Un approccio alla risk governance nella cloud transformation

La trasformazione digitale è oramai un termine comune che negli ultimi tempi è diventato dominante nelle discussioni aziendali: ma quali sono i componenti chiave di una trasformazione digitale e in che modo sono collegati all’utilizzo delle tecnologie di cloud computing e perché così tante aziende stanno cimentandosi nel perseguirla così convintamente?

La trasformazione digitale è quando una organizzazione si avvantaggia di nuove tecnologie per riprogettare e ridefinire le relazioni con la propria clientela, i propri dipendenti e partner commerciali. Dalla prospettiva del business essa copre ogni cosa, dall’ammodernamento delle applicazioni allo sviluppo di nuovi modelli per sviluppare nuovi prodotti e servizi per i clienti.

Per dare una definizione complessiva, potremmo quindi affermare che:

• per creare o modificare i processi di business, la cultura e la customer experience in modo da soddisfare i cambiamenti richiesti dall’evolversi delle dinamiche di mercato, la trasformazione digitale fa uso di moderne tecnologie, incluse tutte le piattaforme cloud ibride, private e pubbliche.

Comunque essa sia definita, è importante capire che si tratta del propellente mediante il quale le aziende di ogni tipo, dalla startup alla multinazionale globale, hanno deciso di avanzare nei rispettivi settori non solo per aumentare le possibili scalabilità ma anche per guidare cambiamenti significativi abbracciando pienamente l’era digitale attraverso un forte impegno da parte delle linee di business e delle funzioni IT.

Tali cambiamenti posso generare i seguenti benefici:

• utilizzare tecnologie flessibili in grado di sviluppare, mettere in esercizio e gestire applicazioni in cloud con tempi più veloci rispetto agli approcci tradizionali;
• abbracciare nuove idee e fare nuove intuizioni in base alla crescente personalizzazione della domanda dei clienti;
• misurare i risultati attraverso l’analisi dei dati in modo da essere in grado di guidare un processo decisionale informato;
• collaborare tra organizzazioni scambiandosi la conoscenza attraverso degli strumenti comuni;
• migliorare il valore aggiunto dei servizi erogati al cliente;
• accelerare il passaggio all’era digitale con l’agilità e la scalabilità che prima non era possibile avere;
• sfruttare l’opportunità di ridurre i rischi operativi e di incrementare la resilienza operativa.

Come avviene la digital trasformation

Una trasformazione di successo coinvolgerà moltre strutture organizzative e per comprendere come questi cambiamenti (i.e. changes) interessino l’approccio alla misurazione e gestione del rischio è utile comprendere non solamente il “come” verranno attuati, ma anche il “perchè” questi cambiamenti dovranno essere implementati.

Il tema principale riguarda infatti che il tradizionale ciclo-vita (i.e. lifecycle) della comprensione dei bisogni del cliente, il modo in cui i prodotti ed i servizi sono progettati e il modello operativo con cui i servizi applicativi e IT sono erogati, sono processi inadatti a tenere il passo con il ritmo cui al giorno d’oggi i clienti si attendono vengano realizzate le varie innovazioni: pertanto, alla base della trasformazione serve innanzitutto adottare delle pratiche maggiormente adeguate in grado di rispondere ai desideri di cambiamento in tempi veloci (vedasi anche le cosiddette logiche di time to market).

Il programma di gestione dei rischi specifico per il cloud computing

In tale trasformazione, la funzione di risk management (i.e. CRO Function) dovrebbe prontamente sapersi adattare modificando di conseguenza le proprie strategie di risk governance attraverso la creazione di un ambiente dove siano favoriti approcci innovativi e agili.

Con questo obiettivo, tra le principali aree di miglioramento su cui porre il focus, si evidenziano le seguenti:

1. assicurare una adeguata copertura in termini di capabilities (e.g. skills e risorse);
2. adattare la strategia e il risk management framework al nuovo contesto;
3. stabilire un processo di continuous monitoring in grado di assicurare che nell’ambito di un continuo cambiamento, le risk tolerance siano sostenibili e il risk management framework sufficientemente in grado di adattarsi.

La valutazione della preparazione organizzativa

Poiché la trasformazione cloud può generare una risk reduction in grado di apportare significativi miglioramenti alla sicurezza informatica e alla resilienza operativa delle varie organizzazioni; se però è intrapresa senza una adeguata pianificazione, in grado di consentire alle funzioni di sicurezza e IT di prepararsi adeguatamente, essa può generare rischi di esecuzione e di sicurezza di per sé.

Per ovviare a questo, la funzione di risk management dovrebbe adottare preventivamente un programma in cui le attività di supervisione siano stabilite attraverso il pieno coinvolgimento degli attori afferenti alle aree di business, di technology e di security preferibilmente di livello gerarchico alto (i.e. Senior Executives) in modo da determinare la creazione di una forte ed estesa leadership attraverso, per esempio, la creazione e l’utilizzo di un “Cloud Center of Excellence” (CCoE).

La comunicazione con il board

In questo tipo di trasformazioni le linee di business, di technology e di security dovrebbero tenere costantemente informato il board (o comitato) e la funzione di risk management dovrebbe fornire una prospettiva indipendente sul grado di efficacia dei controlli e di aderenza delle tolleranze di rischio nel contesto delle iniziative in corso.

Stabilire e allineare il risk framework e le tolleranze

Questa attività dovrebbe essere svolta in allineamento al nuovo modello di gestione del business e delle aree di technology e security e per azionarla efficacemente vi sono diversi driver di cui tenere conto, i quali spaziano dalla crescente frequenza di cambiamento a cui le tecnologie e i business sono sottoposti, alla mutata natura dei processi digitali in seguito alla intervenuta adozione di nuovi fattori mitiganti sia di resilienza che di pura security.

Occorre quindi considerare quali dei seguenti tipi di rischio devono essere riesaminati alla luce del cloud:

• cybersecurity – continuo adeguamento dei controlli chiave, dei processi e delle tecnologie di prevenzione, rilevamento e di risposta alle minacce esterne e interne;
• pandemia – sostenere le business operation in scenari in cui le persone non possono o non vogliono operare in stretta prossimità gli uni con gli altri;
• ambientale e infrastrutturale – progettare e allocare le cosiddette “facilities”

Conclusioni

Al continuare della maturazione delle practice di trasformazione digitale la funzione di risk management dovrebbe allo stesso modo continuare a maturare i propri approcci a tale trasformazione.

Nel perseguire questa logica, essa dovrebbe considerare i seguenti elementi chiave:

• stabilire un criterio per approvare di default le migrazioni nel momento in cui le business unit e i team tecnologici che le stanno accompagnando, dimostrano di essere conformi alle policy e agli standard oltre che alle configurazioni richieste. Questo potrebbe richiedere di stabilire differenti livelli di controllo da applicare a differenti categorie di dati o di servizi.
• riesaminare le parti dell’ecosistema composto dai produttori le cui soluzioni commissionate direttamente dalle business unit senza passare dal processo di risk management, avranno bisogno di essere supervisionate secondo specifici criteri e gradi di assurance.
• determinare quali ulteriori miglioramenti servono per ridurre i premi assicurativi in virtù di una maggiore ed evoluta standardizzazione dell’ambiente dei controlli.