Ridurre al minimo il rischio con la compliance continua

Per la maggior parte delle organizzazioni la compliance non rappresenta solo un’attività da svolgere “una tantum”, bensì l’impegno costante a gestire le attività aziendali in modo più controllato e responsabile. Elio Molteni, Ca Security Solution Strategist (nella foto), illustra in che modo una piattaforma di compliance continua possa aiutare le organizzazioni a ottenere una conformità efficiente con le normative attuali e future, pur tenendo conto dei rischi esistenti

Pubblicato il 22 Set 2009

molteni

Nonostante la valanga di leggi e normative volte a prevenire frodi, proteggere contro l’uso illegale dei dati e ridurre i rischi per le aziende, si verificano ancora gravi disastri con una frequenza e una forza allarmanti. Esistono a questo proposito casi molto noti e pubblicizzati che rappresentano tuttavia solo la punta dell’iceberg: nelle aziende si verificano perdite molto più significative e dannose che non fanno notizia. Ma destano ancora più preoccupazione i numerosi casi che, nel complesso, si ritiene passino del tutto inosservati.
Sono molti i commentatori a sostenere che parte dei motivi di questa situazione sia da imputare alla normativa stessa. L’esplosione del numero di regole nuove e riviste relative a governance, privacy e sicurezza è stata così rapida che molte aziende non hanno neanche avuto il tempo di approntare una strategia coerente per gestire la compliance in modo efficace, e tanto meno trarne dei vantaggi.
Troppe aziende continuano a gestire l’adeguamento ai requisiti normativi a livello di business unit e questo approccio determina una serie di “compartimenti stagni di compliance” all’interno dell’azienda. Allo stesso tempo, numerose aziende gestiscono la compliance e il rischio come silos di responsabilità, supportati da soluzioni costose e di tipo reattivo. In questi casi, l’efficienza aziendale e i benefici derivanti da un programma completo di gestione della compliance e del rischio vengono totalmente annullati. L’organizzazione dovrebbe invece cercare di gestire le esigenze di compliance sulla base delle priorità del rischio. Le aree più critiche dal punto di vista del rischio dovrebbero essere gestite sulla base di un set di policy aziendali che renda più semplice soddisfare tutti i requisiti normativi correlati anziché creare una soluzione specifica per ogni singolo requisito. Secondo un sondaggio1 condotto da Open Compliance and Ethics Group (OCEG), il 65% degli intervistati ha riferito di avere seri problemi a causa di processi di gestione della compliance e del rischio incoerenti o ridondanti. Inoltre, il 71% degli intervistati che hanno integrato le attività di gestione della compliance e del rischio hanno esaudito o addirittura superato le aspettative.
Ridurre al minimo il rischio aziendale con il controllo e l’automazione dell’IT
La compliance continua è un impegno costante volto a migliorare i processi e le pratiche ad essa relativi. Rappresenta un’opportunità per trasformare la conformità in un elemento trainante che consenta di ridurre il rischio aziendale e incrementare il valore di business grazie a un approccio coerente e orientato all’ottimizzazione. Per raggiungere questo scopo è necessario che la compliance si basi su processi a prova di controlli, sia economica e in grado di gestire in modo sicuro gli asset vitali dell’azienda. Le aziende che si impegnano nello sviluppo di un’infrastruttura integrata di gestione della sicurezza ai fini della compliance continua dovranno inizialmente concentrarsi su quattro funzioni fondamentali: gestione delle identità, provisioning, gestione degli accessi, monitoraggio e auditing.
La compliance continua può tuttavia essere realizzata soltanto se presenta una serie di caratteristiche comuni. Innanzitutto è importante che si basi sui fattori di rischio e sia orientata ai benefici. La compliance “a casella di spunta” si è dimostrata un metodo poco pratico e costoso di soddisfare i requisiti normativi e di auditing. La valutazione del rischio e la razionalizzazione dei controlli per più normative rimane lo strumento più efficace per ridurre i carichi operativi legati alla compliance. È necessario ricordare che in media nel 2008, secondo quanto riportato da GMG Insights2, grandi organizzazioni europee hanno dovuto monitorare 48 diverse normative, e questo rende evidente quanto sia importante eliminare le ridondanze.
In secondo luogo, l’automazione è la chiave di volta: poiché continueranno a essere formulate nuove normative e quelle già esistenti è poco probabile vengano “alleggerite”, un processo di conformità manuale diventa una via impraticabile. L’automazione, inoltre, è imprescindibile se si vogliono raggiungere elevati livelli di efficienza e controllo. Se, ad esempio, i principali indicatori di rischio e i parametri di misurazione della conformità superano i livelli di guardia, l’automazione può consentire l’invio di notifiche via posta elettronica e l’avvio di workflow tali da indurre i dipendenti ad occuparsene.
In terzo luogo, la conformità non è un’attività da svolgere “una tantum”; al contrario, essa deve diventare una parte regolare dell’attività di ciascun dipendente in modo tale che lo sforzo richiesto nelle fasi iniziali del processo di conformità non debba essere ripetuto.
E in quarto luogo, la conformità continua dev’essere sostenibile. Le organizzazioni hanno necessità di centralizzare la gestione di tutti gli utenti e del loro accesso a risorse protette. In questo caso, la compliance basata sull’identità garantisce che processi manuali e frammentati si trasformino in uno strumento centralizzato e automatico di gestione e auditing degli utenti e dei loro ruoli e diritti di accesso.

