“Secondo uno studio di maggio 2009 di Aberdeen Group, la classificazione dei rischi fatta dalla SEC (Securities and Exchange Commission) non indica espressamente rischi It, ma rischi di tipo finanziario, strategico, operativo o altre tipologie di rischi. Questo significa che i rischi sono diffusi in tutti i dipartimenti aziendali. L’It gioca un ruolo fondamentale nell’identificazione e gestione dei rischi in quanto al giorno d’oggi la maggior parte dei processi di business sono gestiti da infrastrutture It. È chiaro quindi che nell’introduzione di una piattaforma di GRC , la parte di soluzione tecnologica ha un peso minimo rispetto all’intero processo di individuazione dei rischi, definizione dei controlli e continuous
compliance”. Esordisce così Fabio Cresta (in foto), Principal Consultant Technical Sales di Ca (www.ca.com/it) sottolineando come un progetto GRC sia impattante a livello globale, lungo tutta l’organizzazione, con un risvolto tecnologico che però è solo una parte di un più ampio intervento.
Dello stesso parere anche Fabio Battelli (in foto), Practice Manager della Divisione
Consulting di Symantec Italia (www.symantec.com/it), che analizza il significato dell’acronimo Grc: “Governance per noi significa scrivere le regole, ossia individuare i principi secondo cui l’azienda intende perseguire i propri obiettivi (a livello strategico ma anche per singoli dipartimenti); Compliance significa rispettare le regole e metterle in pratica (provenienti dalle normative nazionali ed internazionali ma anche dall’interno – policy aziendali); Risk significa verificare quali vantaggi o svantaggi l’azienda può avere da determinate scelte o in relazione a determinate minacce. Visto nell’ottica della sicurezza aziendale, quindi, è comprensibile come parlare di GRC non significhi solo fare una scelta tecnologica; gli aspetti coinvolti sono diversi; l’It è solo uno di questi”.
Tradizionalmente, però, sono due i settori che sono ad uno stadio più avanzato di gestione di rischi e compliance: uno di questi è proprio l’It; l’altro è il Finance. Secondo i vendor interpellati da ZeroUno, In Italia solo nell’ultimo periodo si assiste, nelle società più grandi, all’introduzione di un ufficio centralizzato di gestione di rischi e compliance. La situazione più comune è quella di avere in azienda soluzioni diversificate che vanno dai fogli excel ad applicazioni ad hoc per gestire la SOX o le altre normative o soluzioni specifiche per la gestione del rischio.
“Nell’ambito dello studio “Supporting risk, compliance and governance initiatives”, una ricerca online condotta lo scorso anno dalla Economist Intelligence Unit tra 195 dirigenti aziendali e sponsorizzata da Oracle, è emerso come l’approccio della maggior parte delle aziende a questo aspetto fondamentale delle attività difetti di organicità: soltanto il 13% degli intervistati, infatti, definisce come “altamente integrate” le iniziative delle rispettive aziende
per la gestione Governance, Risk & Compliance”, interviene Enrico Proserpio (in foto), Sales Consultant Director di Oracle Italia (www.oracle.com/it). “Questo stato di cose deriva dal fatto che i dipartimenti It spesso sono scarsamente coinvolti sulla tematica. È necessario che l’It (ri)conquisti un nuovo ruolo, centrale, nella redifinizione dei processi GRC e che tali iniziative vengano gestite in coordinamento con i più ampi temi dell’It Governance”.
Parola d’ordine: integrazione
La strada verso una gestione centralizzata e l’utilizzo di un’unica piattaforma globale per governare tutta la parte di sicurezza, rischio e compliance è quindi ancora lontana, considerando che anche dal punto di vista tecnologico non si tratta di un percorso semplice (richiede notevoli sforzi di integrazione).
