La gestione del rischio informatico in azienda è un’attività che ha successo solo se inquadrata in senso olistico. Lo dice Misra Sunil, responsabile dell’iniziativa Zero Gap di Unisys.
Luglio 2003>
Misra Sunil, responsabile dell’iniziativa Zero Gap, tesa a dare persistenza agli ambienti informatici complessi, ci ha illustrato le idee della società in merito alla complementarietà dei temi del risk management con quelli della business continuity, alla centralità dello storage nella costruzione di architetture prive di latenza e degli aspetti relativi alla gestione delle identità digitali.
Nella nostra visione – ci ha detto Sunil –il risk management è un ombrello che copre un insieme fatto di controlli di gestione, processi di business e iniziative strategiche per l’enterprise. La business continuity è una soluzione, o se si vuole un insieme di azioni, che le imprese intraprendono sulla base dei paradigmi di risk management che adottano. Ovvero, l’ampiezza delle soluzioni di business continuity sono direttamente proporzionali al profilo di rischio, di vulnerabilità e di tolleranza alle interruzioni di servizio che si sceglie di sopportare.
C’è la scelta imprenditoriale, quindi, alla base di tutto, secondo il manager di Unisys. Il management decide che fare della propria struttura It, soprattutto sotto il profilo della persistenza. Ovvero: si stabilisce quale grado di interruzione di è disposti a sopportare e si conforma la struttura a questo, consci che se si vuole arrivare alla latenza zero, oggi, grazie alla tecnologia, lo si può fare (ovviamente facendo gli opportuni investimenti e sopportando i costi connessi).
Sul piano delle soluzioni, Unisys ha una gamma completa di servizi che copre tutto lo spettro dei rischi operativi e legati all’It. Esempi di soluzioni di business continuity sono la Business impact analisys, il Business continuity planning e la verifica del Recovery plan.
In tutto questo ampio ventaglio di soluzioni, qual è il ruolo dello storage? Ogni infrastruttura It – ha specificato Sunil – impatta sulla security delle aziende. Esistono specifiche aree applicative nelle quali lo storage ha delle implicazioni di sicurezza, come nel caso della conservazione dei documenti. Gran parte della conoscenza aziendale, del resto, oggi è rappresentabile con documenti elettronici. In tal senso, la sicurezza e lo storage procedono di pari passo. E non dimentichiamo gli aspetti legali della conservazione dei documenti. Basti pensare a cosa ha rappresentato il caso Enron.
Lo storage inserito in un contesto di risk management, quindi, produce implicazioni che vanno al di là dell’aspetto tecnologico, e interessano direttamente le responsabilità, anche penali, del management. Diventa d’attualità, quindi, il tema della gestione delle identità digitali, proprio per poter risalire, in qualsiasi momento, all’autore del documento aziendale.
L’identity management – ha sostenuto Sunil – è un aspetto critico del risk management. Non si possono gestire i rischi dell’infrastruttura se non si conosce chi può accedervi. In tal senso, l’identity management parte dalla gestione degli accessi e si spinge a essere gestione del ciclo di vita degli attori digitali. Così la gestione dei digital right diventa parte sia delle attività di protezione della proprietà intellettuale, sia di quelle che riguardano eventuali cause per la perdita, accidentale o capziosa, di informazioni.
In buona sostanza – ha concluso Sunil – il risk management deve essere inquadrato olisticamente. Nessuna tecnologia può risolvere, da sola, tutti i problemi di sicurezza e in azienda c’è bisogno di una congruente combinazione di persone, processi e tecnologie, per realizzare un congruo framework di risk management.
