Un gruppo di lavoro congiunto, che rappresenta i Risk Manager e i revisori interni di 8 paesi dell’UE e di 6 diversi settori economici (banche, trasporti, difesa, IT, servizi alimentari e telecomunicazioni) ha sviluppato una serie di linee guida per le organizzazioni riguardo alle modalità innovative per organizzare internamente la gestione dei rischi informatici, presentandole presso la sede del parlamento Europeo di Bruxelles.
La digitalizzazione rappresenta un trend in accelerazione in tutto il mondo, costituendo un’opportunità chiave di business per le aziende europee e diventando cruciale per lo sviluppo di numerose organizzazioni, tanto quanto la sicurezza informatica. Di conseguenza oggi avere una strategia digitale è essenziale per la gestione di ogni tipo di impresa.
“I dati delle imprese aprono opportunità per le organizzazioni europee, tuttavia, il bisogno di un ambiente sicuro si sta fondendo con le preoccupazioni dei consumatori in merito alla protezione dei dati personali.” Dichiara Alessandro De Felice, Presidente di ANRA. “Per le organizzazioni diventa così opportuno combinare in un unico processo i propri obblighi in tema di privacy e la pianificazione strategica delle attività delle norme sul trattamento dei dati, migliorando al contempo la qualità della gestione del progetto e riducendo i costi”.
In questo contesto, la European Confederation of Institutes of internal Auditors (ECIIA) e la European Federation of Risk Management Associations (FERMA)hanno lavorato insieme allo sviluppo di una infrastruttura di gestione e governance del rischio informatico per il settore privato.
Una robusta infrastruttura per la governance del rischio informatico migliorerà i processi decisionali delle aziende, conducendo ad un migliore sviluppo dei prodotti e dei servizi, e allo stesso tempo fornendo una garanzia più forte e comprensiva che i rischi vengano identificati, quantificati, gestiti – in modo più efficiente e ad un costo inferiore – e mitigati.
ECIIA e FERMA sostengono che le organizzazioni debbano costituire un sistema di governance del rischio informatico, supportate da una infrastruttura di gestione dello stesso. È necessario dirigersi verso l’implementazione delle misure di IT, allo scopo di proteggere efficacemente le proprie attività e assicurarne la resistenza e continuità. Il modello è ancorato a due forti serie di principi: gli otto principi definiti nella raccomandazione di OECD sul Digital Security Risk Management (2015) e le Three Lines of Defence model, riconosciute come standard dell’Enterprise Risk Management (ERM).
La prima linea di difesa ha il compito dell’implementazione delle polizze e degli standard tecnici, e ha la responsabilità di monitorare giorno per giorno le reti e le infrastrutture. La seconda linea è responsabile della maggior parte delle funzioni di governance relative alla sicurezza informatica. La terza e ultima è formata dall’Internal Audit, che supervisiona l’operato delle prime due linee e controlla la coerenza dell’intero processo di cyber risk governance, oltre a fornire un backup periodico al board.
“Fondamentalmente, una buona governance del rischio informatico consiste nel proteggere il valore all’interno dell’organizzazione.” dichiara Jo Willaert, Presidente di FERMA “I Consigli avranno sempre più bisogno di dimostrare agli investitori e al pubblico che i rischi informatici sono gestiti, non solo da un punto di vista tecnico, ma anche da una prospettiva finanziaria e gestionale. Gli stakeholder esterni richiederanno sempre di più la garanzia che le organizzazioni abbiano posto in essere un’efficiente gestione del rischio informatico”.
Il modello di gestione del rischio informatico proposto sostiene la creazione di un Cyber Risk Governance Group dedicato, la cui missione consiste nel determinare quali siano le esposizioni al rischio informatico in termini finanziari e delineare possibili piani di attenuazione.
“Questo modello costituisce un modo innovativo per approcciare la sicurezza informatica che consentirà al Consiglio Direttivo di dimostrare che la gestione dei rischi informatici è basata su un’analisi documentata e razionale dei rischi interni all’organizzazione.” conclude Jo Willaert, Presidente di FERMA “FERMA e ECIIA, rappresentando le professioni di Risk Management e Internal Audit a livello europeo, giocano un ruolo chiave nell’apportare un contributo positivo alla modernizzazione di una buona governance per l’era informatica”.