“Il GRC è un’area molto articolata; abbraccia tre discipline differenti che però devono integrarsi tra di loro per poter garantire all’azienda un sistema di gestione
efficace a livello enterprise”, interviene Mariangela Fagnani, Risk Management Consultant Leader di Ibm Italia (www.ibm.com/it). “Integrazione intesa a 360 gradi, non solo dal punto di vista tecnologico. Integrazione che in questo caso diventa sinonimo di efficienza di business perché consente all’azienda di avere una vista reale del proprio livello di sicurezza, del grado di conformità alle normative esterne e alle policy interne, dei rischi da evitare e delle opportunità da cogliere, nonché dei “punti di inefficienza” a livello procedurale e di controllo”. È bene tuttavia sottolineare che un grado di integrazione elevata come questo e simili livelli di gestione e controllo sono ancora appannaggio di poche aziende (per lo più statunitensi o asiatiche di settori come quello bancario e/o assicurativo). “Per molte realtà l’approccio è ancora tipicamente a silos, con una predominanza, soprattutto negli ultimi anni, agli aspetti legati alla compliance normativa”, aggiunge Fagnani. “Questo non significa però che debba continuare ad essere così; scenari di integrazione come quelli ipotizzabili dalle piattaforme GRC, benché a mio avviso ancora poco attuabili, specialmente in una realtà come quella italiana, racchiudono un messaggio importante: vedere le tre discipline come elementi di un’unica problematica che può essere meglio gestita attraverso un approccio integrato (a livello di sistemi It ma anche di processi)”.
“La tendenza, riportata da tutti gli analisti, è di unificare i diversi silos in un’unica piattaforma per avere una maggior standardizzazione e una visione più completa dello stato di rischi e compliance a livello enterprise. Ovviamente non si può pensare ad un approccio di tipo big bang nel quale si eliminano tutte le soluzioni puntuali e si passa alla soluzione centralizzata”, asserisce Cresta. “Per questo le soluzioni di GRC devono essere in grado di integrarsi con le soluzioni esistenti per consentire un passaggio graduale della gestione, fornendo però in breve tempo il valore aggiunto di una visione centralizzata delle informazioni”.
L’acquisizione da fonti esterne per una vista unificata (e quindi l’integrazione con i sistemi già esistenti in azienda) è un aspetto fondamentale anche per Battelli che sottolinea come “un progetto GRC è complicato e impegnativo, quindi va necessariamente implementato per fasi graduali recuperando e salvaguardando investimenti già fatti. L’integrazione è uno dei vantaggi della piattaforma GRC stessa; se un processo di gestione del rischio in azienda funziona correttamente, per esempio, è inutile modificarlo. Semmai, va valorizzato attraverso una scelta tecnologica che, pur mantenendo l’esistente, ne migliora la gestione o porta maggior valore a livello aziendale proprio perché integrato con altri processi”.
“Le aziende dovrebbero seguire un approccio meno tattico e piu’ strategico, scegliendo di implementare soluzioni che sono state disegnate ed ingegnerizzate per gestire nativamente, in modalità omogenea, flessibile e centralizzata, modelli e processi di Governance, Risk & Compliance multi-organizzazione e multi-normativa, per fornire al management un unico strumento di “Intelligence” e controllo sui processi di compliance e gestione dei rischi; tali strumenti devono inoltre necessariamente essere basati sulle più moderne architetture di interoperabilita’ con qualsiasi sistema già presente in azienda”, asserisce Proserpio.
Piattaforme Grc, le caratteristiche
Secondo Cresta di Ca le piattaforme di Grc devono avere cinque caratteristiche fondamentali: “consentire la gestione della compliance e dei rischi di tutti i dipartimenti aziendali e non solo quelli dell’It, per supportare l’intero ciclo dei processi aziendali; eliminare la gestione Silos, spesso supportata da strumenti eterogenei, perché questo aumenta i costi di gestione e diminuisce la visibilità sulla compliance e sui rischi globali; fornire un repository centrale di normative e rischi e relativi controlli e dashboard per diminuire i costi di introduzione di nuove normative o rischi grazie alla standardizzazione delle metodologie e dei processi di gestione; consentire l’automazione dei controlli per garantire la continuous compliance; gestire programmi e progetti di compliance, monitorandone l’andamento, i costi e l’impegno delle risorse”.
Parla di automazione dei principali processi di conformità It, per ridurre i rischi per le risorse informative e abbattere i costi di gestione della conformità stessa, Battelli di Symantec. “Dal nostro punto di vista le soluzioni devono garantire una copertura end-to-end del ciclo della conformità It supportando le iniziative It GRC ad ogni livello, dalla definizione di policy appropriate basate sulle normative vigenti fino alla creazione di report dettagliati, passando per la valutazione dei controlli e la correzione delle deficienze riscontrate”.
“Per rispondere alle esigenze di integrazione dei sistemi e delle iniziative di GRC aziendali, è necessario ricorrere a una piattaforma che integri, in modo modulare, funzioni di business intelligence, definizione e gestione della dimensione organizzativa e delle relazioni processi-rischi e, laddove possibile, applicazione automatica dei controlli. In questo modo è possibile gestire in modo sostenibile differenti requisiti normativi, da quelli di conformità finanziaria e di attestazione del bilancio a quelli di conformità aziendale”, è l’opinione di Proserpio di Oracle.
I benefici per l’utente
“Partendo dal presupposto che una piattaforma GRC ha come interlocutore primario l’azienda di grandi dimensioni, il primo beneficio va certamente ricondotto alla riduzione della complessità, sia in senso organizzativo che specificatamente legata all’It”, dice Battelli. “Ottimizzazione dei processi, automatizzazione dei controlli, maggiore visibilità a livello aziendale, conformità, riduzione di costi e tempi di verifica, sono gli altri vantaggi legati a questa tecnologia”.
“Il primo valore aggiunto legato ad una gestione unificata è la possibilità di collegare obiettivi di controllo e controlli a più normative e rischi. In questo modo i controlli, siano essi automatici o manuali, sono eseguiti una sola volta, con evidente risparmio di tempo (e quindi costi) e maggior affidabilità dei dati. Inoltre, l’uso di una piattaforma tecnologica consente di automatizzare questi controlli, diminuendo ulteriormente l’impegno di risorse richiesto”, dice Cresta. D’accordo anche Fagnani che identifica nella migliore visibilità e capacità di monitoraggio e controllo le principali utilità.
I benefici dunque non mancano, anche se è opinione comune dei vendor interpellati che si tratti di tecnologie che devono ancora maturare e migliorare; questo anche perché è ancora basso il livello di preparazione del mercato della domanda (per ora sono solo le grandi organizzazioni a pensare a soluzioni di questo tipo e si tratta di aziende principalmente del segmento Finance e Telco). “Attualmente a mio avviso è ancora difficile trovare sul mercato delle piattaforme in grado di garantire un’efficace gestione di tutte e tre le discipline – conclude Fagnani -. È indubbio però il percorso evolutivo ed è chiaro che questa sarà la strada da seguire”. Infatti, i quattro intervistati sono d’accordo nel ritenere che, viste le capacità tecnologiche e i tangibili vantaggi sull’organizzazione, la scelta verso una piattaforma integrata di GRC management sia un percorso obbligato, almeno per le organizzazioni di dimensioni medio-grandi che hanno come esigenza primaria quella di ridurre, in generale, la complessità.
Stonesoft: gestione centralizzata per reti sicure
Ridurre al minimo le attività di amministrazione come implementazione, configurazione, aggiornamento, controllo e monitoraggio delle reti aziendali è diventata ormai un’esigenza comune a moltissime aziende non solo per una questione di costi ma anche di efficienza operativa. La necessità, però, non deve compromettere la sicurezza aziendale che deve continuare a beneficiare di elevati livelli di affidabilità. Una risposta viene dalla gestione centralizzata delle reti che, per Stonesoft (www.stonesoft.com) non deve significare solo tecnologia ma diventare un vero e proprio approccio strategico. “È inutile negare come l’attuale momento di incertezza economica abbia creato un valido motivo per alcune organizzazioni per attuare una razionalizzazione dei processi aziendali, al fine di ridurre drasticamente gli sprechi, ottimizzare gli investimenti e massimizzare il ritorno economico. In quest’ambito, grande attenzione è stata rivolta alla sicurezza di rete, che ha vissuto in questi anni una continua evoluzione e un aumento della complessità delle infrastrutture da un lato e
delle minacce dall’altro”, esordisce Emilio Turani (in foto), country manager di Stonesoft Italia, Svizzera Italiana, Grecia e Turchia. “Come Stonesoft puntiamo a proporre un approccio innovativo alla sicurezza: da semplice monitoraggio a piena consapevolezza della situazione di rete complessiva in tempo reale per beneficiare di una riduzione dei tempi di reazione, senza aumentare le risorse impiegate”. Per Stonesoft, infatti, ha da sempre una rilevanza particolare la gestione centralizzata delle appliance di sicurezza e le attività di R&D sono principalmente rivolte a migliorare efficienza e flessibilità dei processi aziendali (in un’ottica di riduzione dei costi di amministrazione e possesso). “Non solo riduzione dei costi, ma anche salvaguardia degli investimenti già effettuati: interoperabilità e interazione con le terze parti rappresenta elemento di unicità della nostra nuova piattaforma per la gestione della sicurezza, annunciata di recente (StoneGate Management Center 5.0)”, conclude Turani. (N.B.)
