Nelle applicazioni che caratterizzano l’evoluzione del mondo dell’industria, ormai indirizzato alla digitalizzazione – a partire dagli ambienti di produzione per arrivare ai processi interni – diventa sempre più importante tenere sotto controllo i rischi che riguardano i dati aziendali, in ogni loro declinazione. Perché da una parte le informazioni devono essere accessibili per poter supportare il business, dall’altra devono essere tenute in sicurezza per non mettere a rischio i processi e le operations, oltre che per non causare danni diretti o indiretti alla competitività.
La soluzione principale in questo nuovo scenario sta nell’identificare prontamente i potenziali rischi per la sicurezza dei dati e sapersi districare con agilità tra requisiti regolatori e di business che cambiano velocemente con il mutare del contesto e con la necessità di affrontare eventuali imprevisti o emergenze. In caso contrario, potrebbero essere messi in pericolo la proprietà intellettuale, i piani strategici, le informazioni finanziarie o quelle che riguardano clienti, partner e fornitori.
Come cambia il risk management
La sfida per il risk management diventa così sempre più difficile in termini tecnologici e di strategia, e può essere affrontata soltanto con strumenti adeguati, che sappiano aumentare la capacità previsionale delle organizzazioni e che siano in grado di automatizzare tutte le possibili azioni ciò che possono contribuire e rilevare, mitigare o annullare i rischi, rendendo “semplice” da utilizzare un meccanismo che invece nasconde grandi complessità. Senza una visione chiara degli asset di valore associati ai dati e senza una mappatura costante delle minacce e dei pericoli che corrono nel loro intero ciclo di vita, trovare soluzioni ai problemi in cui ci si imbatterà potrebbe essere una sfida proibitiva anche per il manager più preparato.
L’importanza di un “Centro di controllo”
La soluzione più efficace si dimostra così quella di dotarsi di un “centro di controllo” che abbia la possibilità di identificare quali siano – a seconda del tipo di business – i rischi più grandi collegati ai dati. Uno strumento che permetta di tenere sotto controllo la situazione in tempo reale e di allertare i manager e i team impegnati sul campo nel caso di problemi o emergenze, dando loro la possibilità di intervenire tempestivamente anche per minimizzare i possibili danni. Allo stesso tempo si dovrà tenere ben presente quali siano le protezioni in essere e quali siano le regole da seguire dal punto di vista normativo: una piattaforma che sia in grado in integrare in un’unica dashboard questi aspetti semplificherebbe ogni processo di decision making per i diversi attori impegnati sul campo. Nello stesso tempo i dati di questa dashboard rappresentano uno strumenti fondamentale anche per avere una lettura preventiva delle ricadute dirette e indirette di queste minacce sul business.
I passi per impostare una strategia
La prima cosa da fare per l’azienda che voglia tenere sotto controllo il rischio della perdita o della compromissione dei dati aziendali è l’assessment di quali siano le informazioni realmente sensibili per il business e quali siano quelle che vanno protette con più attenzione perché più importanti o perché potrebbero essere più facilmente messe in pericolo dall’interno o dall’esterno, per incidenti o attraverso attacchi informatici. Allo stesso modo sarà fondamentale capire quali siano i metadati che normalmente vengono associati alle informazioni più importanti per la compagnia, dalle applicazioni ai processi, dalle policy alle procedure, dai controlli alle proprietà, ricostruendone l’intero percorso e rendendolo visibile per poterlo così proteggere meglio.
Il secondo step è quello di individuare e mappare con la massima precisione i rischi: si tratta in questo caso di anticipare gli eventuali attacchi o incidenti, estendendo l’analisi dai dati ai processi che li coinvolgono, avendo una visuale chiara del campo di gioco.
Una volta portate a termine queste due operazioni e ottenuto un quadro il più possibile completo dei rischi, sarà importante trasferire queste informazioni al management attraverso uno strumento che sia semplice da consultare e utilizzare, e che dia indicazioni chiare e in tempo reale con alert molto ben mirati, che aiutino i manager a confrontarsi con il team IT aziendale, con gli esperti di sicurezza e con gli addetti dei singoli reparti, per poter prendere le decisioni migliori in real time ogni volta che ce ne sia bisogno, prima che i danni siano troppo gravi. Si tratta in sostanza di un’interfaccia user friendly che sia in grado da una parte di dare una visibilità ad ampio raggio e dall’altra di consentire interventi rapidi e mirati ogni volta che se ne presenti la necessità, favorendo le interazioni tra i vari attori della catena della sicurezza aziendale.
Il ruolo dell’automazione
In un quadro che si fa per forza di cose sempre più complicato dal punto di vista tecnologico, l’arma vincente per la protezione dei dati è così un’interfaccia che sia in grado di prendere su di sé le complessità per restituire una fotografia chiara dei processi, dei rischi e delle possibili contromisure, fornendo agli addetti ai lavori una cassetta degli attrezzi che li alleggerisca dalle mansioni più complicate di rilevamento, classificazione e segnalazione, e li metta nelle condizioni di prendere le decisioni migliori al momento giusto, fino a prevenire i problemi più gravi.
Uno strumento automatizzato può inoltre correlare le varie tipologie di rischi con gli asset di dati che andrebbero a insidiare, fino a valutare quanto un problema sia probabile e quanto possa essere grave: proprio in base a questa valutazione sarà possibile scegliere la strategia di difesa più adatta, senza destinare grandi risorse per contrastare pericoli di bassa entità, o poche risorse per proteggersi da pericoli gravi. Sulla base di queste informazioni sarà possibile creare anche un “indice di rischio” che dia una visibilità immediata dei problemi più gravi e di quelli più trascurabili.
Ibm Data Risk Manager
Ibm Data Risk Manager è il “centro di controllo” a disposizione degli executives e dei loro team che rende visibili quali rischi corrono i dati che vengono utilizzati dall’azienda, pensato per affiancarli nelle scelte sulla protezione delle informazioni ovunque queste vengano utilizzate, che offre una serie di possibilità per contenere i rischi e per poter intervenire minimizzandoli negli scenari di crisi. Si tratta quindi di un vero e proprio ”ponte” che mette la sicurezza in comunicazione diretta con il management, integrando nella stessa piattaforma Ibm Guardium, Symantec Dlp e Ibm Information Governance Catalog. Ibm ha rafforzato la propria presenza in questo campo nel 2017, con l’acquisizione di Agile 3 Solutions, proprio con l’obiettivo di mettere a disposizione della c-suite uno strumento per il controllo dinamico dei processi legati ai dati all’interno delle aziende.