officeautomation-febbraio2013

First page Previous page 55 Next page Last page

di prevenire il rischio informatico), individuazione (le attività orientate alla tempestiva individuazione degli eventi rischiosi, nel momento in cui questi si manifestano), contrasto (le attività orientate a contrastare gli eventi rischiosi, nel momento in cui questi si manifestano) e mitigazione (le attività poste in essere ex post per il contenimento o la riduzione dei danni provocati dagli eventi ri- schiosi, una volta che questi si sono manifestati). Un modello integrato In questo modo si è arrivati alla de-

Risk Governance Maturity Model - Fonte CeTIF

finizione di un modello organizzativo (framework) integrato, basato su un macro processo di governo del rischio informatico trasversale rispetto all’orga- nizzazione aziendale. Proprio questa caratteristica di trasversalità del macro-processo rispetto alle funzioni/unità organizzative coinvolte, ben chiarisce il significato che si vuole attribuire, in questo con- testo, al termine integrato: “in relazione all’obietti- vo di governo del rischio informatico, il processo rappresentato costituisce l’elemento di integrazio- ne (o ‘collante’) delle funzioni/unità organizzative aziendali che, a diverso titolo e con diversi gradi di responsabilità, contribuiscono al raggiungimento di tale obiettivo”. Si tratta di un’operazione fondamentale, che ha lo scopo di identificare e descrivere, in chiave orga- nizzativa e tecnologica, i punti d’intersezione tra le dimensioni funzionali e le diverse fasi del proces- so. Tuttavia tale operazione rappresenta una con- dizione necessaria, ma non ancora su‘ciente. Lo sviluppo di una visione unitaria richiede un elevato grado di convergenza tra le diverse funzioni e uni- tà organizzative che, a diverso titolo e con gradi diversi di responsabilità, presidiano i rischi diretti (cioè quelli impliciti nella tecnologia), tipicamente appartenenti all’area della sicurezza informatica (o sicurezza logica) e i rischi indiretti (cioè quelli che hanno origine nell’operatività aziendale), tipica- mente appartenenti ad altre aree aziendali (unità di business, operational risk management, internal audit, compliance, organizzazione, sicurezza fisica…). Quando parliamo di convergenza non intendiamo necessariamente la costituzione di una nuova o di- versa funzione/unità organizzativa ‘di tipo mono- litico’, che racchiuda in sé tutte o gran parte delle competenze e capacità necessarie a gestire le due tipologie di rischio in questione. Ci si riferisce piut- tosto a un approccio orientato all’identificazione

controlli interni, l’organizzazione…) e l’adozione di un modello (framework) unificato di enterprise risk management. Ottimizzare le risorse La gestione unitaria del rischio informatico, tenen- do conto tanto dei rischi che hanno origine nella tecnologia (per esempio violazione o furto d’infor- mazioni, perdita e indisponibilità di dati, frodi infor- matiche…) quanto di quelli che, avendo origine nei processi operativi, si trasmettono ai sistemi infor- matici in virtù della loro automazione (per esempio il rischio di non conformità delle applicazioni alla normativa o alle procedure in vigore), nonché delle conseguenze di natura reputazionale che da que- sti rischi possono derivare, consente di migliorare l’e‘cacia del processo di governo del rischio e di abbatterne, al contempo, i costi complessivi grazie a un utilizzo più e‘ciente di tutte le risorse coinvolte. Il progetto di ricerca su Rischi informatici e Sicurez- za, condotto da CeTIF in collaborazione con istitu- zioni finanziarie, aziende tecnologiche e di servizi, ha arontato questi temi sviluppandoli lungo le direttrici strategica , con la definizione di principi e linee guida per il governo del rischio informatico; organizzativa , con la definizione della struttura or- ganizzativa (gerarchica e funzionale), attribuzione di ruoli e responsabilità, classificazione e mappa- tura dei processi operativi aziendali e delle risorse, definizione dei processi per il governo del rischio e la gestione della sicurezza informatica e infrastrut- turale , conl’identificazione e adozione di tecnologie abilitanti e soluzioni per il governo del rischio e la gestione della sicurezza informatica. Tali direttrici, o dimensioni funzionali, sono state quindi incrociate con le fasi di un processo ideale di risk management rappresentate da prevenzione (le attività poste in essere ex ante, con l’obiettivo

53

febbraio 2013

Made with