sviluppare una visione unitaria del ri- schio informatico, prendendo in considerazione sia i rischi di natura diretta sia quelli di natura indiretta, attraverso un processo di convergenza tra le uni- tà organizzative che, a diverso titolo, e con diversi gradi di responsabilità, presidiano queste specifi- che tipologie di rischio. Inoltre il cambiamento di focus della gestione da ‘sicurezza’ a ‘rischio’, oltre a conferire all’attività una maggiore valenza strate- gica, implica lo sviluppo di capacità di misurazione (risk assessment) e gestione (risk management) del rischio coerenti con le metodologie e gli approcci utilizzati nell’ambito dell’impresa o, in alternativa, un maggior grado di interazione con le altre uni- tà organizzative preposte alla gestione dei rischi. Il passaggio, infine, all’ultimo stadio (enterprise risk governance), caratterizzato da una visione integrata dei rischi d’impresa e, come tale, di portata strate- gica elevata, oltre alla convergenza tra le diverse unità preposte alla gestione del rischio informatico propria del livello precedente richiede lo sviluppo di forti interrelazioni, in un’ottica di integrazione organizzativa, tra tutte le entità che si occupano di temi legati al presidio del rischio (gli organi di governo, le funzioni appartenenti al sistema dei

Tradizionalmente incluso nel novero dei rischi ope- rativi, il rischio informatico può essere definito in termini molto generali come ‘il rischio di danni eco- nomici e di reputazione derivanti dall’uso della tec- nologia, intendendosi con ciò tanto il rischio impli- cito nella tecnologia (rischi diretti) quanto il rischio che deriva dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (rischi in- diretti). Per questo risulta fondamentale arontare il tema del rischio informatico in un’ottica unitaria che tenga conto delle sue conseguenze dirette, della sua duplice natura - endogena ed esogena - e inquadrandolo nell’ambito più generale del ri- schio d’impresa. La gestione dei rischi connessi con l’utilizzo del- la tecnologia (ICT) passa attraverso diversi stadi evolutivi che, nel loro insieme, definiscono un ma- turity model. Nel passaggio dal primo stadio, che si può definire System Security Governance, al secondo stadio, che chiamiamo Information Security Governance, oltre alle problematiche di protezione delle risorse usate per acquisire, memorizzare, elaborare e comunicare le informazioni, assumono rilevanza quelle relative all’integrità, diponibilità e riservatezza dell’informa- zione. Pur avendo ancora un forte connotato ope- rativo, il secondo stadio si caratterizza per un mag- gior livello di integrazione dell’unità organizzativa preposta alla gestione della sicurezza informatica

52

febbraio 2013