Quella che riguarda la gestione dell'ICT risk è un’attività particolarmente complessa e soprattutto estremamente dinamica in quanto deve tener conto contemporaneamente:
Prima di entrare nell'ambito specifico della mitigazione dei rischi ICT, è bene precisare che quando si parla di risk management lo standard di riferimento è l’ISO 31000, uno dei pochi documenti ISO consultabili liberamente online nella sua interezza al quale si affiancano la ISO/TR 31004 (Risk management - Guidance for the implementation of ISO 31000), la ISO/IEC 31010 (Risk management - Risk assessment techniques) e la IWA 31:2020 (Risk management - Guidelines on using ISO 31000 in management systems).
Il processo di gestione previsto dalla standard prevede diverse fasi che partono da un’attività di comunicazione e consultazione ed una successiva definizione del campo di applicazione, del contesto di riferimento interno ed esterno e dei criteri che verranno utilizzati per la valutazione del rischio.
Documentare tutti questi aspetti è particolarmente importante in quanto l’attività di gestione del rischio comporta essa stessa delle incertezze, come ricordato dal già citato ISO 31010 e dal NIST 800 30 R1, ed è quindi fondamentale rappresentare adeguatamente tutte le scelte fatte ed i criteri adottati.
Dopo queste fasi iniziali l’attività di risk management prevede:
Fatta questa premessa, possiamo ora definire cos'è l'ICT risk. Conosciuto in termini più generici anche come rischio informatico, l'ICT risk è qualsiasi rischio correlato all'utilizzo delle tecnologie dell'informazione e, per sempre più evidenti ragioni, della comunicazione. Varie tipologie di eventi o incidenti che compromettono in qualche modo l'IT o le infrastrutture fisiche e logiche su cui corrono i dati e i flussi di lavoro digitalizzati possono causare impatti negativi sui processi aziendali o sulla missione dell'organizzazione, in misure che vanno dall'irrilevante al catastrofico.
Valutare la probabilità con cui questi eventi possono verificarsi significa raccogliere il maggior numero di informazioni possibili ed elaborarle nel tempo in modo da ipotizzare tutti i potenziali impatti sull'organizzazione, identificando e misurando i fattori che contribuiscono a facilitarne l'avverarsi, come le minacce esterne, le vulnerabilità interne, il valore degli asset e la loro esposizione.
Risulta chiaro che la complessità del contesto legato all'ICT risk, il rilevante numero di informazioni da trattare, la necessità di documentare dettagliatamente le scelte effettuate e di anticipare gli eventi avversi non può essere svolta adeguatamente senza il ricorso a strumenti automatizzati
appositamente realizzati.
La complessità del contesto, il rilevante numero di informazioni da trattare, la necessità di documentare dettagliatamente le scelte effettuate e di anticipare gli eventi avversi non può essere svolta adeguatamente senza il ricorso a strumenti automatizzati appositamente realizzati.
Tuttavia, tali strumenti devono anche garantire una flessibilità tale da consentirne l’inserimento in un contesto aziendale che ha già definito un proprio processo di risk management che desidera mantenere ed automatizzare.
È in questo contesto che si pone AIT Risk, il modulo della piattaforma di Augeos dedicata alla governance e gestione dei rischi, specificatamente sviluppato per la gestione dei rischi ICT in tutte le sue fasi.
L’implementazione di AIT Risk comprende:
Tali attività coinvolgono l’intera popolazione aziendale grazie alla abilitazione di un linguaggio unico e condiviso ed alla conseguente diffusione di una cultura del rischio a tutti i livelli, superando il tradizionale approccio che relega la gestione dei rischi ICT ad un limitato numero di specialisti.
La flessibilità dello strumento consente sia di utilizzare metodologie di calcolo già incluse nella piattaforma, sia di implementare le policy e le metodologie che la banca ha sviluppato al proprio interno.
Inoltre, AIT Risk mette a disposizione gli strumenti che servono a prevenire un incidente informatico, registrando le informazioni che hanno una grande rilevanza nell’analisi del rischio.
È infatti possibile configurare serie storiche di segnalazioni attraverso le quali monitorare i principali scenari di rischio, nonché avvalersi di indicatori di rischio che, analizzando le tendenze sulla base della raccolta periodica dei dati e dell’applicazione di specifici algoritmi, permettono di effettuare previsioni rispetto alle circostanze che generano rischi.
Topic: Risk Governance