CHE COS’È
L’informatizzazione dei processi produttivi ha portato le aziende alla dipendenza dal loro patrimonio di dati informatici e dai sistemi e l’organizzazione che li gestiscono. I sistemi e l’organizzazione sono per loro natura vulnerabili e molte sono le minacce (umane e non), provenienti dall’esterno e, più spesso, dall’interno del perimetro aziendale che vi insistono. Le aziende devono proteggere il proprio patrimonio di dati per garantire l’affidabilità dei propri processi, l’immagine dell’azienda e il rispetto delle leggi.
Nell’utilizzo dei dati e nella loro tutela sono coinvolti molti attori al centro e sul territorio (funzioni di business, IT, audit, AFC, Personale & Organizzazione, ecc.): è frequente che tali attori non sempre agiscano in modo coordinato o che iniziative tra loro simili siano duplicate all’interno dell’organizzazione come il fatto che la spesa per controlli di sicurezza sia diffusa e non controllata centralmente. D’altra parte, le risorse sono sempre più limitate e azioni disomogenee rischiano di compromettere gli investimenti ed il lavoro di intere unità organizzative.
Non di rado, la sicurezza viene ingaggiata a “giochi fatti”: il Time To Market, obiettivo indispensabile, viene rincorso esponendo le aziende a rischi in modo inconsapevole. Infine, ma non meno importante, l’evoluzione dell’organizzazione, dei servizi offerti, delle tecnologie e delle normative vigenti, nel tempo, rende obsoleti i controlli.
La comprensione del contesto normativo è essenziale:
– l’equipollenza di “processi digitali” e “processi manuali” – che via via vanno sparendo – può essere garantita solo dalla corretta applicazione delle norme;
– è necessario identificare correttamente i requisiti con i quali progettare i controlli;
– i sistemi informativi possono utilizzati per effettuare controlli di performance e di sicurezza necessari all’azienda che devono sottostare a precise norme di legge;
– la normativa stessa può richiedere alle aziende controlli che possono essere effettuati minore spesa attraverso strumenti informatici.
Tutto ciò premesso, è necessario organizzare in modo adeguato i processi di gestione dei rischi per identificare quelli a cui si è effettivamente esposti, valutare i costi ed i benefici degli interventi, progettare e implementare i controlli, supportare l’organizzazione nella loro adozione senza pregiudicare il time to market e, possibilmente, senza ingessare i processi e ridurre le prestazioni dei sistemi, monitorare l’efficacia dei controlli stessi e tenere allineato il sistema di sicurezza delle informazioni all’evoluzione dell’azienda, delle normative di legge e del contesto in cui opera.
OBIETTIVI DEL CORSO
Al fine di migliorare le capacità di valutazione dei rischi legati all’informatizzazione dei processi aziendali e di progettazione dei controlli atti a monitorarli e a mitigarli per aumentare la retention dei clienti, il business value dei prodotti e migliorare l’immagine aziendale, il corso ha l’obiettivo di:
- introdurre ai processi di gestione e governo della sicurezza delle informazioni e alle metodologie di analisi del rischio e analisi degli impatti;
- aumentare la comprensione dei requisiti fondamentali di sicurezza delle informazioni nonché delle principali normative, standard e best practice in materia di protezione dei dati e prevenzione dalle frodi;
- introdurre alla progettazione dei controlli di sicurezza.