Blog

ICT Risk: cos'è e come gestire i rischi informatici con Augeos

23 giugno 2022

Quella che riguarda la gestione dell'ICT risk è un’attività particolarmente complessa e soprattutto estremamente dinamica in quanto deve tener conto contemporaneamente:

  • della costante evoluzione delle minacce che caratterizzano il mondo cyber; 
  • dell’evoluzione normativa, sempre più attenta al presidio dei rischi ICT; 
  • del contesto esterno, caratterizzato ad un ampliamento della cyber  exposure della banca in conseguenza di un sempre maggior ricorso dei clienti ai servizi on line e dello smart working per la gestione del lavoro. 

 

Risk management: cosa dicono gli standard 

Prima di entrare nell'ambito specifico della mitigazione dei rischi ICT, è bene precisare che quando si parla di risk management lo standard di riferimento è l’ISO 31000, uno dei pochi documenti ISO consultabili liberamente online nella sua interezza al quale si affiancano la ISO/TR 31004 (Risk management - Guidance for the implementation of ISO 31000), la ISO/IEC 31010 (Risk management - Risk assessment techniques) e la IWA 31:2020 (Risk management - Guidelines on using ISO 31000 in management systems). 

Il processo di gestione previsto dalla standard prevede diverse fasi che partono da un’attività di comunicazione e consultazione ed una successiva definizione del campo di applicazione, del contesto di riferimento interno ed esterno e dei criteri che verranno utilizzati per la valutazione del rischio. 

Documentare tutti questi aspetti è particolarmente importante in quanto l’attività di gestione del rischio comporta essa stessa delle incertezze, come ricordato dal già citato ISO 31010 e dal NIST 800 30 R1, ed è quindi fondamentale rappresentare adeguatamente tutte le scelte fatte ed i criteri adottati. 

Dopo queste fasi iniziali l’attività di risk management prevede: 

  • il risk assessment (identificazione del rischio, analisi del rischio, ponderazione del rischio); 
  • il trattamento del rischio (che comprende la selezione delle opzioni di trattamento del rischio e la preparazione e attuazione dei piani di trattamento del rischio); 
  • il monitoraggio e riesame; 
  • la registrazione e reporting. 

 

Cos’è l'ICT risk

Fatta questa premessa, possiamo ora definire cos'è l'ICT risk. Conosciuto in termini più generici anche come rischio informatico, l'ICT risk è qualsiasi rischio correlato all'utilizzo delle tecnologie dell'informazione e, per sempre più evidenti ragioni, della comunicazione. Varie tipologie di eventi o incidenti che compromettono in qualche modo l'IT o le infrastrutture fisiche e logiche su cui corrono i dati e i flussi di lavoro digitalizzati possono causare impatti negativi sui processi aziendali o sulla missione dell'organizzazione, in misure che vanno dall'irrilevante al catastrofico.

Valutare la probabilità con cui questi eventi possono verificarsi significa raccogliere il maggior numero di informazioni possibili ed elaborarle nel tempo in modo da ipotizzare tutti i potenziali impatti sull'organizzazione, identificando e misurando i fattori che contribuiscono a facilitarne l'avverarsi, come le minacce esterne, le vulnerabilità interne, il valore degli asset e la loro esposizione.

Risulta chiaro che la complessità del contesto legato all'ICT risk, il rilevante numero di informazioni da trattare, la necessità di documentare dettagliatamente le scelte effettuate e di anticipare gli eventi avversi non può essere svolta adeguatamente senza il ricorso a strumenti automatizzati

appositamente realizzati.

 

Le soluzioni Augeos per la gestione dei rischi ICT

La complessità del contesto, il rilevante numero di informazioni da trattare, la necessità di documentare dettagliatamente le scelte effettuate e di anticipare gli eventi avversi non può essere svolta adeguatamente senza il ricorso a strumenti automatizzati appositamente realizzati. 

Tuttavia, tali strumenti devono anche garantire una flessibilità tale da consentirne l’inserimento in un contesto aziendale che ha già definito un proprio processo di risk management che desidera mantenere ed automatizzare. 

È in questo contesto che si pone AIT Risk, il modulo della piattaforma di Augeos dedicata alla governance e gestione dei rischi, specificatamente sviluppato per la gestione dei rischi ICT in tutte le sue fasi. 

L’implementazione di AIT Risk comprende:  

  • l’identificazione dei rischi ICT (censimento degli asset inventory, dei framework di riferimento per gli scenari delle minacce e dei framework di controllo); 
  • la mappatura dei rischi; 
  • la valutazione dei rischi; 
  • la mitigazione dei rischi; 
  • il monitoraggio dello status quo al fine di un costante potenziamento dei sistemi di gestione dell'ICT risk. 

Tali attività coinvolgono l’intera popolazione aziendale grazie alla abilitazione di un linguaggio unico e condiviso ed alla conseguente diffusione di una cultura del rischio a tutti i livelli, superando il tradizionale approccio che relega la gestione dei rischi ICT ad un limitato numero di specialisti. 

La flessibilità dello strumento consente sia di utilizzare metodologie di calcolo già incluse nella piattaforma, sia di implementare le policy e le metodologie che la banca ha sviluppato al proprio interno. 

Inoltre, AIT Risk mette a disposizione gli strumenti che servono a prevenire un incidente informatico, registrando le informazioni che hanno una grande rilevanza nell’analisi del rischio. 

È infatti possibile configurare serie storiche di segnalazioni attraverso le quali monitorare i principali scenari di rischio, nonché avvalersi di indicatori di rischio che, analizzando le tendenze sulla base della raccolta periodica dei dati e dell’applicazione di specifici algoritmi, permettono di effettuare previsioni rispetto alle circostanze che generano rischi. 

CTA_BANCHE E CYBER RISK: come proteggersi efficacemente

Topic: Risk Governance