IT Governance oggi significa una declinazione che include tre aspetti correlati: Governance, Risk Management e Compliance. A questo proposito, gli esperti utilizzano un acronimo: GRC.
Scopri cosa può fare il Continuous Vulnerability Assessment per la tua azienda
Si tratta di un approccio che, se integrato a tutti i processi legati alla business continuity aziendale, presuppone modalità di presidio continue ed estremamente più efficienti. Il che non è né facile né scontato, dal momento che le squadre IT tendono ancora a lavorare a silos. Serve invece una visione complessiva, capace di identificare quali sono le giuste soluzioni di riferimento.
IT Governance, tra strategia e compliance
La letteratura descrive l’IT Governance come la capacità organizzativa esercitata dal consiglio, dai manager esecutivi e dai manager IT di controllare la formulazione e l'implementazione di una strategia IT, assicurando una corretta integrazione tra business e IT. I recenti sviluppi normativi in USA (Sarbanes-Oxley) ed Europa (Basilea II e GDPR) hanno avuto notevoli ripercussioni anche sulla gestione dei sistemi informativi e quindi sulla Compliance dell’IT Governance. La premessa fondamentale, infatti, è che governare i sistemi significa saper allineare servizi e applicazioni alle necessità del business, risolvendo al contempo la gestione dei rischi informatici e la conformità normativa.
GRC: la nuova triade della business continuity
Triangolando Governance, Risk Management e Compliance le aziende possono disporre delle migliori informazioni disponibili per raggiungere i propri obiettivi. L’impatto delle tecnologie e del digitale sulle aziende, infatti, fa sì che Governance è IT Governance sono ormai sinonimi.Mentre la Governance definisce tutti i processi di gestione che vengono utilizzati da un’organizzazione per raggiungere i propri scopi, la Gestione del Rischio allarga il radar della sicurezza. L’obiettivo è identificare le situazioni che potrebbero avere un impatto negativo sulla capacità dell’azienda di raggiungere i propri obiettivi, andando anche a identificare la propensione al rischio dell’impresa o la quantità di rischio che l’organizzazione è disposta ad accettare. Per quanto riguarda la Compliance, i riferimenti vanno alla conformità a standard, pratiche, normative e direttive di controllo che aiutano a garantire che l’organizzazione raggiunga i propri scopi utilizzando i metodi più appropriati.
Miniguida all’IT Governance
L’IT Governance deve contemplare dunque alcune best practice in merito alle varie tipologie di assessment che devono essere prese in carico e risolte. Gli esperti indicano 5 capitoli chiave: Risk Assessment di Business, Risk Assessment Operativo, Valutazione qualitativa dei rischi, Valutazione quantitativa dei rischi e Risk Management Plan.
In dettaglio, ci sono 3 aspetti da considerare:
1. Conoscere le best practices
<Da tempo la ricerca scientifica, il mondo accademico e le maggiori imprese internazionali hanno iniziato un percorso di studio e sperimentazione nell'ambito dell'IT Governance al fine di perfezionare best practices che consentano di:
-
ottimizzare l'impatto dell'IT sulle strategie aziendali e sui processi di creazione del valore
-
integrare e semplificare i sistemi informativi delle grandi organizzazioni, realizzando importanti risparmi in termini di costi dell'IT
-
rispettare le norme sempre più severe in termini di affidabilità, veridicità e sicurezza dei dati economico-finanziari
-
adottare criteri di valutazione del rischio informatico introducendo sistemi di monitoraggio e di analisi delle minacce a capacità continua
2. Abilitare una valutazione del rischio funzionale al business
