Una regolamentazione europea per proteggere la privacy delle aziende
Un gruppo di lavoro di 8 paesi dell'Unione Europea e 6 diversi settori economici ha stilato delle linee guida per la gestione dei rischi informatici per le PMI
Un gruppo di lavoro congiunto, che rappresenta i revisori interni di 8 paesi dell’Unione Europea e 6 diversi settori economici, banche, trasporti, difesa, IT, servizi alimentari e telecomunicazioni, ha sviluppato una serie di linee guida utili per le aziende riguardo la gestione dei rischi informatici.
Il lavoro è stato presentato presso la sede del parlamento Europeo di Bruxelles. Si tratta di un progetto necessario come spiega Alessandro De Felice, Presidente di ANRA: “I dati delle imprese aprono numerose opportunità per le organizzazioni europee, tuttavia, il bisogno di un ambiente sicuro si sta fondendo con le preoccupazioni dei consumatori in merito alla protezione dei dati personali. Per le organizzazioni diventa così opportuno combinare in un unico processo i propri obblighi in tema di privacy e la pianificazione strategica delle attività delle norme sul trattamento dei dati, migliorando al contempo la qualità della gestione del progetto e riducendo i costi”.
Un’infrastruttura di gestione e governance
È all’interno di questo contesto che hanno lavorato la European Confederation of Institutes of internal Auditors (ECIIA) e la European Federation of Risk Management Associations (FERMA), per realizzare una infrastruttura di gestione e governance del rischio informatico per il settore privato. Un sistema che migliorerà i processi decisionali delle aziende, conducendo ad un migliore sviluppo dei prodotti e dei servizi, e allo stesso tempo fornendo una garanzia che i rischi vengano identificati, quantificati e gestiti in modo più efficiente e ad un costo inferiore.
Le tre linee di difesa
Secondo ECIIA e FERMA è necessario dirigersi verso l’implementazione delle misure di Information Technology, allo scopo di proteggere efficacemente le proprie attività e assicurarne la resistenza e continuità. Il modello è ancorato ad alcune linee guida: gli otto principi definiti nella raccomandazione di OECD sul Digital Security Risk Management (2015) e le Three Lines of Defence model, riconosciute come standard dell’Enterprise Risk Management (ERM). Per quanto riguardo le Tre Linee di Difesa possono essere spiegate brevemente in questo modo: la prima linea di difesa ha il compito dell’implementazione delle polizze e degli standard tecnici, e ha la responsabilità di monitorare giorno per giorno le reti e le infrastrutture. La seconda linea è responsabile della maggior parte delle funzioni di governance relative alla sicurezza informatica. La terza e ultima è formata dall’Internal Audit, che supervisiona l’operato delle prime due linee e controlla la coerenza dell’intero processo di cyber-risk governance, oltre a fornire un backup periodico al board.
Il modello proposto dall’UE
Il modello di gestione del rischio informatico proposto da ECIIA e FERMA sostiene la creazione di un Cyber Risk Governance Group dedicato, la cui missione consiste nel determinare quali siano le esposizioni al rischio informatico in termini finanziari e delineare possibili piani di attenuazione. “Questo modello costituisce un modo innovativo per approcciare la sicurezza informatica che consentirà al Consiglio Direttivo di dimostrare che la gestione dei rischi informatici è basata su un’analisi documentata e razionale dei rischi interni all’organizzazione”. conclude Jo Willaert, Presidente di FERMA.
