In un contesto aziendale e produttivo sempre più data driven in cui i dati sono diventati un asset rilevante e di valore, le funzioni di controllo giocano un ruolo di primo piano in tutti gli aspetti di security e compliance e sono chiamate a partecipare sempre di più negli aspetti di protezione di questo prezioso patrimonio informativo sia in termini di prevenzione sia in termini di gestione degli eventi di sicurezza, anche nel rispetto della normativa in materia che sta evolvendo per disciplinare obblighi e requisiti applicabili (GDPR, Direttiva NIS ecc.).
È dunque importante che le funzioni di controllo abbiano una chiara comprensione di come l’Information Technology possa supportare l’adeguamento alla normativa in vigore.
In particolare, “il fenomeno della Digital Transformation offre alle funzioni di controllo delle aziende l’opportunità di rivedere le proprie modalità operative e gli strumenti a supporto, incrementando in maniera significativa il contributo apportato in termini di valore aggiunto”: è il parere di Enrico Ferretti, Managing Director di Protiviti, che sarà uno degli speaker del webinar sulla Security & Compliance rivolto a CISO, CIO, responsabili internal audit, legal e compliance organizzato dalla stessa Protiviti in collaborazione con Microsoft che si terrà il prossimo 10 marzo 2021.
Indice degli argomenti
Come evolve il ruolo delle funzioni di controllo
Le funzioni di controllo, lo ricordiamo, rappresentano un elemento fondamentale del complessivo sistema di governo dell’impresa, in quanto assicurano che l’attività aziendale sia in linea con le strategie e gli obiettivi di business, mantenga la necessaria coerenza con le politiche aziendali e sia conforme ai requisiti cogenti e volontari.
In particolare, quindi, rappresentano uno strumento di gestione del rischio di impresa che tiene conto dei processi di risk assessment e risk management coerentemente ad un approccio sempre più risk-based che le aziende adottano in fase di progettazione e valutazione dei controlli interni.
Stiamo dunque assistendo ad una naturale evoluzione del ruolo delle funzioni di compliance (e legal) che sempre di più si interessano alla protezione dei dati sia in termini di prevenzione che di gestione di eventi di sicurezza.
Security e compliance: la nuova sicurezza “su misura”
In un contesto sempre più integrato di security e compliance è dunque evidente che non è più possibile fornire indicazioni oggettive e uguali per tutti, ma è importante adottare norme che insistono sul tema della valutazione del rischio e su sistemi di protezione “su misura” rispetto al singolo contesto aziendale.
È questo, d’altronde, uno dei punti che caratterizzano la nuova normativa europea in materia di protezione dei dati.
Ecco perché occorre concentrarsi su quelle che sono le “dimensioni” importanti, fisiche e virtuali, per la compliance normativa:
- perimetro: avere coscienza del perimetro da proteggere in termini di dati, utenti autorizzati ad accedervi, sistemi e dispositivi così da poter sapere cosa proteggere (soprattutto in un mondo dove i confini tra mondo aziendale e personale sono sempre più sottili tanto da portare ad approcci Zero-Trust);
- prevenzione: mettere in atto tutte le misure di sicurezza possibili per evitare violazioni normative che potrebbero avere impatti reputazionali, normativi ed economici per le organizzazioni;
- gestione: sapere il rischio non si può azzerare e pertanto è importante prevenire quanto adottare processi e tecnologie funzionali a rispettare i dettami normativi (es. identificazione e gestione degli incidenti di sicurezza).
Security e compliance: conoscere gli ambiti di intervento
È altresì evidente che, per concentrarsi sulle dimensioni importanti per la compliance normativa, è importante costruire una necessaria scope awareness, cioè una conoscenza e consapevolezza degli ambiti d’intervento.
Vero è, infatti, che uno dei problemi principali (applicabile a diverse normative) è non sapere dove (pensiamo, ad esempio, a tutte le problematiche ricollegabili alla Shadow IT) e quali dati si hanno sia in termini di tipologia che di criticità.
A tale proposito, bisognerebbe sempre porsi alcune semplici ma fondamentali domande:
- Dove sono i miei segreti industriali e come li devo proteggere?
- Chi accede al dato (strutturato e non strutturato)?
- Quali servizi cloud vengono usati dai miei dipendenti?
