Gruppo Generali e PosteVita hanno scelto la tecnologia della società romana CrossIdeas per il governo degli accessi. Il founder, Andrea Rossi, ci spiega perché.
I gruppi assicurativi Generali e PosteVita hanno adottato le soluzioni di CrossIdeas per ottemperare ai requisiti normativi e di sicurezza delle informazioni.
Il settore assicurativo è infatti oggi al centro di attività di governance e risk management, derivanti dai requisiti della direttiva Solvency II, che ridefiniscono le modalità nell’erogazione e verifica dei permessi informatici per l’accesso alle applicazioni critiche. A livello italiano, poi, la legge 262/05 (“Tutela del risparmio e Corporate Governance”) ha amplificato l’esigenza di controllo di Ad e Cfo.
Abbiamo chiesto ad Andrea Rossi, Founder e Evp Sales di CrossIdeas di spiegarci limportanza di queste attività, partendo proprio dai progetti portati a termine.
D: Gruppo Generali e PosteVita hanno scelto la tecnologia di CrossIdeas per il governo degli accessi. Quanto sono durati i progetti?
R: Non possiamo entrare nello specifico per motivi di confidenzialità. In generale, in tutti i settori, i progetti di governo accessi nascono con criteri di urgenza, e solitamente la fase 1 deve essere implementata in massimo 4-5 mesi, intendendo con ciò che le funzionalità chiave di governo, eventualmente su un set ristretto di applicazioni critiche, debbono essere usabili da utenti business, che sono i veri utenti del servizio. Poi, possono proseguire per fasi successive, ma oramai il business richiede risultati tangibili con fasi progettuali non più lunghe di 6 mesi.
D: Quanto la normativa che regola il settore assicurativo (Solvency II) ha influito sul vostro lavoro, in termini di acquisizione di competenze?
R: Non ha influito sulle competenze, ha influito sul mercato. Il settore assicurativo sta velocemente maturando una consapevolezza di gestione del rischio, sia finanziario sia informatico, che spinge naturalmente l’adozione di soluzioni che siano disegnate con il concetto di Rischio. Nel nostro caso, noi gestiamo i processi di rilevazione, mitigazione ed eventuale eliminazione dei rischi derivanti da impropri accessi a dati ed applicazioni, che possono causare frodi o perdite di dati.
D: In queste aziende chi decide e come a chi spetta accedere ai dati mission critical e quali strumenti usa per farlo?
R: La decisione di adeguare i propri processi di governo accessi nasce sempre a valle di una attività di audit che rilevano non conformità e queste sono visibili al Ceo e Cfo.
La spinta realizzativa viene perciò dal business, e si propaga tipicamente ai Ciso, Chief Information Security Officer, oppure Cio che debbono trovare prodotti e progettualità per implementare in pratica quanto richiesto dal business.
D: Quanto è consistente e pronta la reportistica sugli accessi e quanto è utilizzata per fare sicurezza?
R: La reportistica è tanto valida quanto i dati sui cui poggia. Gli strumenti di Access Governance hanno esattamente questo obiettivo. La reportistica è un aspetto chiave dei progetti di Governance, in quanto la trasparenza tra It e business è l’elemento chiave. Di tutti i progetti oramai, ma specialmente dei progetti di governo accessi perchè il problema legale di conformità normativa è del Ceo e del Cfo, non dell’It.
D: Con le soluzioni di Governo delle Identità ed Accessi in che percentuale il rischio aziendale è sotto controllo?
R: Difficile rispondere in termini assoluti. In termini qualitativi, avere una buona postura sul controllo del rischio accessi non riduce solo il rischio operativo ma anche quello legale e finanziario, in quanto il rischio accessi è direttamente legato a leggi/normative che, qualora non ottemperate, possono portare a conseguenze di rilevanza penale per gli amministratori. Basti pensare alla legge 262 sulla Corporate Governance, che si applica ad aziende di tutti i settori.
D: Quanto influiscono anche sul buon esito del business? Esistono calcoli che lo dimostrano?
R: Anche in riferimento a quanto indicato sopra, le soluzioni di Access Governance hanno l’obiettivo di ridurre i rischi, non hanno una rilevanza sul business in termini di ricavi aggiuntivi ma sicuramente riducono enormemente il rischio di costi inattesi: frodi sui dati, multe. Non esistono tuttavia calcoli nel senso stretto. Si può tuttavia dire che in alcuni settori, frodi legati al non appropriato controllo delle separazioni dei compiti hanno portato Danni superiori ai 30 milioni di euro.