La gestione del rischio operativo oggi non può prescindere dalla preparazione di un'accurata cyber risk strategy e dalla governance di tutti gli asset – materiali e immateriali – che compongono l'ecosistema aziendale, con un occhio di riguardo allo scambio di dati. Il risk management è infatti, prima di ogni altra cosa, acquisizione di conoscenza e condivisione della stessa con tutti gli attori che a vario titolo si occupano dei processi e dei task.
Dalla conoscenza bisogna poi passare alla capacità previsionale e, quindi, all'azione, in modo da mitigare le minacce individuate all'esterno dell'organizzazione ottimizzando i flussi interni. Più facile a farsi che a dirsi. Per comprendere su quali leve agire e quali iniziative di trasformazione occorre avviare è necessario sviluppare una visione d'insieme – olistica, si potrebbe definire – su tutti i meccanismi e i rapporti di causa-effetto che regolano le attività aziendali e che concorrono a generare i risultati attesi. Una volta identificati i possibili scostamenti determinati da difformità di processo o da eventi che hanno alta probabilità di accadere, chi si occupa di risk manager deve predisporre gli strumenti adeguati e dispiegarli all'interno di una strategia che permetta all'organizzazione di reagire in maniera dinamica e tempestiva. All'unisono.
Come porre sullo stesso piano cyber risk strategy e governance
Fatta questa premessa, è possibile focalizzarsi sull'ambito cyber, che ormai – per ovvi motivi – costituisce una parte sempre più consistente di tutto ciò che in azienda viene associato alle discipline su cui si basa la gestione del rischio operativo, tipicamente suddivisa in due fasi: quella di valutazione e quella di mitigazione.
Cyber risk strategy e governance sono due espressioni che vanno di pari passo quando si parla di prevenzione delle minacce, e che si connotano per una sempre maggiore interdipendenza funzionale. Così come l'efficacia di una strategia di gestione dei rischi informatici deriva essenzialmente dalla capacità di monitorare e orchestrare asset e informazioni, allo stesso modo la governance non può infatti prescindere da un sistema difensivo che metta al sicuro i dati in base ai quali decisori, analisti e amministratori, elaborano piani e procedure.
Occuparsi in parallelo di cyber risk strategy e governance significa dunque costruire un'infrastruttura logica e operativa che metta a fattor comune le iniziative dell'uno e dell'altro ambito, evidenziandone la consequenzialità.
Serve, in altre parole, una piattaforma end-to-end capace di garantire la comunicazione sull'intera catena del valore, facendo convergere attività di raccolta, analisi e distribuzione dei dati in una filiera integrata e trasparente. Naturalmente, occorre anche sviluppare col tempo competenze e professionalità per consentire a team sempre più estesi e interdisciplinari la gestione senza soluzione di continuità di ciascuna fase, creando un flusso unico e circolare rispetto alla valutazione del rischio informatico e alla mitigazione delle minacce.
AIT Risk di Augeos mette a fattor comune competenze e conoscenze
Ecco perché Augeos, per aiutare le imprese a coniugare cyber risk strategy e governance ha sviluppato un'offerta che poggia su due pilastri: uno tecnologico e l'altro consulenziale. AIT Risk è una piattaforma in grado di fornire mediante la medesima tecnologia strumenti destinati a differenti profili di utenza, che vanno dalla figura dell'IT risk manager a quelle dei responsabili dei singoli asset informatici, favorendo il coinvolgimento nelle iniziative di risk assessment e la condivisione delle informazioni attraverso tutti gli strati dell'organigramma.
Ci sono infatti attori che pur non utilizzando le risorse informatiche, rivestono dei ruoli specifici rispetto al loro corretto funzionamento: sistemisti e amministratori di sistema devono essere coinvolti attivamente nel ciclo di valutazione per inserire nella sintesi che darà vita alla valutazione del rischio un punto di vista tecnico, il più preciso possibile. Costruire una mappa accurata dei rischi che integri tutte le istanze potenzialmente coinvolte nel processo di risk assessment, correggendo eventuali errori metodologici, è esattamente ciò che consente di fare AIT Risk.
Ma Augeos è molto più di un semplice fornitore di tecnologia: l'erogazione della piattaforma AIT Risk è supportata da un ampio spettro di servizi consulenziali, sia rispetto all'utilizzo e all'adozione del prodotto, sia rispetto alla metodologia che le imprese devono implementare per estrarre il massimo valore dal nuovo ecosistema informativo. Augeos inoltre, contestualmente alla fornitura di soluzioni modulari, è in grado di garantire adeguata formazione rispetto ai principali temi del rischio informatico, ambito come tutti gli addetti ai lavori sanno in continua evoluzione. L'obiettivo di Augeos, infatti, non è vendere una licenza software, ma costruire partnership di lungo termine per aiutare le imprese ad affrontare la principale sfida dei prossimi anni: riuscire a adattare strumenti e approccio al risk assessment in funzione dei cambiamenti normativi e dell'evoluzione delle risorse informatiche.