L’IT Risk management parte dall'analisi delle minacce e delle vulnerabilità. Perché la valutazione sia efficace è necessario ibridare il metodo quantitativo e il metodo qualitativo. Per effettuare il calcolo delle probabilità di un accadimento (malevolo o legato a possibili malfunzionamenti) è necessario disporre di una base di dati e informazioni estremamente ampia ed aggiornata. Per la parte di gestione delle attività di monitoraggio e controllo, invece, per ottenere risultati rapidi anche in termini di conformità la valutazione implica l’impiego di una metodologia di tipo qualitativo. Con l’entrata in vigore del GDPR, infatti, in caso di violazione le aziende devono poter dimostrare di aver messo in campo tutte le loro capacità e di essere riuscire a porre rimedio nel più breve tempo possibile. Dal momento che l’analisi dei rischi è diventata obbligatoria, ogni impresa, essendo soggetta a minacce interne ed esterne che ne influenzano l’operatività e la capacità di generare valore, è obbligata ad assumersi la gestione del rischio. È necessario attuare le migliori strategie per garantire solidità alla propria impresa attraverso un processo di identificazione, misurazione, controllo e gestione del rischio.3. Garantire la tracciabilità e la rintracciabilità dei processi
La sicurezza va riprogettata per dare alle aziende la garanzia di poter ricostruire tutti i processi associati a governo di dati, sistemi, applicazioni e infrastrutture. Per farlo è necessaria un’analisi che, attraverso un’accurata ricerca, metta a fuoco i processi aziendali mission-critical, le tecnologie che supportano questi processi, le persone necessarie per eseguirli e le strategie per ottenere il ripristino dell’attività in caso di emergenza. Due importanti strumenti per la raccolta di questi dati sono l’analisi dell’impatto aziendale (BIA – Business Impact Analysis) e la valutazione del rischio (RA – Risk Assessment). I dati acquisiti durante le attività di BIA e RA aiutano a definire il programma di Governance, Risk management e Compliance. Nella BIA, infatti, si cercano informazioni su come funziona l’azienda, in particolare identificando i suoi processi più importanti. Per comprendere correttamente in che modo i processi mission-critical hanno un impatto sull'organizzazione, un’altra attività della BIA è capire come funziona l’organizzazione concentrandosi su tre domande chiave:
-
Qual è l’impatto sull'organizzazione nel caso di una perdita di uno o più processi mission-critical?
-
Quali sono le tecnologie che supportano i processi chiave e gli obiettivi aziendali generali?
Quali sono le implicazioni finanziarie, operative, competitive e reputazionali per l’azienda in caso di un arresto della continuità operativa?
Ognuna di queste attività contribuisce alla Governance dell’organizzazione
Nella valutazione del rischio, l’analisi intercetta tutte le situazioni, interne ed esterne, che potrebbero avere un impatto negativo sulla capacità dell’organizzazione di svolgere le sue funzioni mission-critical. Una volta identificata la gamma di rischi e di vulnerabilità, si procede a quantificare le probabilità che queste si verifichino in un evento, calcolando anche la gravità potenziale dell’evento sull'organizzazione e gli impatti finanziari e operativi per l’azienda. I dati di RA provengono da molte fonti: alcune altamente empiriche (come, ad esempio, le tabelle di sottoscrizione) e altre più soggettive (come l’esperienza diretta dei dipendenti con rischi specifici). Questi valori vengono poi elaborati per ottenere un punteggio di valutazione del rischio, utilizzato per stabilire la priorità dei rischi, delle minacce e delle vulnerabilità aiutando a definire le strategie di prevenzione e di mitigazione più opportune.
L’importanza del Continous Vulnerability Assessment
Per una IT Governance della sicurezza massimamente funzionale ed efficace il modello di riferimento che risolve gli aspetti più strategici del Risk Management è ii Continous Vulnerability Assessment (CVA). Si tratta di un’attività che, attraverso un servizio dedicato, si occupa di verificare quelle che sono le debolezze dei sistemi e dell’infrastruttura aziendale, dando massima visibilità a qualsiasi cosa accada alla Rete. Questo consente di predisporre nuove modalità di monitoraggio e di impostazione della reportistica fondati su una gestione reale delle vulnerabilità. Il tutto in modo allineato alla Compliance. Per saperne di più, puoi scaricare gratuitamente l’eBook “Cosa può fare il Continous Vulnerability Assessment per la tua azienda”
