L'intervista

Valutazione del rischio IT, Telmon (P4I): “Serve più integrazione con le operations”

L’information and security advisor: “L’analisi dei rischi non è più un problema esclusivo dei responsabili dei sistemi informativi, ma deve essere condivisa con i responsabili dei processi aziendali. Solo così l’approccio sarà davvero efficace”

Pubblicato il 07 Apr 2020

Telmon-Claudio_P4I

“L’analisi dei rischi per la sicurezza dei sistemi informativi di un’azienda non può più essere confinata nel recinto dei problemi di esclusiva competenza dei responsabili IT. Si tratta di un’impostazione debole, dal momento che il sistema informativo è a supporto di tutte le operations di un’azienda. L’analisi dei rischi deve essere quel ponte – che spesso manca – tra i processi aziendali e la gestione del sistema IT. Il concetto centrale è quello di integrazione, interfacciamento e visibilità reciproca tra gestione dei sistemi informativi e processi aziendali. Solo così si arriva a una presa di coscienza di quanto i processi aziendali siano dipendenti dai sistemi informatici e dai dati”. Lo spiega in un’intervista a RiskManagement Claudio Telmon, Information & Cyber Security Advisor presso P4I, Partners4Innovation. 

Telmon, qual è l’approccio migliore per valutare i rischi?

La prima cosa da fare per il responsabile IT è andare dai responsabili dei vari processi aziendali e valutare insieme a loro la situazione. Quali sarebbero le conseguenze, caso per caso, se il sistema informatico si bloccasse per un certo periodo di tempo? Quali sarebbero le conseguenze sui processi se si lavorasse con dati non corretti? L’interlocutore così potrà fare un quadro ci cosa è effettivamente critico e cosa non lo è, e in funzione di queste informazioni si stabiliranno le misure di sicurezza. 

La strategia migliore nasce quindi dal confronto interno?

Sì, perché grazie allo scambio di informazioni con i diretti interessati si arriva a capire che ci sono attività che se si interrompessero per poche ore comporterebbero danni molto gravi, e altre che potrebbero “sopportare” interruzioni più lunghe senza conseguenze: è importante in sede di valutazione dei rischi avere ben presenti queste differenze. La soluzione si trova individuando dove si trattano dati riservati o dove le criticità più importanti. L’importanza di questo approccio è inoltre che rende chiaramente visibile a chi si occupa dei processi in che misura questi siano dipendenti dal sistema informativo aziendale, contribuendo a dare più senso alle scelte. In sostanza, per ottimizzare la valutazione dei rischi, è essenziale l’integrazione, con ognuno che porta la propria parte di conoscenza per definire la strategia migliore: da una parte la conoscenza delle possibili debolezze dei processi, e dall’altra le possibili criticità del sistema informativo.

Scopri gli strumenti tecnologici che possono migliorare il lavoro del DPO, clicca qui e scarica subito il contenuto!

Come varia l’approccio da azienda ad azienda?

Dal punto di vista metodologico l’approccio è tendenzialmente uniforme, ci si deve muovere seguendo gli stessi criteri all’interno della stessa azienda per ottenere risultati che siano confrontabili e integrabili. Ma il cardine del ragionamento è che la valutazione deve essere tarata con precisione su quelli che sono i processi aziendali. È un approccio che spesso nella consulenza viene trascurato, ma che può fare la differenza: è importante conoscere bene il settore merceologico in cui un’azienda opera per porre le domande giuste. Ovviamente gli scenari sono diversi se parlo con un primario o con un responsabile della logistica, e questo bisogna averlo ben presente. 

Quali sono i vantaggi di un approccio del genere per il responsabile IT?

Il vantaggio principale è che se si segue questa strategia è possibile guidare gli investimenti per la sicurezza in modo che siano il più efficaci possibile, limitando al massimo gli sprechi. Quando il responsabile IT dice di aver bisogno di un investimento, questa esigenza è basata su una valutazione fatta insieme al responsabile dell’area o del processo coinvolti. In sostanza, il responsabile IT è in grado di contare su leve più forti e più efficaci per svolgere il proprio compito.

Che tipo di sensibilità e di consapevolezza registra nelle aziende?

Le aziende grandi sono molto più abituate a ragionare in una logica di gestione del rischio, e quindi questi nuovi approcci stanno facendo breccia con una certa facilità, soprattutto nel momento in cui vengono presentati correttamente e con chiarezza. Il potenziale innovativo è alto se consideriamo che molte analisi dei rischi, soprattutto in logica di certificazione, seguono una logica di livello di maturità uguale per tutti i processi, senza considerare però che un sistema aziendale può essere anche meno protetto se non è critico. 

E per le realtà medio-piccole?

La consapevolezza culturale sta facendosi strada, registriamo ultimamente più richieste e più sensibilità, anche perché da quando la digital transformation è diventata un must l’esposizione inizia a essere significativa. La percezione del rischio è più forte man mano che ci si sposta verso i vertici aziendali: l’imprenditore ha chiaro per sua natura il concetto di rischio, fare impresa ha connaturato in sé il senso del rischio. L’importante però è trovare un equilibrio tra gli investimenti e i rischi. Inoltre le realtà più piccole scontano spesso un gap di competenze nel campo della sicurezza e della valutazione dei rischi, e per questo hanno bisogno di supporto. Anni fa era praticamente impossibile parlare di questi temi con aziende sotto certe dimensioni, dove il responsabile It era focalizzato esclusivamente sull’aspetto tecnologico. Oggi invece si avverte l’esigenza di avere una visione più ampia e interagire di più con l’azienda.

Che ruolo può avere l’automatizzazione nella valutazione del rischio?

Abbiamo già degli esempi, ad esempio nel campo della conformità al Gdpr, dove l’obbligo normativo ha contribuito in maniera decisiva ad alzare la soglia d’attenzione. Chi ha affrontato il problema in modo strutturato ha visto che l’approccio “a mano” con i fogli excel ha grandi limiti, perché la quantità di informazioni è significativa. Così il mercato dei tool di governance risk and compliance rispetto al Gdpr sta conoscendo un importante momento di crescita e di sviluppo. 

Stiamo assistendo a uno sviluppo dello smart working dovuto a cause di necessità per l’emergenza coronavirus: che rischi si aprono?

Molte aziende che avevano resistenza a questo tipo di attività si stanno rendendo conto che è un modo di lavorare che funziona, e che porta a una maggiore efficacia ed efficienza per una serie di ragioni. Di pari passo, ci si sta rendendo conto che la preoccupazione sulla capacità di avere sotto controllo minuto per minuto quello che le persone fanno non è un tema così importante. Sicuramente però in queste settimane in molti sono stati costretti a improvvisare, e questo potrebbe aver portato ad aperture rischiose dei sistemi informatici, spesso senza pianificazione e strumenti: situazioni che avranno presto bisogno di essere sanate. 

P4I - White Paper - Cruscotto per DPO

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4