Apri Menu

Un modello per la Cyber Risk Governance

Pur consapevole che ogni realtà aziendale ha le proprie specificità, FERMA ha proposto un modello di governance del rischio informatico la cui struttura è applicabile alla maggior parte delle organizzazioni

Autore: Chiara Zaccariotto

Il framework è stato elaborato da un gruppo di lavoro formato da Risk Manager e responsabili dell’Internal Audit provenienti da otto diversi paesi europei e da sei diversi settori economici (banca, trasporti, difesa, IT, alimentare e telecomunicazioni). E’ stato presentato da FERMA all’interno di un Report che contiene una serie di consigli per le imprese, modalità innovative per organizzare internamente la gestione del rischio informatico, con l’obiettivo di aumentare la resilienza e l’efficienza delle aziende.

Il modello proposto parte da alcuni punti fermi: la costruzione di una corporate culture sul cyber risk, investendo sulla formazione del personale, l’identificazione dei risk owners, in modo che la responsabilità sia chiaramente riconducibile a una precisa funzione, l’attenzione alla compliance e l’importanza della cooperazione, sia tra le aziende sia tra il settore privato e le istituzioni pubbliche.

La governance, secondo FERMA, dev’essere strutturata su tre linee di difesa. La prima ha il compito dell’implementazione delle polizze e degli standard tecnici, e ha la responsabilità di monitorare giorno per giorno le reti e le infrastrutture. Ne fanno parte il settore IT, le risorse umane, il Chief Data Officer e le Operations/Business Units. La seconda linea di difesa è responsabile della maggior parte delle funzioni di governance relative alla sicurezza informatica. E’ tipicamente il ruolo del CISO (Chief Information Security Officer), che definisce le polizze e gli standard tecnici che esse devono soddisfare; monitora inoltre l’operato della prima linea, e controlla che l’esposizione al rischio informatico sia in linea con il risk appetite dell’impresa. La terza e ultima linea è formata dall’Internal Audit, che supervisiona l’operato delle prime due linee e controlla la coerenza dell’intero processo di cyber risk governance, oltre a fornire un backup periodico al board.

Per chi volesse approfondire l’argomento, il Report è disponibile a questo link

© RIPRODUZIONE RISERVATA