Predisporre un piano coerente ed efficace di IT Risk Management significa prima di ogni altra cosa conoscere approfonditamente quali problemi hanno un impatto sulla sicurezza dei processi aziendali. E comprenderne l’entità. Si tratta di minacce che cambiano, in modo anche radicale, da settore a settore e da azienda ad azienda. Il tipo di business, la struttura organizzativa, il grado di integrazione delle attività con le tecnologie digitali sono, infatti, fattori che giocano ruolo fondamentale quando si tratta di dare priorità a una strategia piuttosto che a un'altra.
Tuttavia, esistono dei macro-trend che interessano in modo indiscriminato tutti i settori. Elementi di attenzione che, impattando direttamente sul parco applicativo, non possono essere ignorati quando si devono scegliere strumenti, approcci e professionalità per fare IT Risk Management. E ancora meno vanno sottovalutati nel momento in cui il dipartimento IT si assume la responsabilità di formare e informare la popolazione aziendale sui rischi che si corrono lavorando in ecosistemi a geometria variabile, caratterizzati da perimetri sempre più difficilmente circoscrivibili.
Ecco dunque, in estrema sintesi, cinque tra i principali problemi che in modo trasversale possono impattare sulla sicurezza dei processi IT di un'azienda. A questi cinque, però, pensiamo sia opportuno aggiungere una variabile indipendente, ineluttabile per qualsiasi organizzazione: l’errore umano.
1. Sempre più nemici per l'IT Risk Management
È un fatto: gli attacchi di hacker e cyber criminali crescono in modo esponenziale, anno dopo anno. Che si tratti di iniziative opportunistiche o di azioni mirate, nessuna impresa, nemmeno quella meno strutturata, può dirsi al sicuro senza un adeguato IT Risk Management. Anche per le Pmi, infatti, operazioni volte a introdurre nelle reti aziendali ransomware o programmi malevoli di tipo Ddos (Distributed denial of service) rappresentano un enorme rischio sul piano dell'operatività dei sistemi: in ambito manifatturiero, possono provocare fermi macchina, mentre se si parla di imprese di servizi il blocco di dataset mission critical può equivalere all'impossibilità per i lavoratori di accedere al parco applicativo e di occuparsi dei clienti.
2. Necessità di aggiornamenti costanti
A proposito di applicazioni, come tutti sanno siamo nell'era del continuous delivery e degli upgrade automatici per qualsiasi software. Il rischio che l'ultima versione di un programma, in seguito a uno o più aggiornamenti, crei conflitti con altre app o con le policy di cyber security aziendali è quanto mai reale. I responsabili dei sistemi IT devono assicurarsi che le soluzioni fornite dai vendor siano in questo senso compatibili con l'architettura e con il parco applicativo su cui si fonda il business.
3. L'IT Risk Management e touch point
Coinvolgere i propri collaboratori in piani di smart working o implementare piattaforme di unified collaboration per permettere a partner, clienti e fornitori di prendere parte, pure da remoto, ai processi che creano valore di business significa moltiplicare i touch point e concedere l'ingresso ai network aziendali anche a utenti non qualificati. Un incubo per l'IT Risk Management. Se non vengono accuratamente monitorati, i punti di accesso rischiano infatti di trasformarsi in vettori per chi effettua l’attacco, aumentando le probabilità che si verifichi un data breach.
4. IoT e IT Risk Management
Il tema della moltiplicazione dei punti di accesso riguarda anche un altro fenomeno che offre straordinarie opportunità pur risultando potenzialmente insidioso per il corretto funzionamento dei processi IT di molte imprese: quello dell'Internet of Things. Sempre più organizzazioni sfruttano l'efficienza e la scalabilità delle piattaforme IoT per digitalizzare processi e ambienti produttivi. La contropartita per chi compie questa scelta è un inevitabile aumento della complessità degli ecosistemi che, inglobando dispositivi non sempre ottimizzati per garantire i massimi standard di cyber security, diventano più vulnerabili.
5. Un mondo sempre più cloud
Gran parte delle applicazioni necessarie ad abilitare i servizi e gli approcci fin qui descritti funzionano essenzialmente grazie al Cloud. O, per meglio dire, grazie ai Cloud. Anche se il fenomeno sta prendendo piede a macchia di leopardo, sono sempre di più le imprese che ricorrono al Software as-a-service per sostenere i propri piani di sviluppo e innovazione. Di norma, un Cloud provider affidabile è in grado di offrire tutte le garanzie per ridurre al minimo il rischio di incidenti informatici, senza richiedere interventi ulteriori di IT Risk Management. Si tratta dunque di scegliere con oculatezza i fornitori di questo genere di servizi, studiando accuratamente i dossier sui potenziali partner e i Service Level Agreement proposti.
IT Risk Management: quanto pesa l'errore umano
Nonostante le tante sfide citate e la continua evoluzione di fenomeni spesso difficili da mettere a fuoco, è ancora il fattore umano l'elemento di maggiore criticità per la sicurezza dei processi IT. Se non adeguatamente formata e messa al corrente di cosa può comportare la mancata adozione di comportamenti corretti, la popolazione aziendale rischia di costituire il rischio più grave (e più imprevedibile) per l'integrità dell'intero sistema.
Topic: Risk Management
Post Correlati
