Sviluppare una buona strategia di gestione dei rischi It è uno sforzo che richiede non solo un’attenta valutazione delle tecnologie “sul campo”, ma anche (e soprattutto) un presidio stretto di tutti i processi aziendali, i flussi di lavoro e le informa …
Sviluppare una buona strategia di gestione dei rischi It è uno sforzo che richiede non solo un’attenta valutazione delle tecnologie “sul campo”, ma anche (e soprattutto) un presidio stretto di tutti i processi aziendali, i flussi di lavoro e le informazioni. Alcuni modelli permettono di facilitare il lavoro di pianificazione e sviluppo di policy e processi It di successo, anche se alcune raccomandazioni all’apparenza banali possono essere considerate universalmente valide.
1. Comprendere i rischi It della propria organizzazione. Questo significa, anzitutto, stilare una “mappa” dettagliata di tutti i punti critici, i nervi scoperti dell’infrastruttura informativa. Se, ad esempio, l’azienda (nel caso italiano, potrebbe essere una banca, un’assicurazione o una realtà multinazionale) è assoggettata a normative particolarmente stringenti in materia di controllo di bilancio, trattamento dei dati o continuità operativa, si renderà necessario valutare il costo dell’incapacità di rispettare i dettami imposti dalla legge. Questo potrà essere stimato in termini di multe, cause civili o penali e, più in generale, di danno arrecato all’immagine dell’azienda nel suo complesso. Costruire un quadro di tutte le possibili minacce alle attività d’impresa e stabilire, con relazioni di causa-effetto, il loro impatto sull’area It risulta, pertanto, fondamentale.
2. Conoscere a fondo il peso della componente personale. Le strategie di gestione dei rischi It che si possono definire “buone” si fondano sul presidio delle operazioni e del flusso di lavoro. Capire in quali attività è impegnata l’azienda e come i suoi impiegati lavorano permette di “tarare” gli interventi in termini di governo dell’It, cercando di ridurre al minimo l’ostruzionismo delle figure coinvolte e, soprattutto, cercando di inquadrare i punti deboli dell’organizzazione.
3. Ricorrere al framework più adatto. Ce ne sono diversi, tuttavia non sono tutti universalmente validi. Occorre, quindi, procedere a una valutazione preventiva dei modelli più idonei, per non incorrere in spiacevoli sorprese.