Ogni vendor sviluppa la propria offerta che riconduce sotto il “cappello” Grc ma che differisce da quella degli altri creando spesso un po’ di confusione nelle aziende utenti. Come scegliere dunque la tecnologia in ambito Grc (Governance, Risk & Compliance) più adatta e in linea con le proprie esigenze? Abbiamo chiesto ad alcuni vendor la loro visione partendo dalle considerazioni di Forrester che vede la Grc come una tematica di business per la quale è richiesta una visione olistica ad almeno cinque differenti livelli dell’organizzazione (It Infrastructure; business; Grc support; Risk/Compliance; Governance – vedi in dettaglio articolo precedente), dove le tecnologie convivono e interagiscono in un ecosistema definito. E dato che da parte dell’offerta i confini a volte sono nebulosi, l’ecosistema prospettato da Forrester diventa una sorta di guida per meglio comprendere come collocare le tecnologie dei vendor e identificare il proprio percorso evolutivo.
“Ciò che noi notiamo in questo momento è ancora una scarsa maturità sui tre argomenti visti nel loro insieme e, in diversi casi, anche sui tre aspetti presi singolarmente – sostiene Fabio Battelli, Practice Manager della Divisione Consulting di Symantec -. Lo scenario in cui vediamo organizzazioni che hanno già investito in automazione per quanto concerne la governance o la gestione del rischio, o nell’automazione dei controlli, quindi compliance, è ancora decisamente acerbo”.
“Una forte spinta alle tematiche Grc viene dal mondo Finance che, in virtù della tipologia di business stessa, possiede un modello organizzativo improntato sulla sicurezza e la gestione del rischio – osserva Claudio De Paoli, Solution Principal Rsa Professional Services Emea South -. Anche il mercato delle Telecomunicazioni, in seguito alle stringenti normative cui deve rispondere, ha posto forte attenzione alla tematica. Un po’ meno fermento viene dal mondo industriale ma iniziano a vedersi le prime iniziative guidate soprattutto da esigenze di maggior controllo e flessibilità”.
“La gestione dei rischi all’interno dell’infrastruttura It è l’ambito Grc su cui ci si è maggiormente concentrati negli ultimi anni”, osserva Gastone Nencini, Technical Manager Trend Micro Southern Europe. “La tematica assume un significato importante dal punto di vista della sicurezza ma per comprenderne il valore di business basta pensare che la sicurezza non è più un problema solo dell’It e che i rischi vanno affrontati con metodologie, policy e strategie che rientrano nel concetto più ampio della gestione del rischio di impresa”.
Integrazione tecnologica = flessibilità e controllo di business
Nel medio e lungo periodo, ragionare in ottica di integrazione e piattaforma unificata comporta dei saving importanti e semplifica notevolmente le attività di controllo, anche da parte di auditor esterni. Tuttavia, nel panorama italiano risultano ancora poche le realtà che stanno andando in questa direzione.
“Il rischio è che si parli di integrazione in realtà dove non si è ancora raggiunta la maturità sui tre singoli aspetti – evidenzia Battelli -. L’ideale sarebbe partire da zero costruendo una piattaforma che, seppur con implementazioni singole e per gradi, sia già predisposta in un’ottica di integrazione, ragionando quindi su un’unica realtà progettuale. Non è così facile, non solo perché da un punto di vista tecnologico, soprattutto in relazione alla sicurezza It, diversi investimenti sono già stati fatti e vanno salvaguardati, ma anche perché all’interno delle organizzazioni sono andati formandosi silos organizzativi con ruoli e responsabilità che rappresentano un ostacolo all’adozione di piattaforme che richiedono un livello di integrazione molto alto”.
“Indirizzo e controllo sono i due aspetti strategici su cui bisognerebbe sempre focalizzarsi quando si approccia il tema della Grc”, interviene Raffaella D’Alessandro, Information Security Consultant di Ibm Italia. “Alla governance ci si arriva per gradi e, solitamente, quando si è già raggiunto un livello di maturità sui temi dell’Ict security. Parlare di integrazione è importante ma bisogna tener presente che livelli ottimali di interoperabilità si raggiungono prima da un punto di vista organizzativo e, generalmente, solo dopo che se ne è compreso il valore di business”.
In concreto, si sta procedendo per gradi, forse un po’ lentamente a causa della mancanza di budget e delle complesse problematiche organizzative connesse a queste tematiche, ma i vendor interpellati ribadiscono l’importanza strategica dell’integrazione tecnologica che deve essere vista al di là dell’aspetto puramente tecnico.
“Il risk management e la gestione della compliance, all’interno di un sistema performante di governance It aziendale, rappresentano due importanti elementi di cambiamento verso un’impresa che vede seduti allo stesso tavolo ruoli It ed executives business”, osserva Domenico Garbarino, Direttore Vendite Security Solutions di Oracle Italia.
Parla di Enterprise Grc come modello di riferimento Fabio Cresta, Technical Sales Principal Consultant di Ca Technologies, secondo il quale “è corretto basarsi, da un punto di vista tecnologico, su strutture differenziate (a livello It, finance, corporate, ecc.), avendo però poi un punto di raccordo unico su cui può fare affidamento il risk&compliance manager di livello corporate per avere una visione completa”, ammettendo tuttavia che scenari di questo tipo sono ancora rari. “Ogni dipartimento utilizza le proprie soluzioni e segue le proprie procedure di gestione del rischio e governo dei sistemi e dei processi – aggiunge Cresta – ma è fondamentale, affinché si possa parlare di sistema Grc efficace da un punto di vista del business, avere una vista e un controllo superiori, raggiungibile anche integrando tra loro più sistemi”.
Integrazione è la parola d’ordine anche in casa Rsa. “Le piattaforme Grc non devono sostituirsi alle tecnologie già implementate ma interagire con esse, diventando lo strumento di integrazione principale”, afferma De Paoli. “La piattaforma, in sostanza, va ‘costruita’ e modellata sulla base sia delle esigenze delle line of business e dell’utenza aziendale, sia degli investimenti tecnologici già effettuati. La nostra proposta, per esempio, è basata su un framework progettato per fornire una capacità di controllo basata su regole sulla situazione di sicurezza e compliance aziendale, con un cruscotto centralizzato, totalmente flessibile e predisposto per essere alimentato (anche direttamente dall’azienda utente) con nuove policy ma anche per essere integrato con nuove applicazioni tecnologiche”.
La compliance fa da traino
Il mercato Grc è quindi caratterizzato, da un lato, da vendor che propongono sistemi integrati, suite e piattaforme tecnologiche multifunzione, e, dall’altro, da aziende utenti che tendono ad approcciare la tematica in modo separato, affrontando un problema per volta.
“Se volessimo disegnare un ipotetico modello di maturità del Grc, visto nell’ottica della sicurezza – afferma D’Alessandro – sicuramente il primo step è rappresentato dall’adozione di point solution (specifiche tecnologie per singole problematiche); in questa fase manca la necessità di ottimizzazione e quindi non c’è la percezione dell’importanza della governance che arriva laddove sorgono esigenze di gestione centralizzata (a livello di It) e di controllo (a livello di business). A fare da maggior traino e a sollevare problematiche di questo tipo è certamente l’aspetto normativo. Obbligate ad adeguarsi a determinate regole provenienti dall’esterno, le aziende iniziano a percepire il valore di tecnologie integrate che, oltre a ridurre la complessità di gestione, semplificano le attività di controllo riducendo i rischi”.
“Se è vero – evidenzia Nencini – che l’imposizione normativa ‘risveglia le coscienze’, è però innegabile che il tema Grc stia riscontrando interesse anche in funzione di alcuni trend che si ripercuotono in maniera diretta sulla sicurezza Ict e sulla necessità di un maggior controllo dei rischi. L’utilizzo sempre più esteso del web ai fini di business, piuttosto che la virtualizzazione come scelta tecnologica a livello infrastrutturale, o del cloud computing, per esempio, si ripercuotono sull’Ict Security che può trovare nei sistemi Grc un componente importante di gestione e controllo”.
Dello stesso parere Massimo Cipriani, Technical Sales Principal Consultant di Ca Technologies, che sottolinea come nel mondo Finance, per esempio, “la cultura della gestione del rischio e le necessità di adeguamento alle normative hanno certamente influenzato l’adozione di piattaforme tecnologiche di questo tipo ma è la natura stessa del business, per altro in continua evoluzione, che spinge gli istituti a focalizzare l’attenzione sulla sicurezza e, dunque sui temi Grc”.
L’ecosistema Grc visto dai vendor
“Per parlare di Grc bisogna avere un set definito di funzionalità – osserva Battelli – ma queste, a mio avviso, devono far riferimento ad un’area specifica. Noi non crediamo alle piattaforme mastodontiche “tuttofare” che diventano dei framework o dei middleware all’interno dei quali poter fare qualsiasi tipo di attività. Ritengo più efficace affrontare un tema, nel nostro caso la sicurezza, razionalizzandolo attraverso il paradigma Grc. La piattaforma di Grc può diventare un tassello di un ecosistema più grande, composto di altre tecnologie specifiche per l’ambito richiesto (finanziario, corporate, ecc.)”.
Dello stesso parere D’Alessandro che vede la piattaforma Grc disegnata per l’Ict Security come uno dei pilastri su cui si fonda l’Enterprise Security Governance.
“Da un punto di vista puramente tecnologico – aggiunge D’Alessandro – non è necessario che le diverse piattaforme e soluzioni presenti in azienda siano integrate o integrabili all’origine. È sufficiente, per creare l’ecosistema ipotizzato da Forrester, che ci sia uno scambio di informazioni tra le diverse piattaforme (informazioni utilizzabili poi con le interfacce corrette)”.
“Certo è che lo scoglio più difficile da superare è legato proprio al concetto di centralizzazione – osserva Cipriani -. Benché l’esigenza sia sentita e compresa a livello It, trasferire il concetto di un ecosistema centralizzato a supporto diretto del business non sempre è così facile, soprattutto per le difficoltà organizzative che una visione centrale comporta. Da un punto di vista tecnologico, gli strumenti di Ict Security Management possono certamente fare da traino fungendo da collettori di dati utilizzabili poi a fini strategici, anche se questo è solo uno step”.
“Parlare di Grc non significa gestire un progetto (né It, né di business) – sottolinea convinto Garbarino -. Grc è prima di tutto una strategia, un insieme di processi in continua evoluzione influenzato sia da eventi esterni (normative, regole di mercato, ecc.), sia da cambiamenti interni. Una strategia che può essere gestita e governata attraverso il modellamento di un ecosistema tecnologico basato su soluzioni e piattaforme open capaci di garantire la massima interoperabilità a tutti i livelli, dall’It al Finance, al Corporate”.
L’ideale, insomma, sarebbe riuscire ad avere una piattaforma interattiva che, con la dovuta maturità organizzativa, consenta di fare controlli abitualmente, con la frequenza, la flessibilità e la semplicità con cui già da tempo si fa il backup. Il tutto, in funzione di un business che ha sete di flessibilità e fame di time-to-market ridotti.
