it & business risks
Nella maggior parte dei casi, le aziende si preoccupano solo dei rischi legati a profitti, perdite, reputazione e continuità operativa.
L’IT è chiamato a: fornire servizi efficienti, con la massima disponibilità dell'infrastruttura e delle applicazioni di business, avere un DRP e gestire alcuni aspetti di sicurezza delle informazioni (principalmente firewall e antivirus).
L’information security è visto come un argomento inutile e noioso che produce solo vincoli e costi per l'azienda.
La gestione delle conformità a normative e standard, la gestione della continuità operativa e la gestione della privacy si basano sulla gestione del rischio.
Tutte queste gestioni sono strettamente collegate al modello organizzativo dell'azienda (organizzazione, luoghi e processi) ed al suo modello IT (applicazioni, infrastrutture e dati).
In alcuni settori, regolamenti e normative impongono degli obblighi di conformità, che comprendono la gestione del rischio IT e la sicurezza delle informazioni.
Le politiche e le procedure sono presenti, le funzioni di controllo interno fanno parte della organizzazione, e la gestione del rischio fa parte della cultura aziendale.
Il nuovo regolamento Europeo GDPR impone una gestione rischio-centrica della privacy, ma vi può essere comunque uno «scollamento» tra business e IT.
I due portafogli di rischio possono risultare diversi e i rischi IT sono considerati troppo tecnici e difficili da capire per il business.
Sopra a tutto, vi sono le esigenze di business e di controllo, mentre, in fondo, vi è la gestione della sicurezza di ogni singolo elemento dell'infrastruttura IT.
Business e IT sembrano due mondi diversi ma, essi, condividono «alcuni» rischi.
iqons ha sviluppato il concetto di «rischio condiviso», una metodologia “iq-risk” e la suite shark (shared risk) per indirizzare le attività di gestione del rischio IT e delle sue implicazioni negli standard e nelle normative.
