Dall’IT Security all’Enterprise Risk Management: soluzioni per la gestione del rischio aziendale - Cyber Security 360

SICUREZZA INFORMATICA

Dall’IT Security all’Enterprise Risk Management: soluzioni per la gestione del rischio aziendale

Come affrontare ed estendere la gestione della sicurezza delle informazioni al fine di soddisfare i requisiti di gestione del rischio aziendale

25 Feb 2021
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

Le crescenti complessità e le incertezze di mercato coniugate al panorama mutevole della minaccia informatica richiedono alle aziende di ogni ordine e grado di affrontare dei cambiamenti che si riflettono sulla governance.

Infatti, la gestione di simili sfide può diventare una criticità o un’opportunità rispettivamente in caso di erosione o aumento del valore aziendale. In entrambe i casi si parla di saper gestire un rischio operativo.

Inoltre, le aziende devono soddisfare i requisiti di gestione del rischio secondo la compliance legale, normativa dei diversi paesi di appartenenza. Pertanto, la gestione completa del rischio aziendale è diventata una sfida chiave e una competenza fondamentale per il successo delle organizzazioni.

Dato il ruolo centrale della gestione della sicurezza delle informazioni e gli obiettivi comuni con la gestione del rischio aziendale, le organizzazioni necessitano di indicazioni su come estendere la gestione della sicurezza delle informazioni al fine di soddisfare i requisiti di gestione del rischio aziendale.

Per colmare il gap è necessario adottare un framework sistemico, completando la capacità con competenze interne o esterne in outsourcing, al fine di guidare le organizzazioni a promuovere la gestione del rischio aziendale a partire dalla gestione della sicurezza delle informazioni. Ne abbiamo parlato con Claudio Ruffini Presidente e AD di Augeos società specializzata in servizi e prodotti per il Risk Management, IT Governance e compliance nel settore Finance.

La normativa per la sicurezza informatica

Per tutte le aziende ma in particolare per le organizzazioni in ambito Finance, le normative Europee, e i recepimenti nazionali sono molto chiari sul ruolo del la gestione del rischio rispetto alla gestione della sicurezza informatica: deve essere un ruolo centrale.

La Direttiva NIS e il GDPR a livello europeo ed i recepimenti nazionali, ne fanno un caposaldo per l’autovalutazione e per l’adozione di “misure adeguate” alla protezione. Claudio Ruffini spiega che “in generale nel mondo bancario il tema dei rischi IT ha a che fare con i “non financial risk” che sono etichettati sotto al cappello più ampio dei rischi operativi e che ricomprendono rischi di compliance, rischi esecutivi dovuti a errori, furti e rischi informatici e di cyber security.

“Questa è una caratterizzazione o, se vogliamo, una gerarchia dei rischi (tassonomia n.d.r.) a cui fanno riferimento le normative specifiche per le banche: Basilea II e la Circolare 285 di Banca d’Italia. Una normativa che ha dato grosso impulso alla gestione del rischio con elemento focale sulla data protection è stata la GDPR, in cui si è toccato un ganglio cardine come il “dato” attorno a cui costruire il profilo di rischio”.

“Questo fatto”, continua ancora Ruffini, “ha aperto un nuovo modo di gestire i rischi con evidenza dei problemi che intaccano la riservatezza, l’integrità e la disponiblità (RID) dei dati”.

Per capire le differenze fra i rischi specifici della sicurezza IT e quelli che ricadono invece nel più ampio basket dei rischi di impresa, è sufficiente ripercorrere le raccomandazioni dei “regulator” negli anni e si osserva che, prima del GDPR non c’era una normativa specifica sui rischi IT. La norma ISO 27001 è uno standard, una best practice ma non una norma.  Invece sono le ultime normative GDPR appunto o PSD2 che  hanno posto l’attenzione sui rischi IT e hanno ‘dato la sveglia’ alla gestione dei rischi informatici.

Differenze fra i rischi IT e i rischi dell’Impresa

Dal punto di vista della gestione del rischio si è passati da una analisi settoriale “a silos” in cui un determinato “quid” (dato, asset, processo o soggetto) era analizzato da diversi punti di vista ad una visione più integrata dei rischi che è in linea con la richiesta di Banca d’Italia per uniformare prassi e controlli (Circolare 285).

Ogni funzione di controllo, infatti, usava il proprio framework (Basilea 2, processi di compliance, GDPR, audit, COBIT) e il povero process owner veniva interrogato sulle stesse cose spesso lamentando grosse difficoltà a districarsi fra  framework e mezzi strumentali diversi.

Per questo motivo è stata individuata una metodologia in cinque passi che potesse generalizzare le metodologie per uniformare l’approccio e mettere a fattor comune alcuni risultati. Spiega Claudio Ruffini: “nel primo passo (identificazione) si effettua l’analisi e la collezione dei dati, nel secondo (mappatura) si incrociano le informazioni per individuare relazioni; nel terzo passo (valutazione) si misurano con processi ex-post o ex-ante per quantificare e classificare il vero e proprio rischio; nel quarto passo (monitoraggio) si possono adottare sistemi di dashboard, kpi, balanced scoreecard per tenere sotto controllo i rischi, mentre l’ultimo passo (mitigazione) consiste nei pianificare e gestire piani di azione per migliorare e ridurre i rischi.

Tutto questo però rappresenta per noi un modello di governance del rischio in senso lato e questo sta entrando sempre di più nella mentalità del management della banca ed è tipica delle funzioni di controllo di secondo livello. Mi spiego, in banca ci sono tre linee di difesa: la prima linea sulla frontiera, ovvero negli uffici filiali distribuita, dove le persone possono gestire la governance del rischio là dove il rischio si forma; il secondo livello è tipico degli uffici di controllo ovvero delle funzioni di controllo (tutte funzioni dell’organizzazione centrale n.d.r.) e normalmente è qui che vengono  analizzate le problematiche di rischio con analisi e correlazione anche fra rischi diversi. La terza linea è quella dell’audit che dovrebbe monitorare la seconda linea per verificare che tutto sia adeguato e che poi le cose siano attuate (verifiche ispettive di audit)”.

Naturalmente queste tematiche sono importanti per tutte le aziende ma nelle banche e nelle istituzioni finanziarie rivestono un peso ancora maggiore.

Questo accade come spiega Claudio Ruffini perché “c’è una differenza storica nella natura dell’impresa. Le imprese possono essere classificate in tre livelli dal punto di vista del rischio: imprese strategiche (Enel, Difesa, ospedali) caratterizzate da un approccio al rischio bassisimo.

Il rischio non può essere tollerato perché i danni sarebbero pesantissimi. Sono aziende in cui c’è una forte cultura del controllo, della proceduralizzazione e della formalizzazione dei piani di emergenza; le imprese ordinarie come ad esempio le PMI che spesso non hanno una vera cultura del rischio e lo gestiscono sulla base dell’occorrenza della nuova normativa o dell’emergenza. Queste subiscono il rischio.

Infine, ci sono le imprese di tipo finanziario o bancario dove invece il rischio è studiato, valutato e gestito. In questa ultima tipologia di imprese il rischio diventa parte del core business, viene quotidianamente valutato, comprato o venduto.

Da questa classificazione si capisce come le banche e le assicurazioni dal punto di vista del rischio, siano nello stesso momento aziende strategiche perché i pagamenti e la circolazione monetaria devono esistere sempre per la sussistenza del sistema bancario stesso, mentre quotidianamente lavorano e fanno business sui diversi rischi. Storicamente, quindi, questo tipo di aziende hanno affrontato la gestione dei rischi in modo più completo avendo sia la parte strategica, sia operativa, che tollera il rischio come parte del core business e questo richiede di approcciarsi ai rischi in termini di rischio calcolato.

Proprio questo approccio completo facilita le banche al raccordo delle metodologie per i controlli sui rischi noti, aggiungendo i rischi di sicurezza e la gestione dei rischi Cyber (con cui è necessario prendere confidenza), ai rischi operativi delle banche.

Si parla in questi casi della metodologia di Risk Network Analysis che può spiegare il meccanismo secondo cui il rischio informatico è causa di un rischio operativo.

Il cambio necessario nella cultura della sicurezza

Per effettuare questo passaggio culturale in azienda verso i rischi a livello d’impresa compresi quelli informatici e di sicurezza, si dovrebbe passare da momenti formativi ad una cultura del rischio più premiante diffusa in azienda.

Continua Ruffini “deve passare il concetto che il rischio non è una bestia da evitare, ma uno strumento verso la realizzazione degli obiettivi aziendali e che l’analisi dei rischi è una leva per migliorare i processi, l’organizzazione e la performance dell’azienda; senza dimenticare peraltro l’aspetto normativo. Le norme oggi impongono uno scatto di innovazione. La terza leva è ragionare sul tema dei progetti di innovazione per capire che il rischio è un fattore che migliora la competitività sul mercato. Gestire bene i rischi significa diventare piu’ competitivi”.

Strumenti abilitanti ad una corretta governance dei rischi

È tempo che i rischi di sicurezza siano elevati a rango più alto nell’ambito della gestione dei rischi aziendali. In parte il focus deve essere messo sui modelli di analisi e in parte sulla Governance. Ma questo significa avere un impianto organizzativo ben strutturato: piani di formazione, una organizzazione di uffici appropriata, strumenti che possano gestire il rischio in tutti gli aspetti, permettendo la valutazione ma anche l’anticipo delle mosse degli attaccanti.

Sono due le priorità in questo senso, spiega il Presidente di Augeos: “razionalizzare le informazioni in un sistema strutturato e pensato per la gestione dei rischi e fornire strumenti di controllo capaci di supportare lo sviluppo di piani di emergenza”.

Se la stessa dinamica si portasse a livello dei rischi operativi sarebbe possibile prevenire le situazioni critiche mediante processi e organizzazione. Questo significherebbe avere una governance smart ed efficace.

Con un Enterprise Risk Management (ERM) si può capire come si propaga il danno avendo valutato il rischio in anticipo. Un sistema di ERM rappresenta il modo più efficacie per gestire il patrimonio informativo di ogni framework (compliance, GDPR, audit, rischio operativi) in una visione unificata di azienda capace di raccordare i rischi e rimapparli e relazionarli come causa effetto.

Si tratta di sistemi GRC (Governance Risk e Compliance) capaci di collezionare e gestire dati per funzioni specifiche di controllo ma nello stesso tempo capaci di amalgamarli e collegarli per analisi di sintesi per le funzioni apicali e trasversali e di fornire funzioni di auditabilità per saper ricostruire i motivi di una decisione presa in un determinato momento.

Il tutto per saper individuare responsabilità e quindi per sapersi giustificare in caso di verifiche dalla Banca D’Italia (si ricorda che esistono penali e sanzioni n.d.r.). In Augeos il GRC si chiama GRC PLUS e consente una visione personalizzata dei rischi e una gestione dei relativi controlli per ciascuna funzione aziendale competente. Utilizza un framework proprietario conforme con la disciplina contenuta nella Circolare 285 di Banca d’Italia (precedentemente contenuta nella Circolare 263), e compatibile con COBIT 5, ISO27001 e Basilea. “La nostra missione”, conclude Ruffini, “è accompagnare le banche fornendo un sistema consulenziale per esser loro partner su questi temi”.

Contributo editoriale sviluppato in collaborazione con Augeos

Augeos - White Paper - Soluzioni per la gestione integrata del rischio nelle banche 

@RIPRODUZIONE RISERVATA

Articolo 1 di 3