Navigare sicuri nel mare della compliance

Come coniugare la riduzione dei costi della compliance con l’obiettivo di rendere più efficienti i processi IT? La sfida non è semplice e oggi le imprese spesso intervengono sull’emergenza o in maniera disorganica. Ecco alcuni strumenti e percorsi di attenzione per una “sicura navigazione” nella security compliance

di Luca Boselli e Pierluigi Lonero,  Senior Manager – IT Advisory  KPMG

Pubblicato il 28 Mag 2009

Riuscire a prevedere le avversità e le condizioni più difficili, laddove ci si appresti a navigare lontano dalle sicure acque costiere, è impresa ardua se non inattuabile. E’ questa la ragione principale per cui chi vi si accinge dovrebbe essere sempre adeguatamente preparato, aver maturato un elevato livello di consapevolezza dei rischi circostanti ed essersi dotato preventivamente della corretta strumentazione per controllare gli eventi, ove possibile, anziché subirli.
Analogamente, l’attenzione ai rischi legati alla sicurezza del patrimonio informativo appare sempre alta … o perlomeno non sono le buone intenzioni a mancare! Ciò che continua ad essere assente è però una chiara visione strategica di medio/lungo periodo che consenta di articolare le iniziative secondo logiche di governo dei rischi e di miglioramento continuo.
La compliance è sempre il principale driver delle iniziative di sicurezza, poiché leggi e normative prescindono dalla variabilità del contesto di mercato, ma la percezione dei benefici associati ai progetti di sicurezza dovrebbe sempre di più passare attraverso concetti di miglioramento dell’efficienza e delle performance dei processi, oltre quindi la pura gestione dei rischi di non conformità.
Proviamo insieme ad immaginare un percorso sostenibile di sviluppo delle progettualità che coniughi questi obiettivi ed esigenze eterogenei; un cammino che dovrà essere necessariamente calato sul singolo contesto aziendale, ma che avrà una logica comune di progressivo miglioramento.
Il primo passo consiste nella conduzione di Risk Assessment per identificare e valutare correttamente i rischi prioritari su cui agire. In uno scenario di contrazione delle risorse disponibili, quest’attività appare ancor più importante in quanto da una parte aumenta la consapevolezza di ciò che è necessario fare, dall’altra consente di focalizzare gli investimenti nelle aree maggiormente a rischio.
Il passo successivo è quello di dotarsi di una strumentazione minima, ad esempio l’Identity & Access Management, inteso in un’ampia accezione che include modelli, processi e tecnologie a supporto: governare gli accessi al patrimonio informativo aziendale non solo consente una mitigazione efficace dei rischi, ma contribuisce a creare efficienza all’interno dei processi operativi dell’IT e della Security.
E’ questo un livello di base, comune a realtà aziendali anche di settori differenti: laddove il contesto prevede livelli di complessità più elevati, entrano in gioco elementi e necessità diverse.
I passi successivi rappresentano uno dei possibili percorsi evolutivi verso l’efficienza e la maturità (forse):
– creare sistemi integrati per la gestione dei vari adempimenti normativi – gestione unificata dell’IT compliance – utilizzando tecnologie di supporto (ad es. GRC) in grado di migliorare l’efficienza dei processi operativi di supporto (attività di verifica periodica, ecc.);
– orchestrare con strumenti di BPM processi IT, Sicurezza e Business abilitando un contesto integrato dove è favorita l’agilità nella modellazione e nell’execution;
– definire KPI ed indicatori caratteristici dei processi che consentano, tramite ad esempio Six-Sigma, di ricercare l’ottimizzazione e di dare evidenza dei miglioramenti ottenuti;
– mutuare per processi IT e sicurezza alcuni modelli di Performance Management (EPM) e di BI, sino ad oggi quasi sempre a solo appannaggio dei processi Business, e con questi ultimi invece ricercare i molti punti di integrazione e di simmetria tra EPM ed ERM (Enterprise Risk Management).
Gli strumenti metodologici e tecnologici per una “sicura navigazione d’altura” anche con tempo di  ”compliance”, sono dunque disponibili ma sono altresì numerose le realtà che “navigano a vista”: il percorso non è né facile né immediato ma, se correttamente indirizzato in ottica strategica, può riuscire a cogliere obiettivi che coniugano la riduzione degli opprimenti costi della compliance con il sano investimento nell’efficientamento dei processi critici.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2