Parlare di gestione della sicurezza nelle imprese significa sempre di più prendere in esame processi, accessi, identità, compliance. Tematiche di governance, che richiedono competenze trasversali, capacità di analisi e un approccio olistico che non si limiti al singolo dipartimento o alla singola funzione operativa.
Sono tematiche che hanno assunto una rilevanza cruciale per le imprese, a prescindere dal settore in cui operano e dalla loro dimensione: non è dunque un caso che si stia assistendo a una sempre più convinta adozione di soluzioni specifiche, a partire da tutto quanto riguarda l’ambito GRC.
Indice degli argomenti
GRC: cos’è, di cosa si occupa, quali sono i suoi vantaggi
Quando si parla di Governance, risk management e compliance (GRC) si fa riferimento a un sistema aziendale che integra queste tre funzioni cruciali nei processi dei diversi dipartimenti aziendali.
Rappresenta di fatto uno strumento che aiuta a superare tutti i dubbi legati all’accesso ai dati, informazioni e risorse tra i diversi dipartimenti, con evidenti benefici sia in termini di efficienza, sia in termini di sviluppo e consolidamento di una vera e propria cultura aziendale.
Lo scopo generale del GRC è di ridurre i rischi e i costi, evitando la duplicazione degli sforzi, questo richiede una forte collaborazione a livello aziendale per arrivare a risultati che soddisfino le linee guida interne e i processi stabiliti per ciascuna delle tre funzioni chiave.
Come ben indica il nome, GRC fa riferimento a tre componenti chiave:
• La governance, o corporate governance, ovvero il sistema generale di regole, pratiche e standard che guidano un’azienda.
• Il rischio, o gestione del rischio aziendale, ovvero il processo di identificazione dei potenziali pericoli per l’azienda, al fine di ridurre o eliminare il loro impatto.
• La conformità, o conformità aziendale, ovvero l’insieme dei processi e delle procedure che una società mette in atto al fine di accertarsi che le proprie attività siano condotte in modo legale ed etico.
Adottando una definizione di scuola, possiamo dire che con GRC si intende “approccio integrato e olistico a livello aziendale di Governance, gestione del rischio e conformità normativa, volto ad assicurare che l’organizzazione operi eticamente e in accordo con la sua propensione al rischio, alle politiche interne e alle norme esterne attraverso l’allineamento di strategia, processi, tecnologia e risorse umane di cui dispone in modo tale da aumentare efficienza ed efficacia”. [Racz N., Weippl E., Seufert A. “A Frame of Reference for Research of Integrated Governance, Risk and Compliance (GRC)”]
Si tratta di un approccio che si sta rendendo sempre più necessario: l’aumento dei vincoli legati alle regolamentazioni, la crescente richiesta di trasparenza nella gestione dei dati e delle informazioni, la complessità delle filiere, rendono oneroso e in molti casi anche rischioso il tradizionale approccio a silos.
Una soluzione GRC ha invece lo scopo di gestire in modo integrato una serie di funzioni chiave all’interno di una organizzazione, rendendo più efficiente ed efficace la raccolta, condivisione, utilizzo di informazioni e risorse.
Segregation of Duty, Accountability e Tracciabilità
Nel quadro della gestione dei rischi, tre sono i pilastri sui quali si regge: la separazione di ruoli e compiti (segregation of duties), l’accountability di informazioni e processi, la tracciabilità (e non ripudiabilità) dei dati e delle informazioni.
In particolare, SOD, Segregation of Duties o segregazione dei ruoli, viene considerato come uno dei principi fondanti dei modelli organizzativi delle imprese e si basa su un assioma chiaro: mai concentrare su un unico soggetto le responsabilità di un processo o di una attività critici, per evitare errori o frodi.
Implementare la Segregation of Duties nell’ambito della governance aziendale, e concretamente all’interno dei sistemi che governano l’impresa – nello specifico nell’ambito del proprio ERP – consente di comprendere quali siano i processi a rischio, capire dove introdurre controlli per limitare i rischi, definire ownership e responsabilità in tutti gli step di un processo, senza per questo limitare produttività o l’agilità operativa, rendendo l’azienda pronta a processi di audit o di revisione.
La visione di DNC
Di tutti questi temi si occupa la torinese DNC Data Network Consulting, attiva da oltre 20 anni sul mercato con un focus specifico proprio sui temi della system integration e della consulenza di processo in ambito ERP, nello specifico nel mondo SAP.
Ci spiega Domenico Rotundo, SAP Security Specialist della società: “Ci occupiamo di tutti quegli aspetti e di tutti quei processi che rientrano nelle norme Sarbanes Oxley, che aiutano cioè a migliorare la corporate governance, garantire trasparenza, certificare i dati e il loro accesso”.
Domenico Rotundo
SAP Security Specialist di DNC
Si parla di IAM, Identity Access Management, “ovvero chi ha avuto accesso ai dati, quando, per quanto tempo”, spiega Rotundo, di costruzione delle autorizzazioni, di regolazione dei grant, di segregation of duties.
“Ci occupiamo di garantire il rispetto di tutti i principi che regolano l’identity management in un ambiento complesso qual è il mondo SAP”.
Non è semplice, perché significa dare un’identità univoca a chi accede al sistema, correlandola alle funzioni e ai centri di costo.
“IDM significa anche individuare per tempo le persone che escono dall’azienda o che cambiano mansione, rimuovere tempestivamente grants importanti, gestire processi indispensabili come la Revalidation e la Termination. Sono tutti aspetti centrali in fase di auditing e che noi supportiamo con servizi di user e profile management”.
Gestione della complessità
“Lo scenario è complesso – spiega ancora Rotundo -. Le organizzazioni aziendali stesse sono sempre più complesse, in ragione di fusioni, attività di outsourcing, attività di insourcing: è difficile tenere il filo dei cambiamenti. Però è indispensabile sapere tutto ciò che fa una persona, o meglio una figura, all’interno di un’organizzazione. L’abilitazione ad una identità può avvenire in base al ruolo che una persona riveste, oppure in base ai task che le sono assegnati. In un approccio job based, il rischio è quello di garantire molte più autorizzazioni di quelle effettivamente necessarie, mentre con un approccio task based, la persona dispone delle autorizzazioni necessarie per le attività che effettivamente segue, ma si introducono variabili che rendono difficile la gestione di eccezioni”.
C’è un altro aspetto sul quale DNC pone l’accento, e riguarda la gestione delle applicazioni e la risoluzione delle problematiche applicative, l’Application Maintenance Services.
“Molte realtà sono del tutto inconsapevoli. Non si sono mai chieste se i codici custom sono sicuri, se il roll out di un nuovo o di una nuova funzionalità espone l’azienda e il suo patrimonio informativo a rischi non previsti”.
Quali sono le funzioni coinvolte
Proprio in considerazione di questa complessità, DNC affianca i propri clienti fin dalle fasi di progettazione, per capire i processi, gli attori, le attività. È la fase nella quale vengono messi in luce in punti ai quali occorre prestare attenzione, si evidenziano i correttivi da introdurre.
“La leva tecnica e tecnologica arriva dopo. È chiaro che serve un commitment e un impegno da parte delle figure IT, ma la prima sponsorship deve essere da parte di un responsabile organizzativo, che comprenda effettivamente i rischi e la portata dei correttivi. Per questo motivo è importante che su questi temi vengano coinvolti anche i security officer o i risk manager aziendali: bisogna capire a cosa l’azienda va incontro in caso di auditing o di ispezione”.
All’IT Manager, spiega ancora Rotundo, spetta poi la definizione di procedure precise: non basta sapere chi accede al sistema, serve una gestione puntuale dei processi di termination, validation, auditing.
“Non è un caso che siamo spesso chiamati in causa quando le imprese affrontano percorsi di change management. È in quel momento che le criticità e la complessità si intravvedono e si capisce l’importanza di affrontare con metodo e serietà”.
“Il problema è che a volte non si percepisce il reale valore intrinseco di queste attività. Molte aziende aspettano di avere delle non conformità a seguito di controlli interni o esterni, prima di rendersi conto che c’è qualcosa che non va nella loro governance. Molte aziende semplificano, relegando la questione ai soli aspetti tecnologici in capo all’IT manager. In realtà è proprio su questi temi che serve un partner consulenziale, qual è DNC, che aiuti ad analizzare la situazione, identificare le criticità, proporre e implementare soluzioni migliorative coinvolgendo in modo attivo il Business e HR aziendale”.
“Il nostro compito – conclude Rotundo – è creare consapevolezza sui rischi di compliance, evitare le banalizzazioni, non far percepire queste attività come costo residuale, bensì come centrali e in grado di apportare valore e risparmi nella gestione dell’on-going per qualunque impresa”.
