L’informatizzazione della maggior parte dei processi ha portato le aziende alla dipendenza dal loro patrimonio di dati informatici e dai sistemi e l’organizzazione che li gestiscono e una cattiva gestione delle informazioni ormai non è più un’opzione percorribile.
I sistemi e l’organizzazione sono per loro natura vulnerabili e molte sono le minacce (umane e non), provenienti tanto dall’esterno quanto dall’interno del perimetro aziendale. Le organizzazioni dovrebbero quindi riconoscere la gestione del rischio d’ informazione come di vitale importanza strategica e una componente chiave della strategia aziendale globale. La gestione del rischio d’ informazione è importante per tutti gli enti indipendentemente dalle dimensioni o dalla struttura: le persone all’interno delle organizzazioni devono essere incoraggiate a gestire i rischi associati e a considerare tale gestione come parte integrante delle loro operazioni quotidiane.
Senza un apprezzamento del ruolo che svolge, ogni dipendente può intraprendere attività o al contrario non intraprenderne alcuna, lasciando di conseguenza l’organizzazione esposta a rischi inutili. Molte aziende infatti fanno ancora fatica a capire come misurare e quantificare l’impatto che la qualità delle informazioni ha sulle proprie prestazioni.
L’Information Risk Management (IRM) è un processo per indentificare, controllare ed eliminare o minimizzare gli eventi incerti che possono danneggiare le risorse di un sistema IT, ed è uno degli aspetti fondamentali della Corporate Governance.
Gli obiettivi principali dell’IRM comprendono innanzitutto la riservatezza per fare in modo che le informazioni possano essere fruibili solo a persone che siano identificate ed autorizzate al loro uso. Vi è poi l’aspetto inerente all’integrità, ovvero alla protezione dei dati stessi da eventuali modifiche o cancellazioni non autorizzate. Infine, ma non meno importante, obiettivo dell’information risk management è che i dati e le informazioni siano disponibili, ma solo quando necessario.
Le principali attività affrontate nell’ambito dell’IRM sono le seguenti:
- Information Security & Management: gestione della sicurezza delle informazioni a tutti i livelli, come, per esempio, la definizione di un corretto assetto organizzativo con ruoli/responsabilità per la gestione della sicurezza delle informazioni.
- Security, Risk Assessment & Management: identificazione dei rischi e gestione degli stessi tramite i principali standard di riferimento e la verifica della maturità dei modelli adottati.
- Governo degli accessi logici: gestione degli accessi alle informazioni commisurati alle mansioni degli utenti ed ai rischi derivanti all’accesso non autorizzato delle informazioni.
- Business Continuity Management: gestione dei rischi derivati dall’indisponibilità dei sistemi informativi in seguito ad eventi disastrosi quali interruzioni o disservizi.
- IT Internal Audit: verifica dei sistemi di controllo attuati dalle società e conseguente svolgimento di azioni correttive.
- Cyber Security: prevenzione di eventuali minacce alla sicurezza delle informazioni sia esternamente (hacker) che internamente (dipendenti sleali).
La funzione del risk management (RM), dunque, è quella di presidiare e proteggere il valore di un’organizzazione. Predisponendo un quadro metodologico che permetta la piena operatività di ogni area aziendale, attraverso uno svolgimento coerente e controllato di ogni attività, il risk management garantisce non solo una comprensione esauriente e strutturata dell’impresa con la relativa costruzione e pianificazione delle priorità, ma anche la protezione del proprio patrimonio informativo, del know-how e della Brand Reputation.
L’adozione di questo insieme di tecnologie permette, tra le tante applicazioni, quella di monitorare l’utilizzo o la gestione delle informazioni personali all’interno dei processi aziendali e di rendere conforme alle normative vigenti in termini di Privacy e GDPR.
Commenti recenti