Cybersecurity: linee guida EU per il risk management

ECIIA e la European Federation of Risk Management Associations (FERMA) hanno sviluppato una infrastruttura  di governance del rischio informatico

Un gruppo di lavoro congiunto, che rappresenta i Risk Manager  e i revisori interni di 8 paesi dell’UE e di 6 diversi settori economici (banche, trasporti, difesa, IT, servizi alimentari e telecomunicazioni) ha sviluppato una serie di linee guida per le organizzazioni riguardo alle modalità innovative per organizzare internamente la gestione dei rischi informatici, presentandole presso la sede del parlamento Europeo di Bruxelles.

La digitalizzazione rappresenta un trend in accelerazione in tutto il mondo, costituendo un’opportunità chiave di business per le aziende europee e diventando cruciale per lo sviluppo di numerose organizzazioni, tanto quanto la sicurezza informatica. Di conseguenza oggi avere una strategia digitale è essenziale per la gestione di ogni tipo di impresa. Ma come passare dalla accettazione di questo dato di fatto alla sua concretizzazione?

«I dati delle imprese aprono opportunità per le organizzazioni europee, tuttavia, il bisogno di un ambiente sicuro si sta fondendo con le preoccupazioni dei consumatori in merito alla protezione dei dati personali», ha osservato Alessandro De Felice, Presidente di ANRA.  «Per le organizzazioni diventa così opportuno combinare in un unico processo i propri obblighi in tema di privacy e la pianificazione strategica delle attività delle norme sul trattamento dei dati, migliorando al contempo la qualità della gestione del progetto e riducendo i costi».

Alessandro De Felice, Presidente di ANRA

Un fame unificato di riferimento

In questo contesto, la European Confederation of Institutes of internal Auditors (ECIIA) e la European Federation of Risk Management Associations (FERMA) hanno lavorato insieme allo sviluppo di una infrastruttura  di gestione e governance del rischio informatico per il settore privato.

Una robusta infrastruttura per la governance del rischio informatico, osserva FERMA, migliorerà i processi decisionali delle aziende, conducendo ad un migliore sviluppo dei prodotti e dei servizi, e allo stesso tempo fornendo una garanzia più forte e comprensiva che i rischi vengano identificati, quantificati, gestiti – in modo più efficiente e ad un costo inferiore – e mitigati.

ECIIA e FERMA sostengono che le organizzazioni debbano costituire un sistema di governance del rischio informatico, supportate da una infrastruttura di gestione dello stesso. È necessario dirigersi verso l’implementazione delle misure di IT, allo scopo di proteggere efficacemente le proprie attività e assicurarne la resistenza e continuità.

Un modello con tre linee di difesa

Il modello è ancorato a due forti serie di principi: gli otto principi definiti nella raccomandazione di OECD sul Digital Security Risk Management (2015) e le Three Lines of Defence model, riconosciute come standard dell’Enterprise Risk Management (ERM).

  • La prima linea di difesa ha il compito dell’implementazione delle policy e degli standard tecnici, e ha la responsabilità di monitorare giorno per giorno le reti e le infrastrutture.
  • La seconda linea è responsabile della maggior parte delle funzioni di governance relative alla sicurezza informatica.
  • La terza e ultima è formata dall’Internal Audit, che supervisiona l’operato delle prime due linee e controlla la coerenza dell’intero processo di cyber risk governance, oltre a fornire un backup periodico al board.

Le tre linee di difesa

Il modello di gestione del rischio informatico proposto sostiene la creazione di un Cyber Risk Governance Group dedicato, la cui missione consiste nel determinare quali siano le esposizioni al rischio informatico in termini finanziari e delineare possibili piani di attenuazione.

«Questo modello costituisce un modo innovativo per approcciare la sicurezza informatica che consentirà al Consiglio Direttivo di dimostrare che la gestione dei rischi informatici è basata su un’analisi documentata e razionale dei rischi interni all’organizzazione. FERMA e ECIIA, rappresentando le professioni di Risk Management e Internal Audit a livello europeo, giocano un ruolo chiave nell’apportare un contributo positivo alla modernizzazione di una buona governance per l’era informatica», ha osservato Jo Willaert, Presidente di FERMA