Dalla sicurezza informatica all`enterprise risk governance

SPECIALE SICUREZZA
La gestione dei rischi connessi con l’utilizzo
della tecnologia passa attraverso diversi stadi evolutivi
che tendono verso un modello organizzativo integrato.
Paolo Gatelli, Serena Piccirillo*
Tradizionalmente incluso nel novero dei rischi operativi, il rischio informatico può essere definito in
termini molto generali come ‘il rischio di danni economici e di reputazione derivanti dall’uso della tecnologia, intendendosi con ciò tanto il rischio implicito nella tecnologia (rischi diretti) quanto il rischio
che deriva dall’automazione, attraverso l’uso della
tecnologia, di processi operativi aziendali (rischi indiretti). Per questo risulta fondamentale affrontare
il tema del rischio informatico in un’ottica unitaria
che tenga conto delle sue conseguenze dirette,
della sua duplice natura - endogena ed esogena
- e inquadrandolo nell’ambito più generale del rischio d’impresa.
La gestione dei rischi connessi con l’utilizzo della tecnologia (ICT) passa attraverso diversi stadi
evolutivi che, nel loro insieme, definiscono un maturity model.
Nel passaggio dal primo stadio, che si può definire
System Security Governance, al secondo stadio, che
chiamiamo Information Security Governance, oltre
alle problematiche di protezione delle risorse usate
per acquisire, memorizzare, elaborare e comunicare
le informazioni, assumono rilevanza quelle relative
all’integrità, diponibilità e riservatezza dell’informazione. Pur avendo ancora un forte connotato operativo, il secondo stadio si caratterizza per un maggior livello di integrazione dell’unità organizzativa
preposta alla gestione della sicurezza informatica
52
febbraio 2013
con altre componenti dell’organizzazione quali, per
esempio, la sicurezza fisica e le unità di business.
Il passaggio dal secondo al terzo stadio (Information Risk Governance) è invece caratterizzato dalla
necessità di sviluppare una visione unitaria del rischio informatico, prendendo in considerazione sia
i rischi di natura diretta sia quelli di natura indiretta,
attraverso un processo di convergenza tra le unità organizzative che, a diverso titolo, e con diversi
gradi di responsabilità, presidiano queste specifiche tipologie di rischio. Inoltre il cambiamento di
focus della gestione da ‘sicurezza’ a ‘rischio’, oltre
a conferire all’attività una maggiore valenza strategica, implica lo sviluppo di capacità di misurazione
(risk assessment) e gestione (risk management) del
rischio coerenti con le metodologie e gli approcci
utilizzati nell’ambito dell’impresa o, in alternativa,
un maggior grado di interazione con le altre unità organizzative preposte alla gestione dei rischi.
Il passaggio, infine, all’ultimo stadio (enterprise risk
governance), caratterizzato da una visione integrata
dei rischi d’impresa e, come tale, di portata strategica elevata, oltre alla convergenza tra le diverse
unità preposte alla gestione del rischio informatico
propria del livello precedente richiede lo sviluppo
di forti interrelazioni, in un’ottica di integrazione
organizzativa, tra tutte le entità che si occupano
di temi legati al presidio del rischio (gli organi di
governo, le funzioni appartenenti al sistema dei
Foto: © alphaspirit - Fotolia.com
Dalla sicurezza
informatica
all’enterprise
risk governance
di prevenire il rischio informatico),
individuazione (le attività orientate
alla tempestiva individuazione degli
eventi rischiosi, nel momento in cui
questi si manifestano), contrasto (le
attività orientate a contrastare gli
eventi rischiosi, nel momento in cui
questi si manifestano) e mitigazione
(le attività poste in essere ex post
per il contenimento o la riduzione
dei danni provocati dagli eventi rischiosi, una volta che questi si sono
manifestati).
Risk Governance Maturity Model - Fonte CeTIF
controlli interni, l’organizzazione…) e l’adozione di
un modello (framework) unificato di enterprise risk
management.
Ottimizzare le risorse
La gestione unitaria del rischio informatico, tenendo conto tanto dei rischi che hanno origine nella
tecnologia (per esempio violazione o furto d’informazioni, perdita e indisponibilità di dati, frodi informatiche…) quanto di quelli che, avendo origine nei
processi operativi, si trasmettono ai sistemi informatici in virtù della loro automazione (per esempio
il rischio di non conformità delle applicazioni alla
normativa o alle procedure in vigore), nonché delle
conseguenze di natura reputazionale che da questi rischi possono derivare, consente di migliorare
l’efficacia del processo di governo del rischio e di
abbatterne, al contempo, i costi complessivi grazie a
un utilizzo più efficiente di tutte le risorse coinvolte.