Eliminare il rischio dall’equazione
Alcuni dei più importanti vantaggi offerti da una piattaforma di compliance continua si possono ottenere migliorando i processi di business per semplificare letteralmente le performance di tutta l’organizzazione. Prima di tutto, è meno probabile che aziende dotate di una piattaforma di compliance continua siano vittime di un grave inadempimento a livello aziendale. Riducendo questo rischio, l’azienda opera senza intoppi per periodi di tempo più lunghi e ottiene maggiori vantaggi economici riducendo al contempo la responsabilità giuridica personale dei dipendenti. Secondo un rapporto di IT Policy Compliance Group, le aziende con i migliori risultati di compliance IT sono soggette meno di tutte le altre a fermi dell’attività aziendale in seguito a eventi che colpiscono il sistema di sicurezza IT. I primi della classe in fatto di compliance subiscono annualmente non più di due interruzioni dell’attività a causa di problemi di sicurezza IT, mentre le aziende che ritardano a prendere provvedimenti in merito devono affrontare 17 o più interruzioni ogni anno.
In secondo luogo, la compliance continua consente di tenere sotto controllo i costi e aumentare l’efficienza. Una volta che i processi e i controlli sono stati ben compresi e documentati, possono venire allineati e integrati facilmente con altri processi o anche eliminati nel caso in cui risultino ridondanti. Inoltre, la scelta di una piattaforma di gestione delle identità centralizzata comporta efficienze significative quali maggiore produttività per i nuovi dipendenti che vengono messi in grado di accedere ai sistemi più velocemente, così come una riduzione delle risorse necessarie per l’Help Desk.
E in terzo luogo, aumentando la conoscenza e il controllo dei processi aziendali, delle identità e delle risorse, le organizzazioni sono in grado di migliorare l’efficacia della preparazione dei budget, della pianificazione e di altre funzioni aziendali. Anche il processo decisionale se ne avvantaggia in quanto prende le mosse da informazioni puntuali e accurate. Infine, un programma di compliance di successo può rendere più agile l’attività e consentire a un’azienda di sfruttare più rapidamente nuove opportunità di business. La gestione centralizzata delle policy di sicurezza e dell’accesso degli utenti, ad esempio, rende più semplice l’integrazione di aziende acquisite o l’introduzione di ecosistemi di value chain nell’infrastruttura aziendale.
Le aziende devono dimostrare responsabilità a livello operativo e fiduciario nel loro ambiente normativo. A tale scopo, la conformità non può essere solo un’attività da svolgere “una tantum”, bensì l’impegno costante di gestire le attività aziendali in modo più controllato e responsabile. Una strategia di compliance continua risponde a questa sfida in quanto consente all’azienda di rendere automatici i propri processi fondamentali di compliance in modo che possano soddisfare costantemente i requisiti necessari, senza mai trascurare di gestire i rischi più critici e aggiungendo valore all’azienda. Ciò si traduce in un approccio molto più efficace ed economico rispetto a un’alternativa manuale o ad hoc.

1 Open Compliance and Ethics Group (OCEG) GRC Strategy Survey 2007
2 GMG Global IT Compliance Report 2009

* Elio Molteni è Security Solution Strategist di Ca

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati