C'è un elemento fondamentale che distingue AIT Risk, la piattaforma di Augeos dedicata all'IT Risk management, da molte altre soluzioni con funzionalità simili: la metodologia con cui viene implementata e sviluppata presso i clienti. L'esperienza maturata da Augeos a contatto con il mondo bancario – dove l'individuazione, la valutazione, la gestione e la mitigazione dei rischi operativi sono fasi da affrontare con rigore estremo – ha permesso di dare vita a un approccio peculiare all’IT Risk Management. Un ambito sempre più vasto, su cui da tempo si sono anche accesi i riflettori del mondo mediatico, anche visto il diffondersi delle cyber minacce. Al punto che incorrere in incidenti connessi con la carenza di misure di cybersecurity adeguate comporta per un'azienda non solo perdite di dati, oltre a danni patrimoniali ed economici, ma anche contraccolpi sul piano reputazionale.
IT Risk management: AIT Risk garantisce supporto in tutte le fasi
Per questo Augeos ha sviluppato un modulo con una configurazione ad hoc in grado di affrontare un tema come quello dell’IT Risk Management che, all'interno dell'organizzazione, ormai può essere considerato trasversale. Dall'installazione al collaudo, fino alla produzione vera e propria, AIT Risk garantisce totale assistenza ai propri clienti lungo un percorso che si snoda essenzialmente in cinque passi.
Primo passo: identificazione dei rischi
La prima fase, delicatissima per impostare correttamente l'intero progetto, riguarda la compilazione dei cataloghi di informazioni necessari a utilizzare la piattaforma. Implicando non solo la selezione dei dati che possono fungere da sonda per l'identificazione dei rischi, ma anche il censimento degli asset inventory, dei framework di riferimento per gli scenari delle minacce e dei framework di controllo, si tratta di un'attività di grande valore. Un vero e proprio raffinamento del patrimonio informativo aziendale, una bonifica anche materiale degli asset IT per cercare di diminuire il rumore durante le successive fasi di analisi.
Secondo passo: mappatura dei rischi
Oltre a raccogliere le informazioni e a standardizzarle, Augeos aiuta le imprese a individuarne le correlazioni, mappando gli asset in termini di processi aziendali, responsabilità, singole minacce per scenari di rischio, controlli. Si crea così un vero e proprio un network dei rischi, superando la logica dei silos e offrendo anche visivamente un supporto di più semplice consultazione rispetto ai tradizionali fogli elettronici. Quella della mappatura dei rischi è la fase che genera vero valore aggiunto per l'intero processo, in quanto crea il reticolato di informazioni che saranno poi sfruttate appieno nel terzo passaggio.
Terzo passo: valutazione dei rischi
Una volta che tutte le informazioni sono state mappate in modo appropriato e che tutte le responsabilità sono state assegnate, a ciascuno degli attori coinvolti nei processi presi in esame viene richiesto un giudizio su impatti e probabilità di accadimento delle minacce negli scenari, tenuto conto delle frequenze di accadimento degli incidenti informatici, e sull'efficacia dei sistemi di controllo adottati. La piattaforma rielabora tutte le istanze raccolte, combinandole sulla base di modelli configurabili basati su approcci qualitativi puri, quali-quantitativi ovvero profilati specificamente sulla policy aziendale, per produrre come risultato la valutazione dei rischi IT vera e propria. L'aver eseguito correttamente le fasi preliminari si rivelerà in questo frangente fondamentale per evitare che la complessità dell'operazione diventi ingestibile: paradossalmente, gli attori coinvolti nell'IT risk assessment spesso non hanno competenze informatiche avanzate, quindi bisogna semplificare il più possibile ogni aspetto della procedura.
Quarto passo: mitigazione dei rischi
Affrontare le ultime due fasi significa passare dall'analisi del rischio alla gestione del rischio vera e propria. Si tratta di due approcci completamente diversi: se la valutazione è la pietra su cui si poggia l'intera struttura dal punto di vista logico, la mitigazione consiste nel porre in essere i piani di trattamento e miglioramento degli asset utili a minimizzare l'impatto dei rischi identificati. La piattaforma AIT Risk di Augeos supporta questa fase includendo anche soggetti non precedentemente coinvolti nelle operazioni di assessment. È vero che si tratta di contromisure da assumere prevalentemente in relazione all'infrastruttura tecnologica, ma come ben sappiamo a utilizzare gli strumenti IT ci sono anche utenti di business, né si può ignorare nell'ideazione dei piani d'azione atti a mitigare i rischi il ruolo che ricoprono, per esempio, i fornitori delle soluzioni digitali.
Quinto passo: monitoraggio dello status quo
Dopo aver gestito i rischi, bisogna imparare monitorare la situazione sulla base di quanto appreso lungo l'intero processo di risk assessment. Gli strumenti offerti dalla piattaforma di Augeos aiutano a monitorare le circostanze giudicate particolarmente interessanti e a desumere se si sta muovendo qualcosa sui fronti sensibili. AIT Risk consente in primo luogo di osservare lo scenario mettendo a frutto indicatori di rischio di cui dispongono quasi tutte le aziende, ma che spesso sono ignorati. Effettuando le opportune misurazioni nel corso del tempo ed elaborando i dati raccolti con precisione, grazie alla soluzione di Augeos è possibile cominciare a fare previsioni rispetto alle circostanze che generano rischi operativi sul fronte IT. Per esempio, analizzando gli attacchi di tipo cryptolocker subiti, la piattaforma fornisce una serie statistica che aiuta i Chief Risk Manager a intercettare le situazioni di rischio di questo tipo supportandone le decisioni strategiche.
AIT Risk aiuta inoltre a effettuare una raccolta ragionata degli incidenti informatici. Non sono rari i casi in cui, all'interno delle aziende, si registrano incidenti informatici e, non riscontrando particolari anomalie, si conviene che si è trattato di eventi poco significativi. È una considerazione plausibile, il più delle volte. Ma tenerne traccia non consente solo di portare all'attenzione dei sistemisti informazioni potenzialmente di grande valore: nell'ottica dell'analisi del rischio informatico la segnalazione di ciascun incidente può costituire uno degli elementi che per Augeos compongono la catena del risk management.
Questo tipo di analisi all'interno della fase di monitoraggio costituisce un link essenziale alle operazioni di identificazione e mappatura delle successive sessioni di risk assessment ed è parte integrante del metodo Augeos, un approccio empirico all’IT Risk Management che punta attraverso la circolarità delle informazioni a un miglioramento continuo dei risultati.
Topic: Risk Management
Post Correlati
