Come attuare un approccio risk based alla Cybersecurity?
Come attuare un approccio risk based alla Cybersecurity?

Le organizzazioni pubbliche e private stanno adottando sempre più un approccio più risk based (e sempre meno invece compliance based) nei propri  programmi e investimenti per la Cybersecurity. Un approccio di tipo risk based per la Cybersecurity, oltre a riportare nel suo corretto alveo la gestione di uno dei più importanti rischi per le aziende, presenta anche vantaggi dal punto di vista economico, permettendo di graduare il livello di investimenti necessari per garantire la sicurezza del proprio sistema informativo. Questo orientamento inoltre è sempre più presente negli interventi che Regulators italiani ed europei stanno facendo in tema di Cybersecurity.

La tendenza è iniziata fin dalla stesura delle specifiche di Basilea III, da parte della BCE, poi riprese dalla Circolare 263 di Banca d’Italia (“Nuove disposizioni di vigilanza prudenziale per le banche”). La circolare, nel suo aggiornamento del 2 luglio 2013, fa esplicito riferimento al Risk Appetite Framework nel modulare la qualità e la quantità di interventi necessari a definire la robustezza del sistema informativo. Per le banche d’altronde l’approccio risk-based è una necessità, dal momento che l’accantonamento di capitale richiesto da Basilea III per garantire la solidità di queste istituzioni finanziarie è proporzionale alle risultanze di una approfondita analisi del rischio, anche della componente ICT.

Ma ci sono due altri interventi importanti che l’Unione Europea ha completato quest’anno, legati alla Cybersecurity, che sono sempre più caratterizzati da un approccio risk based. Parliamo del Regolamento EU sulla Data Protection (GDPR) e della Direttiva per la Network and Information Security (NIS), anch’essa prevista a regime dal 2018.

Un approccio risk based significa in generale che un rischio, una volta individuato e compreso, può essere accettato (non facendo niente), mitigato (con soluzioni e misure che lo riducono) o trasferito (con coperture assicurative). Alla base di una gestione risk based, le aziende devono attuare un risk assessment, in modo da arrivare (ed essere in grado di comunicare al management) a una migliore comprensione dei rischi IT e cyber specifici per l’azienda e il suo business model; una giustificazione per eventuali nuovi investimenti, tool, risorse; una maggiore sicurezza sulla possibilità di contrastare i rischi più gravi per il business; un punto di riferimento per la verifica che il programma di cybersecurity sia gestito nel migliore dei modi. Le esigenze di compliance naturalmente rimangono, ma sono gestite come “rischio di non compliance”, non come il fine ultimo delle attività impostate con il programma generale.

L’approccio risk based alla cybersecurity va di pari passo con un maggiore utilizzo di standard e Framework di riferimento. “L’utilizzo di un framework come quello voluto da Obama nel 2012 per le aziende USA, il Framework del NIST, presenta numerosi vantaggi – commenta Fabrizio Bulgarelli, Responsabile della funzione IS Audit & Compliance di BDO Italia – Consente infatti di ridurre i rischi IT pur essendo NON normativo, piuttosto basato su una decisione autonoma (voluntary) di adesione. Inoltre risulta adattabile a specifiche esigenze e priorità (principio del “no one-size fits all”), flessibile, orientato alle prestazioni, efficiente (per aspetti di costo/prestazione), in grado di identificare, valutare e gestire i rischi IT, basato sull’utilizzo o quanto meno allineato agli standard e buone pratiche già disponibili nel contesto internazionale”.

Il Webinar “Cybersecurity Governance. Strumenti e framework di riferimento”, organizzato da Mega International in collaborazione con The Innovation Group e BDO il prossimo 7 Novembre 2016, dalle 14:30 alle 15:30, grazie all’intervento di Fabrizio Bulgarelli, Responsabile della funzione IS Audit & Compliance di  BDO Italia, e Antonino Ciuro, Responsabile Partnership & Pre Sales di MEGA International, servirà a fare il punto sulle best practices in ambito Cybersecurity Governance, mostrando come sia possibile migliorare la Security Posture dell’azienda, adottando un approccio basato su un Framework che:

  • Definisce la sicurezza IT in termini di obiettivi funzionali
  • Valuta il livello con il quale le misure individuate sono implementate
  • Identifica scostamenti e rischi per pianificare le azioni correttive
  • Evolve nel tempo il modello di controllo e monitoraggio.

e una piattaforma a supporto che permette di ottenere vantaggi come:

  • Una maggiore gestione, automazione e replicabilità dei controlli per la compliance
  • L’introduzione di maggiore visibilità ed efficacia nei processi legati alla Cybersecurity
  • L’aderenza a framework e standard internazionali
  • Un migliore coinvolgimento delle diverse funzioni aziendali in modo da attivare processi collaborativi.

ISCRIVITI QUI AL WEBINAR!!!!

mega_990x150_v2