Marco Colonna di Attachmate ci spiega il senso della gestione unificata del rischio operativo.
Marco Colonna, senior sales and system engineer Semea della divisione NetIq di Attachmate, ultimamente concentra la propria attività sul tema della gestione unificata della conformità e del rischio d’azienda prendendo spunto da quello che Basilea2 ha rappresentato per il settore bancario.
Lo fa partendo dalla considerazione che c’è la necessità di avere uno standard di linguaggio comune al mondo business e rilevando i limiti attuali delle pratiche Itil (It Infrastructure Library), ossia quella cosa che pare più vicina all’obiettivo individuato.
«Giocano due elementi a favore della gestione del rischio operativo– sostiene Colonna -. Bisogna capire l’efficienza e l’efficacia di investimenti It ingenti e, assieme, dare una vista comune all’investimento per la sicurezza del dato».
E se si vuole trovare un linguaggio comune, pensa Colonna, ci si può proprio ispirare al valore paradigmatico che ha avuto Basilea2: bisogna estrarre una semantica comune per tutti.
Lo stato delle cose dice che c’è una deregulation in materia e anche una necessità di uniformazione.
«La sicurezza– dice il manager – ci consente di creare il missing link fra l’hacker view e la business view del problema». Il calcolo del rischio operativo, insomma, è il terreno su cui muoversi: va fatta l’analisi quantitativa dei singoli elementi tecnologici.
Ma perché esiste il rischio operativo? «Per il confluire di due fattori– spiega Colonna -. La necessità di conformarsi alle normative, pena l’incorrere in sanzioni, e lo stato di vulnerabilità delle infrastrutture, che non si può vincere del tutto. Perciò noi proponiamo la misurazione del rischio. Lo facciamo tecnicamente, con analisti quantitative, su dati reali».
Le azioni di assessment al riguardo, devono vertere sul processo o alla tecnologia?
«Non vanno più considerate separatamente– pensa Colonna -. Insieme fanno un’unica metodologia di feedback. Con il nostro approccio il rischio di non aderenza alla normativa e quello di subire delle intrusioni convergono sin da subito. Non si può prevedere cosa può accadere alla nostra infrastruttura, ma ci si può preparare a gestire l’imprevedibile, minimizzando i rischi. Si tratta di avere un approccio militare alla tematica della gestione del rischio operativo: si configura il sistema e si monta di guardia. Le regole della compliance si estraggono dall’impostazione e si motivano alle autorità che lo chiedono, semplicemente. In più, si misura la user awareness dell’infrastruttura, continuamente».
E a chi si propone questa visione?
«A tutti – sintetizza il manager. Facciamo evangelizzazione, al di la delle banche», che il concetto di rischio operativo, grazie ancora a Basilea2, ce l’hanno ben chiaro.