- Che dati vengono archiviati su questi servizi cloud?
La mancanza anche parziale di una consapevolezza su queste problematiche può portare le aziende ad applicare misure di sicurezza non efficaci.
Allo stesso tempo, in molte aziende manca un vero e proprio process enforcement: molte aziende definiscono policy, procedure e processi senza riuscirne a garantire l’enforcement tecnologico (il classico esempio è quello della data classification, che rimane una procedura su carta e quindi inapplicata).
Così come un altro punto critico riguarda l’impossibilità di eseguire un monitoraggio della compliance interna rispetto alle policy e alle procedure che ci si è dati. In questo caso, una delle principali problematiche che le aziende non sono in grado di gestire riguarda la creazione di utenze nel rispetto dei principi di SoD (Segregation of Duties, letteralmente: separazione dei compiti) definiti nelle procedure aziendali di access control.
Eppure, proprio l’applicazione del principio di SoD costituisce uno degli elementi portanti del sistema di controllo interno in quanto ha l’obiettivo primario di prevenire frodi ed errori. Ecco perché il management aziendale dovrebbe dedicare la massima attenzione alla SoD intesa come principio fondamentale di sicurezza sin dal momento in cui vengono progettate le strutture organizzative e assegnate autorità e responsabilità ai dipendenti.
Strumenti e tecnologie a supporto della digital transformation
Non bisogna inoltre dimenticare che una delle principali problematiche in ambito security e compliance riguarda proprio la segregazione degli strumenti utilizzati per finalità di adeguamento normativo, risk management e IT security.
Tale segregazione non garantisce piena visibilità all’interno delle organizzazioni per cui è necessario adottare strumenti di security (ma non solo) che possano portare anche valore alle funzioni di controllo (compliance, legal, risk) sia a livello informativo (visibilità sui dati, le misure di protezione ecc.) sia a livello gestionale (es. strumenti di investigation).
In questo senso, i vari CISO, CIO e responsabili Internal Audit, Legal e Compliance possono trovare un valido supporto nelle tecnologie e negli strumenti sviluppati da Protiviti e Microsoft che consentono, tra le altre cose, di valutare e monitorare lo stato di adeguamento rispetto ad una nuova normativa (come è stato per il GDPR, come è per la SOX quando si decide di quotarsi, SOX, SWIFT, ISO 27001 ecc.).
Ma anche di avere a disposizione funzionalità di Investigation, insider risk, Compliance Manager (cruscotti di monitoraggio) e data connector che possano aiutare le aziende a risolvere la problematica della separazione dei compiti.
“A questo scopo, una delle principali sfide consiste nel dotarsi di strumenti semplici ed intuitivi nell’utilizzo, ma al tempo stesso efficaci per le attività di Governance, Risk & Compliance. Protiviti, azienda specializzata nella consulenza direzionale, in qualità di Gold Partner Microsoft, supporta i propri Clienti nell’affrontare questa trasformazione, integrando l’utilizzo di tecnologie Microsoft nei processi GRC, fornendo, in concreto, un risultato tangibile nella gestione e protezione di quello che ad oggi è il più rilevante asset aziendale: le informazioni”, ci dice ancora Enrico Ferretti di Protiviti.
“Le organizzazioni oggi stanno andando oltre la promessa iniziale del cloud di trasformare digitalmente le loro attività attraverso innovazioni più veloci, risorse flessibili ed economie di scala. Microsoft Trusted Cloud è stato basato sui principi fondamentali di sicurezza, privacy, conformità (Compliance) e trasparenza. Ogni giorno collaboriamo con le organizzazioni, consentendo loro di realizzare la loro visione, su una piattaforma affidabile e sicura. Grazie ad un partner come Protiviti i nostri clienti sono in grado di sfruttare al meglio tutte le componenti messe a disposizione dalla piattaforma ed accelerare la loro adozione”, è invece il commento di Stefano Longo, Head of Technical Specialist Modern Work, che anticipa i contenuti del webinar Microsoft Security & Compliance – strumenti e tecnologie al servizio delle funzioni di controllo fissato per il prossimo 10 marzo 2021, al quale è possibile partecipare registrandosi sulla pagina dedicata.
Contenuto editoriale realizzato in collaborazione con Microsoft e Protiviti
