Un modello per gestire i rischi informatici

Nell’era digitale, il tema della sicurezza informatica è sempre più urgente. Pur consapevole che ogni realtà aziendale ha le proprie specificità, la Federazione europea dei risk manager ha proposto un modello di governance del cyber risk applicabile alla maggior parte delle organizzazioni

La digitalizzazione rappresenta un trend in accelerazione in tutto il mondo, costituisce un’opportunità di business per le aziende e diventa cruciale per il loro sviluppo, ma non può essere disgiunta dalla questione della sicurezza informatica. Un gruppo di lavoro formato da risk manager e responsabili di internal audit, provenienti da otto paesi europei e sei settori economici (banca, trasporti, difesa, IT, alimentare e telecomunicazioni), ha elaborato un modello che nella sua struttura è applicabile quasi alla totalità delle imprese. L’obiettivo è quello di aumentare la resilienza e l’efficienza della gestione degli asset informatici, primo fra tutti quello costituito dai database, anche in previsione della prossima entrata in vigore del nuovo Gdpr.

Formare e responsabilizzare il management

Il modello proposto da Ferma parte da alcuni punti fermi. Il primo è la necessità di costruire una corporate culture sul cyber risk, investendo sulla formazione del personale. In secondo luogo, vanno identificati i risk owners, vale a dire i gestori del rischio, in modo che in caso di incidente la responsabilità sia chiaramente riconducibile a una precisa funzione. L’attenzione alla compliance e l’importanza della cooperazione, sia tra le aziende sia tra il settore privato e le istituzioni pubbliche, sono altri due elementi fondamentali.

Tre linee di difesa

La governance del rischio cyber, secondo la procedura proposta, dev’essere strutturata su tre linee di difesa. La prima ha il compito dell’implementazione delle polizze e degli standard tecnici, e ha la responsabilità di monitorare giorno per giorno le reti e le infrastrutture. Ne fanno parte il settore IT, le risorse umane, il chief data officer e le business units. La seconda linea di difesa è responsabile della maggior parte delle funzioni di governance relative alla sicurezza informatica. E’ tipicamente il ruolo del chief information security officer, che definisce le polizze e gli standard tecnici che esse devono soddisfare; monitora inoltre l’operato della prima linea, e controlla che l’esposizione al rischio informatico sia in linea con il risk appetite (la propensione al rischio) dell’impresa. La terza e ultima linea è formata dall’internal audit, che supervisiona l’operato delle prime due linee e controlla la coerenza dell’intero processo di cyber risk governance, oltre a fornire un backup periodico al consiglio direttivo.

I vantaggi di una buona cyber risk govenance

Le informazioni costituiscono per le imprese un patrimonio prezioso, da sfruttare ma soprattutto da proteggere, visti i crescenti timori dei consumatori in merito alla protezione dei dati personali e l’attenzione che i legislatori stanno ponendo verso questo tema. Per le imprese oggi diventa quindi necessario combinare in un unico processo i propri obblighi in tema di privacy e la pianificazione strategica delle attività di utilizzo degli stessi. Una strada che, oltre che necessaria, è vantaggiosa, dal momento che rende la gestione più sicura e performante, e permette alle imprese di dimostrare a investitori, consumatori e pubbliche autorità che i rischi informatici sono gestiti non solo da un punto di vista tecnico, ma anche secondo una prospettiva economica.