Cybersecurity, una regolamentazione unica europea tra tutela della privacy e sviluppo digitale

Cybersecurity, Cyber-Attacchi cyber-attacco cyber crimineUn gruppo di lavoro congiunto, che rappresenta i risk manager  e i revisori interni di 8 Paesi dell’Ue e di 6 diversi settori economici (banche, trasporti, difesa, It, servizi alimentari e telecomunicazioni) ha sviluppato una serie di linee guida per organizzare internamente la gestione dei rischi informatici, presentandole presso la sede del parlamento Europeo di Bruxelles. I dati delle imprese aprono opportunità per le organizzazioni europee, tuttavia, il bisogno di un ambiente sicuro si sta fondendo con le preoccupazioni dei consumatori in merito alla protezione dei dati personali – ha sottolineato Alessandro De Felice, presidente dell’Anra, Associazione nazionale dei risk manager e responsabili assicurazioni aziendali –. Per le organizzazioni diventa così opportuno combinare in un unico processo i propri obblighi in tema di privacy e la pianificazione strategica delle attività delle norme sul trattamento dei dati, migliorando al contempo la qualità della gestione del progetto e riducendo i costi”.

In questo contesto, la European Confederation of Institutes of internal Auditors (Eciia) e la European Federation of Risk Management Associations (Ferma) hanno lavorato insieme allo sviluppo di una infrastruttura  di gestione e governance del rischio informatico per il settore privato.

Una robusta infrastruttura per la governance del rischio informatico migliorerà i processi decisionali delle aziende, conducendo ad un migliore sviluppo dei prodotti e dei servizi, e allo stesso tempo fornendo una garanzia più forte e comprensiva che i rischi vengano identificati, quantificati, gestiti – in modo più efficiente e ad un costo inferiore – e mitigati.

Eciia e Ferma sostengono che le organizzazioni debbano costituire un sistema di governance del rischio informatico, supportate da una infrastruttura di gestione dello stesso. È necessario dirigersi verso l’implementazione delle misure di It, allo scopo di proteggere efficacemente le proprie attività e assicurarne la resistenza e continuità. Il modello è ancorato a due forti serie di principi: gli otto principi definiti nella raccomandazione di Oecd sul digital security risk management (2015) e le three lines of defence model, riconosciute come standard dell’Enterprise Risk Management (Erm).

La prima linea di difesa ha il compito dell’implementazione delle polizze e degli standard tecnici, e ha la responsabilità di monitorare giorno per giorno le reti e le infrastrutture. La seconda linea è responsabile della maggior parte delle funzioni di governance relative alla sicurezza informatica. La terza e ultima è formata dall’Internal Audit, che supervisiona l’operato delle prime due linee e controlla la coerenza dell’intero processo di cyber risk governance, oltre a fornire un backup periodico al board.

“Fondamentalmente una buona governance del rischio informatico consiste nel proteggere il valore all’interno dell’organizzazione – ha spiegato Jo Willaert, presidente di Ferma -. I consigli avranno sempre più bisogno di dimostrare agli investitori e al pubblico che i rischi informatici sono gestiti, non  solo da un punto di vista tecnico, ma anche da una prospettiva finanziaria e gestionale. Gli stakeholder esterni richiederanno sempre di più la garanzia che le organizzazioni abbiano posto in essere un’efficiente gestione del rischio informatico”.

Il modello di gestione del rischio informatico proposto sostiene la creazione di un Cyber Risk Governance Group dedicato, la cui missione consiste nel determinare quali siano le esposizioni al rischio informatico in termini finanziari e delineare possibili piani di attenuazione.

“Questo modello costituisce un modo innovativo per approcciare la sicurezza informatica che consentirà al Consiglio Direttivo di dimostrare che la gestione dei rischi informatici è basata su un’analisi documentata e razionale dei rischi interni all’organizzazione – ha aggiunto Willaert -. Ferma ed Eciia rappresentando le professioni di risk management e internal audit a livello europeo, giocano un ruolo chiave nell’apportare un contributo positivo alla modernizzazione di una buona governance per l’era informatica”.

Cybersecurity, una regolamentazione unica europea tra tutela della privacy e sviluppo digitale ultima modifica: 2017-07-27T16:32:28+00:00 da Redazione

Print Friendly, PDF & Email
© RIPRODUZIONE RISERVATA

Articoli che potrebbero interessarti: