Navigare sicuri nel mare della compliance

Riuscire a prevedere le avversità e le condizioni più difficili, laddove ci si appresti a navigare lontano dalle sicure acque costiere, è impresa ardua se non inattuabile. E’ questa la ragione principale per cui chi vi si accinge dovrebbe essere sempre adeguatamente preparato, aver maturato un elevato livello di consapevolezza dei rischi circostanti ed essersi dotato preventivamente della corretta strumentazione per controllare gli eventi, ove possibile, anziché subirli.
Analogamente, l’attenzione ai rischi legati alla sicurezza del patrimonio informativo appare sempre alta … o perlomeno non sono le buone intenzioni a mancare! Ciò che continua ad essere assente è però una chiara visione strategica di medio/lungo periodo che consenta di articolare le iniziative secondo logiche di governo dei rischi e di miglioramento continuo.
La compliance è sempre il principale driver delle iniziative di sicurezza, poiché leggi e normative prescindono dalla variabilità del contesto di mercato, ma la percezione dei benefici associati ai progetti di sicurezza dovrebbe sempre di più passare attraverso concetti di miglioramento dell’efficienza e delle performance dei processi, oltre quindi la pura gestione dei rischi di non conformità.
Proviamo insieme ad immaginare un percorso sostenibile di sviluppo delle progettualità che coniughi questi obiettivi ed esigenze eterogenei; un cammino che dovrà essere necessariamente calato sul singolo contesto aziendale, ma che avrà una logica comune di progressivo miglioramento.
Il primo passo consiste nella conduzione di Risk Assessment per identificare e valutare correttamente i rischi prioritari su cui agire. In uno scenario di contrazione delle risorse disponibili, quest’attività appare ancor più importante in quanto da una parte aumenta la consapevolezza di ciò che è necessario fare, dall’altra consente di focalizzare gli investimenti nelle aree maggiormente a rischio.
Il passo successivo è quello di dotarsi di una strumentazione minima, ad esempio l’Identity & Access Management, inteso in un’ampia accezione che include modelli, processi e tecnologie a supporto: governare gli accessi al patrimonio informativo aziendale non solo consente una mitigazione efficace dei rischi, ma contribuisce a creare efficienza all’interno dei processi operativi dell’IT e della Security.
E’ questo un livello di base, comune a realtà aziendali anche di settori differenti: laddove il contesto prevede livelli di complessità più elevati, entrano in gioco elementi e necessità diverse.
I passi successivi rappresentano uno dei possibili percorsi evolutivi verso l’efficienza e la maturità (forse):
– creare sistemi integrati per la gestione dei vari adempimenti normativi – gestione unificata dell’IT compliance – utilizzando tecnologie di supporto (ad es. GRC) in grado di migliorare l’efficienza dei processi operativi di supporto (attività di verifica periodica, ecc.);
– orchestrare con strumenti di BPM processi IT, Sicurezza e Business abilitando un contesto integrato dove è favorita l’agilità nella modellazione e nell’execution;
– definire KPI ed indicatori caratteristici dei processi che consentano, tramite ad esempio Six-Sigma, di ricercare l’ottimizzazione e di dare evidenza dei miglioramenti ottenuti;
– mutuare per processi IT e sicurezza alcuni modelli di Performance Management (EPM) e di BI, sino ad oggi quasi sempre a solo appannaggio dei processi Business, e con questi ultimi invece ricercare i molti punti di integrazione e di simmetria tra EPM ed ERM (Enterprise Risk Management).
Gli strumenti metodologici e tecnologici per una “sicura navigazione d’altura” anche con tempo di  ”compliance”, sono dunque disponibili ma sono altresì numerose le realtà che “navigano a vista”: il percorso non è né facile né immediato ma, se correttamente indirizzato in ottica strategica, può riuscire a cogliere obiettivi che coniugano la riduzione degli opprimenti costi della compliance con il sano investimento nell’efficientamento dei processi critici.