Il progetto di ricerca su Rischi informatici e Sicurezza, condotto da CeTIF in collaborazione con istituzioni finanziarie, aziende tecnologiche e di servizi,
ha affrontato questi temi sviluppandoli lungo le
direttrici strategica, con la definizione di principi e
linee guida per il governo del rischio informatico;
organizzativa, con la definizione della struttura organizzativa (gerarchica e funzionale), attribuzione
di ruoli e responsabilità, classificazione e mappatura dei processi operativi aziendali e delle risorse,
definizione dei processi per il governo del rischio e
la gestione della sicurezza informatica e infrastrutturale, conl’identificazione e adozione di tecnologie
abilitanti e soluzioni per il governo del rischio e la
gestione della sicurezza informatica.
Tali direttrici, o dimensioni funzionali, sono state
quindi incrociate con le fasi di un processo ideale
di risk management rappresentate da prevenzione
(le attività poste in essere ex ante, con l’obiettivo
Un modello integrato
In questo modo si è arrivati alla definizione di un modello organizzativo (framework)
integrato, basato su un macro processo di governo
del rischio informatico trasversale rispetto all’organizzazione aziendale. Proprio questa caratteristica
di trasversalità del macro-processo rispetto alle
funzioni/unità organizzative coinvolte, ben chiarisce
il significato che si vuole attribuire, in questo contesto, al termine integrato: “in relazione all’obiettivo di governo del rischio informatico, il processo
rappresentato costituisce l’elemento di integrazione (o ‘collante’) delle funzioni/unità organizzative
aziendali che, a diverso titolo e con diversi gradi di
responsabilità, contribuiscono al raggiungimento
di tale obiettivo”.
Si tratta di un’operazione fondamentale, che ha lo
scopo di identificare e descrivere, in chiave organizzativa e tecnologica, i punti d’intersezione tra le
dimensioni funzionali e le diverse fasi del processo. Tuttavia tale operazione rappresenta una condizione necessaria, ma non ancora sufficiente. Lo
sviluppo di una visione unitaria richiede un elevato
grado di convergenza tra le diverse funzioni e unità organizzative che, a diverso titolo e con gradi
diversi di responsabilità, presidiano i rischi diretti
(cioè quelli impliciti nella tecnologia), tipicamente
appartenenti all’area della sicurezza informatica (o
sicurezza logica) e i rischi indiretti (cioè quelli che
hanno origine nell’operatività aziendale), tipicamente appartenenti ad altre aree aziendali (unità
di business, operational risk management, internal
audit, compliance, organizzazione, sicurezza fisica…).
Quando parliamo di convergenza non intendiamo
necessariamente la costituzione di una nuova o diversa funzione/unità organizzativa ‘di tipo monolitico’, che racchiuda in sé tutte o gran parte delle
competenze e capacità necessarie a gestire le due
tipologie di rischio in questione. Ci si riferisce piuttosto a un approccio orientato all’identificazione
febbraio 2013
53
Speciale Sicurezza
dei rischi informatici (diretti e indiretti) e delle interdipendenze tra questi, le unità di business, i processi operativi aziendali e conseguente sviluppo di
processi gestionali e soluzioni che consentano di
affrontare tali rischi e le relative interdipendenze.
Le chiavi del successo
STRATEGIA
• Risk management: valutazione dei rischi ai quali risulta esposta l’impresa e del loro impatto
sul business, conseguente determinazione delle
strategie da porre in essere per garantirne l’operatività con livelli di rischio accettabili.
Foto: © alphaspirit - Fotolia.com
Il successo di un’organizzazione nell’implementazione delle proprie strategie si basa, tipicamente,
sull’utilizzo di una serie di leve di tipo operativo,
generalmente riconducibili a tre diverse categorie:
Soluzioni tecnologiche a supporto dei processi di governo della sicurezza
Per presidiare il rischio informatico e, più in generale
mettere in pratica un approccio integrato di governo
della sicurezza, le istituzioni finanziarie adottano
specifiche soluzioni tecnologiche che, generalmente, trovano applicazione in un insieme di attività finalizzate all’indirizzo strategico, alla produzione della normativa
e degli standard tecnologici di sicurezza
(Pianificazione e Indirizzo della sicurezza
informatica). Questo tipo di soluzioni tecnologiche supportano la valutazione del
grado di vulnerabilità dei sistemi aziendali
e la conseguente pianificazione, comprensiva
della gestione del budget e degli interventi progettuali da avviare per l’abbattimento del livello di
rischio informatico complessivo. La tecnologia deve essere in grado di raccogliere e gestire le diverse tipologie di
richieste, rendendole confrontabili e consentendone una
prioritizzazione rispetto ai criteri di scelta e regole stabilite dalla banca.
