I «grattacapi» della conformità

Le aziende possono ridurre il lavoro interno necessario a garantire la compliance, utilizzando un giusto approccio di risk assessment

Basilea II (banche), la liberalizzazione del mercato dei ricambi (automotive),
la tracciabilità di filiera (agroalimentare), la Solve and Secure (assicurazioni),
il Codice Privacy (per tutti), ma l’elenco sarebbe molto più lungo.

Gli obblighi imposti da alcune leggi, recenti e non, hanno un impatto decisivo
sulle strategie di sicurezza delle aziende che, sempre più spesso, si
trovano a dover rispondere verso l’esterno (i soci, i clienti, la Pubblica
amministrazione) delle modalità con cui trattano i dati che transitano
all’interno del proprio sistema informativo.
Tutto questo ha una ricaduta non trascurabile sulle attività quotidiane
dell’organizzazione e, soprattutto, su quelle del dipartimento informatico.
Solitamente, infatti, i processi It sono scarsamente documentati, soprattutto
rispetto al grado di formalizzazione richiesto dalle normative vigenti.

Crescono i controlli interni
Ecco perché si sente sempre più spesso parlare di approcci risk
oriented alla conformità che si concretizzano, però, in un sovraccarico
di lavoro per la funzione It. Secondo un’indagine condotta da Gartner,
su un campione di aziende americane assoggettate alla Sarbanes-Oxley (Sox),
è risultato che l’adozione di un corretto approccio alla gestione
della conformità può permettere di ridurre i controlli e il lavoro
dell’audit interno in misura variabile tra il 30 e il 70%. Il numero dei
controlli, infatti, è la misura più comunemente adottata per valutare
la complessità e il costo potenziale della compliance.
Più controlli implicano più attività che devono essere
testate, aggiustate e, se possibile, automatizzate e si traducono in una mole
sempre più pesante di documenti che devono essere scritti. Ma allora
come se ne viene fuori? Esistono modalità per cercare di razionalizzare
e standardizzare i controlli, sotto il profilo It? L’analista Gartner
ne suggerisce uno suddiviso in 7 passi:

Determinare quali regolamentazioni e richieste di conformità
abbiano un impatto diretto sul dipartimento It.

La ricaduta dovrà essere valutata attentamente dal Cio e discussa con
il top management, anche a fronte di una sua traduzione sulle policy degli altri
dipartimenti o su quelle più generali dell’organizzazione.

Selezionare un framework di controllo dell’It come modello di
riferimento, per mappare al meglio i rischi e i controlli relativi.

Tra i tanti, CobIt, Itil, Iso 17799 e Six Sigma.

Determinare quali processi It critici siano influenzati da quali regolamenti.

Solitamente, infatti, le aree più direttamente investite dalla compliance
sono lo sviluppo applicativo e il change management, l’Id e l’authentication
management.

Condurre un’analisi di assessment del rischio dei processi It
critici, ivi inclusi i sistemi e le applicazioni.

Gli obiettivi di controllo e le relative metriche pubblicate dal framework It
devono servire come guida per gli utenti.

Fare un inventario e un controllo approfondito di ciascun processo
It critico.


I controlli sono rappresentati da policy, processi e procedure che devono essere
adottate per assicurarsi l’aderenza ai principi di legge. In molte organizzazioni,
i controlli sono formalizzati ogni qualvolta una nuova richiesta di legge lo
renda necessario. Questo, tuttavia, si risolve spesso in una stratificazione,
perché gli obblighi comuni a più leggi non vengono razionalizzati.

Mappare i controlli sul framework It prescelto.
Infatti, non tutti gli obiettivi di controllo di CobIt, ad esempio, sono calzanti
con la conformità. Questo significa che occorre tenere conto anche degli
obiettivi di controllo che, pur non essendo formalizzati in un framework, siano
però fondamentali a garantire la conformità. Per contro, occorre
prestare minor attenzione (e risorse!) a quegli obiettivi mappati nel framework,
che non abbiano un impatto diretto sulla conformità.

Per i rischi che eccedono i limiti di tolleranza fissati dalla legge,
predisporre controlli adeguati
per riuscire a mitigarli o, laddove
questo risulti impossibile, gestirli al meglio (ad esempio stipulando idonee
assicurazioni).

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome