Blog

ICT Risk: migliora la gestione dei rischi informatici con Augeos

25 marzo 2022

Il Risk management è un’attività particolarmente complessa e soprattutto estremamente dinamica in quanto deve tener conto contemporaneamente:

  • della costante evoluzione delle minacce che caratterizzano il mondo cyber; 
  • dell’evoluzione normativa, sempre più attenta al presidio dei rischi ICT; 
  • del contesto esterno, caratterizzato ad un ampliamento della cyber exposure della banca in conseguenza di un sempre maggior ricorso dei clienti ai servizi on line e dello smart working per la gestione del lavoro. 

 

Risk management: cosa dicono gli standard 

Quando si parla di risk management lo standard di riferimento è l’ISO 31000, uno dei pochi documenti ISO consultabili liberamente online nella sua interezza al quale si affiancano la ISO/TR 31004 (Risk management - Guidance for the implementation of ISO 31000), la ISO/IEC 31010 (Risk management - Risk assessment techniques) e la IWA 31:2020 (Risk management - Guidelines on using ISO 31000 in management systems). 

Il processo di gestione previsto dalla standard prevede diverse fasi che partono da un’attività di comunicazione e consultazione ed una successiva definizione del campo di applicazione, del contesto di riferimento interno ed esterno e dei criteri che verranno utilizzati per la valutazione del rischio. 

Documentare tutti questi aspetti è particolarmente importante in quanto l’attività di gestione del rischio comporta essa stessa delle incertezze, come ricordato dal già citato ISO 31010 e dal NIST 800 30 R1, ed è quindi fondamentale rappresentare adeguatamente tutte le scelte fatte ed i criteri adottati. 

Dopo queste fasi iniziali l’attività di risk management prevede: 

  • il risk assessment (identificazione del rischio, analisi del rischio, ponderazione del rischio); 
  • il trattamento del rischio (che comprende la selezione delle opzioni di trattamento del rischio e la preparazione e attuazione dei piani di trattamento del rischio); 
  • il monitoraggio e riesame; 
  • la registrazione e reporting. 

 

Le soluzioni Augeos per il Risk Management 

La complessità del contesto, il rilevante numero di informazioni da trattare, la necessità di documentare dettagliatamente le scelte effettuate e di anticipare gli eventi avversi non può essere svolta adeguatamente senza il ricorso a strumenti automatizzati appositamente realizzati. 

Tuttavia, tali strumenti devono anche garantire una flessibilità tale da consentirne l’inserimento in un contesto aziendale che ha già definito un proprio processo di risk management che desidera mantenere ed automatizzare. 

È in questo contesto che si pone AIT Risk, il modulo della piattaforma di Augeos dedicata alla governance e gestione dei rischi, specificatamente sviluppato per la gestione del rischio ICT in tutte le sue fasi. 

L’implementazione di AIT Risk comprende:  

  • l’identificazione dei rischi (censimento degli asset inventory, dei framework di riferimento per gli scenari delle minacce e dei framework di controllo); 
  • la mappatura dei rischi; 
  • la valutazione dei rischi; 
  • la mitigazione dei rischi; 
  • il monitoraggio dello status quo. 

Tali attività coinvolgono l’intera popolazione aziendale grazie alla abilitazione di un linguaggio unico e condiviso ed alla conseguente diffusione di una cultura del rischio a tutti i livelli, superando il tradizionale approccio che relega la gestione del rischio ICT ad un limitato numero di specialisti. 

La flessibilità dello strumento consente sia di utilizzare metodologie di calcolo già incluse nella piattaforma, sia di implementare le policy e le metodologie che la banca ha sviluppato al proprio interno. 

Inoltre, AIT Risk mette a disposizione gli strumenti che servono a prevenire un incidente informatico, registrando le informazioni che hanno una grande rilevanza nell’analisi del rischio. 

È infatti possibile configurare serie storiche di segnalazioni attraverso le quali monitorare i principali scenari di rischio, nonché avvalersi di indicatori di rischio che, analizzando le tendenze sulla base della raccolta periodica dei dati e dell’applicazione di specifici algoritmi, permettono di effettuare previsioni rispetto alle circostanze che generano rischi. 

CTA_BANCHE E CYBER RISK: come proteggersi efficacemente

Topic: Risk Governance