54
febbraio 2013
Per questo motivo è importante che la richiesta possa essere mappata in modo univoco, attraverso l’inserimento in un unico sistema che possa tracciare l’intera
gamma di proposte e richieste di progetti (tattici, strategici, di compliance) e richiamarne
le caratteristiche utili a supportare le valutazioni ad essi relative (ad esempio l’identificazione e classificazione degli asset, l’identificazione e valutazione delle minacce
e vulnerabilità, la valutazione degli impatti
m
e
l’identificazione del profilo di rischio ino
.c
ia
ol
formatico,
l’analisi delle proposte progettuali
t
o
-F
delle varie unità organizzative, la definizione del
o
i
d
tu
portafoglio interventi, l’allocazione del budget).
.s
M
:©
A
supporto
della gestione dei progetti di sicurezza
o
t
Fo
vengono invece adottate soluzioni tecnologiche ed organizzative in grado di supportare (progettazione e implementazione delle misure di sicurezza informatica) la
gestione complessiva, l’insieme dei progetti di sicurezza
in essere (iniziative nuove e in fase di realizzazione) in
•
Governance: definizione della struttura di relazioni e processi atta a stabilire i necessari livelli
di autorità e responsabilità.
PROCESSI
• Definizione del budget: processo di pianificazione finanziaria preventiva (entrate e uscite).
• Definizione di standard e linee guida: documentazione delle modalità per l’implementazione
dei processi operativi aziendali.
• Integrazione: fusione o interrelazione di funzioni
e processi appartenenti a componenti diverse
dell’impresa.
• Sviluppo di business case: analisi strutturata della situazione corrente dell’impresa in relazione
a una determinata problematica e descrizione
delle azioni da porre in essere per affrontarla
con successo.
RISORSE UMANE
• Ruoli e responsabilità: documentazione formale delle responsabilità assegnate a ogni ruolo
nell’ambito dell’organizzazione.
• Leadership: autorità di dirigere o indirizzare le
attività dell’impresa.
• Convergenza del business: comprensione di strategia, obiettivi e assetto organizzativo dell’impresa in relazione al mercato.
tempo reale, aggiornando risorse, budget, costi, benefici
sia in forma aggregata (intero portafoglio), sia in dettaglio. Un’importante
n’importante caratteristica delle tecnologie in oggetto è quella di poter offrire analisi
e simulazioni di scenario in una prospettiva
previsionale rispetto a criteri liberamente
gestiti dall’utente. Questo per garantire
non soltanto migliori strumenti informativi su cui basare le proprie valutazioni, ma
anche validi elementi per gestire i rischi,
migliorare la qualità deli output prodotti, e
governare i costi.
ttraverso il monitoraggio e il controllo della
Attraverso
sicurezza informatica le soluzioni tecnologiche
verificano l’efficacia e l’adeguatezza nel tempo delle
misure di sicurezza realizzate (ad esempio analisi dei log,
vulnerability assessment…) verificando la conformità delle
tecnologie e delle modalità operative all’impianto e agli
standard di sicurezza adottati.
Infine non possiamo non citare le soluzioni tecnologiche
Sulla base di tale approccio le istituzioni finanziarie,
così come tutte le aziende in generale, adottano
tecnologie abilitanti al perseguimento degli obiettivi
di presidio del rischio informatico e di governo della
sicurezza. Tali tecnologie sono state raggruppate in
classi omogenee per finalità e funzionalità e quindi
ulteriormente suddivise sulla base dei processi supportati e degli ambiti di utilizzo in banca: soluzioni
tecnologiche a supporto dei processi di governo
della sicurezza, soluzioni tecnologiche di sicurezza
logica, soluzioni tecnologiche di sicurezza fisica.
* Gruppo di ricerca CeTIF
CeTIF (Centro di Ricerca in Tecnologie, Innovazione e Servizi Finanziari dell’Università Cattolica del Sacro Cuore di Milano), dal
1990 si occupa di definire, sviluppare e promuovere progetti di
ricerca sulle variabili e sulle dinamiche di cambiamento strategico
e organizzativo nei settori finanziario, bancario e assicurativo.
www.cetif.it - [email protected]
che rendono possibile la collaborazione, comunicazione
e formazione, nonostante la loro applicazione risulti
trasversale all’organizzazione. In particolare esse
risultano di particolare importanza per l’innal
l’innalzamento del livello complessivo di consape
consapevolezza e preparazione delle risorse umane
sulle tematiche di sicurezza informatica.
La diffusione nel continuo di un’adeguata
cultura aziendale della sicurezza è un’attività fondamentale per la messa in atto di
m
qualsiasi
pratica di governo e gestione del
o
.c
ia
ol
rischio
informatico.
t
o
-F
Parallelamente, è necessario creare e suppor
supporio
d
tu
tare nel continuo un’adeguata cultura operativa,
.s
M
:©
attraverso la quale le risorse possano evitare com
comto
o
F
portamenti potenzialmente pericolosi e, talvolta, dannosi.
A tutto ciò bisogna aggiungere che i processi di governo
del rischio informatico prevedono lo scambio strutturato
e formalizzato di flussi informativi con le altre unità organizzative coinvolte.
febbraio 2013
55