Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Cresce l’interesse verso strategie di Governance, risk e compliance

pittogramma Zerouno

Cresce l’interesse verso strategie di Governance, risk e compliance

20 Nov 2011

di Riccardo Cervelli

Aumentare la propria competitività in un contesto economico difficile come quello attuale è un obiettivo che richiede alle aziende, fra le altre cose, una maggiore capacità di governo dei processi, controllo dei rischi operativi e compliance a diverse normative. Tutto questo si compendia nel tema Governance, Risk, Compliance (Grc). Qual è l’orientamento delle imprese italiane in questo ambito?
ZeroUno, in collaborazione con NetConsulting e in partnership con Rsa ed Emc ha realizzato una web survey presso un campione di 66 aziende, equamente distribuite a livello di settori di attività e dimensioni. Ecco alcune delle principali evidenze.

L’incremento in quantità e qualità dei dati conservati dalle aziende, la sempre maggiore crescita del valore dei dati (che rappresentano un asset fondamentale d’impresa), la confidenzialità che spesso li caratterizza, la diffusione di normative nazionali e internazionali (trasversali ai diversi settori o verticali che impongono alle aziende sistemi di sicurezza, di tutela della privacy e di business continuity/disaster recovery) impongono alle aziende una gestione dei dati e delle informazioni che, oltre a metterli in sicurezza, garantiscano un’adeguata gestione del rischio operativo e la compliance alle normative.
Nella web survey “Governance, Risk & Compliance” realizzata da ZeroUno, in collaborazione con NetConsulting e in partnership con Rsa ed Emc nei mesi di giugno-luglio 2011 su un campione di 66 aziende, abbiamo cercato di capire qual è l’atteggiamento delle aziende su queste tematiche.

Security: quali priorità
Che le imprese abbiano compreso l’importanza di incrementare la sicurezza delle proprie dotazioni It lo dimostra il fatto che quella della sicurezza logica risulta (con l’81,8% delle risposte) al primo posto fra le principali tematiche di Security trattate in azienda. In questo ambito sono inclusi la gestione degli accessi alle risorse informative aziendali, l’assegnazione di password, la determinazione di limiti di utilizzo delle risorse ecc. Al secondo posto fra le priorità (con il 63,6% delle risposte) figura la Sicurezza perimetrale, l’insieme delle soluzioni che mirano a prevenire e contrastare attacchi provenienti dall’esterno, sfruttando vulnerabilità dei sistemi informativi. Per ottemperare a queste prime due priorità di protezione dei dati dall’interno e dall’esterno delle mura aziendali, i responsabili dei sistemi It hanno già implementato soluzioni di sicurezza quali Threat Management & Vulnerability (97%), Firewall (92,4%), Log Management (80,3%), Intrusion Detection & Prevention (62,1%), Identity Management (56,1%) e Access Management (51,5%). Con tassi di adozione inferiori, anche se ritenute interessanti e di futuro investimento, si segnalano le tecnologie di Single Sign On (45,5%), Data Loss Prevention (43,9%), Event Management (43,9%) e Strong Authentication (31,8%).
La segnalazione al terzo posto (con il 63,6% delle citazioni) della Sicurezza fisica come priorità di Security management, viene ricollegata, in buona parte, al processo di progressiva apertura del perimetro aziendale e integrazione dei processi verso clienti, partner e fornitori. Un’evoluzione che viene vista come foriera di ulteriori rischi, ma anche necessaria per incrementare la produttività complessiva e il time-to-market. Questo significa avere Linee guida e Governance, temi che infatti risultano al quarto posto (62,1%) della classifica delle principali tematiche di Security trattate nelle aziende campione. E appaiono accordarsi con altre due tematiche citate, in entrambi i casi, dal 60,6% del panel: Compliance e Risk Management (iniziative che riguardano la gestione dei rischi connessi alla possibile intrusione nei sistemi, e ai conseguenti eventi dolosi, così come a possibili eventi disastrosi).
A proposito di Compliance (figura 1), ben il 74,2% degli intervistati afferma esserci una relazione diretta tra esigenze di conformità normativa e misure di sicurezza implementate.
Seguono, infine, nella classifica delle principali priorità di Security management, con il 51,5% delle risposte, le strategie di Bc/Dr, ovvero tutte le procedure formulate per garantire la continuità delle attività aziendali e il recupero da eventuali eventi disastrosi (business continuity/disaster recovery).


Figura 1 – Relazione diretta tra le esigenze di conformità normativa e le misure di sicurezza
(cliccare sull'immagine per visualizzarla correttamente)

Analisi e assessment prima di tutto
Considerati i fattori di criticità citati all’inizio come driver di una strategia di Grc (boom dei dati digitali, estesa accessibilità, impatti sul business della loro violazione, normative ecc.) appare sempre più necessario alle aziende capire quali informazioni sono trattate, chi ha il diritto di accedervi, chi è responsabile della loro conservazione, per quanto tempo devono essere conservate e così via.


Figura 2 – Presenza di attività di analisi/assesment della documentazione delle informazioni aziendali
(cliccare sull'immagine per visualizzarla correttamente)

Dalla survey (figura 2) si evince che poco meno del 44% dei partecipanti all’indagine ha svolto attività di analisi e di assessment dei documenti e delle informazioni aziendali, mentre un altro 37,9% prevede di svolgere o sta svolgendo attività di questo tipo. Ad essere maggiormente attive in questo senso sono le realtà di maggiori dimensioni. La maggioranza delle aziende (82,8%) che ha già svolto attività di analisi e assessment afferma di essersi limitata a documenti e informazioni residenti nel perimetro aziendale. È interessante notare, invece, che per quanto riguarda le attività di questa natura che saranno effettuate in futuro, le risposte mostrano una tendenza crescente a comprendere anche le informazioni e i contenuti digitali residenti all’esterno dell’infrastruttura It. Ciò si spiega con l’interesse verso il paradigma del cloud computing, soprattutto da parte delle realtà di medie dimensioni, considerate le principali candidate a trarre fin da subito vantaggio da questo modello.
Chi è coinvolto nelle attività di analisi e assessment e quali sono le azioni svolte in questo ambito? Con una percentuale analoga (53,7%), i più coinvolti sono i responsabili delle Line of Business e gli Addetti It. Questo dato testimonia la consapevolezza del rapporto esistente tra corretta gestione dei dati e andamento delle attività aziendali: migliorare la gestione dei dati per obiettivi di Governance, Risk & Compliance, insomma, si rivela utile anche ad affinare il patrimonio informativo su cui l’azienda basa le proprie decisioni e strategie. Al terzo posto fra le figure più mobilitate nei processi di analisi e assessment, risultano gli Uffici legali (40,7%), funzione sempre più coinvolta vista la frequente esigenza di aderire ai mandati di conformità. Ma questo è vero soprattutto nelle grandi aziende (52%) e in misura decrescente in quelle medie (37,5%) e nelle piccole (23,1%). Al quarto posto, quindi, ecco il Top management (38,9%), con una ruolo prevalentemente di sponsorship. Molto limitato, infine, il ruolo dei Consulenti esterni (11,1%).
La principale attività svolta, nell’ambito dell’analisi/assessment dei documenti e delle informazioni aziendali, è l’Identificazione delle modalità di accesso (79,6% delle citazioni), seguita da Identificazione delle modalità di conservazione (70,4%), Classificazione e tassonomia di documenti e informazioni (68,5%) e Identificazione delle modalità di eliminazione (35,2%). Decisamente “tattici” i primi due obiettivi, mentre quello più “strategico” (Classificazione e tassonomia) si riscontra soprattutto nelle realtà di maggiori dimensioni (72%).

Il futuro è nell’integrazione
Se le imprese sono indotte a stabilire una Governance di gestione dei dati e dei rischi connessi a eventuali violazioni o eventi disastrosi, nonché a ottemperare a normative, perché non affrontare tutto nel contesto di strategie Grc integrate? Secondo la survey di ZeroUno (figura 3) strategie di Grc sono già adottate nel 22,7% dei casi, previste nel 36,4% e né adottate né previste nel 40,9%.


Figura 3 – Presenza di strategie di Governance, Risk & Compliance
(cliccare sull'immagine per visualizzarla correttamente)

La presenza di queste iniziative cresce al crescere delle dimensioni aziendali, le realtà più grandi, infatti, oltre ad avere un approccio più evoluto nei confronti della gestione delle informazioni, hanno maggiori esigenze di gestione del rischio e della compliance. Le figure professionali maggiormente coinvolte nel progetti di Grc sono – in maniera più netta che nelle iniziative meno integrate – i Cio (74,4% delle risposte); seguono le Line of business con il 59% e il Top management con il 56,4%; gli Addetti It si posizionano in quarta posizione con 48,7% delle risposte. È da notare, però, che nel caso delle grandi aziende il coinvolgimento dei Cio scende al 66,7%, mentre quello delle Lob sale al 72,2%. Parallelamente, però, aumenta il peso degli Addetti It (66,7%), che, a differenza che nelle Pmi, in queste realtà sono spesso figure con skill di processo (non dimentichiamo inoltre che nell’eterogeneo gruppo degli Addetti It è compresa la figura del Ciso, Chief Information Security Officer, presente principalmente nelle grandi aziende). Tra i benefici attesi dall’avvio di queste strategie: miglioramento della visibilità dei rischi operativi, dell’Audit management e della capacità di analisi.
Se infine andiamo a vedere gli ambiti e processi interessati dalle strategie di Grc, troviamo che la Gestione del rischio e quella della compliance risultano al primo posto pari merito (71,8% delle citazioni), seguite dalla Gestione delle policy (66,7%), delle minacce (46,2%) e degli incidenti (43,6%). Seguono altri temi con percentuali inferiori. L’impressione che si trae, in conclusione, è che laddove siano state implementate strategie di Grc, i temi più “tattici” del security management sono contemplati ma incanalati in approcci alla sicurezza più correlati al business delle aziende. Non meraviglia, quindi, che richiesti di elencare i principali requisiti in un fornitore di soluzioni di Grc, gli intervistati abbiano messo al primo posto ex-aequo (69,2%) Competenze settoriali con referenze e Competenze in ambito sicurezza, seguite da Competenze di processo (64,1%) mentre il possesso di Competenze legali e di Certificazioni internazionali si distanziano con un 41% e un 10,3%. Risposte che rappresentano un segnale per i vendor di soluzioni Grc i quali sono chiamati a supportare le aziende utenti nella gestione delle problematiche connesse a rischi e compliance in correlazione anche alle loro iniziative strategiche che dipendono fortemente dal settore di appartenenza nonché dai processi aziendali.

Riccardo Cervelli
Giornalista

57 anni, giornalista freelance divulgatore tecnico-scientifico, nell’ambito dell’Ict tratta soprattutto di temi legati alle infrastrutture (server, storage, networking), ai sistemi operativi commerciali e open source, alla cybersecurity e alla Unified Communications and Collaboration e all’Internet of Things.

Articolo 1 di 4