Cosa sono la conformità, la governance e la gestione dei rischi?
Per comprendere la conformità in senso personale, pensa di ricevere una notifica annuale sulla privacy dalla tua banca, di firmare un modulo HIPAA alla tua visita medica o di subire un blocco per l'utilizzo errato di una password. Per il professionista IT, la conformità include le attività che mantengono e forniscono prove sistematiche dell'aderenza alle politiche interne e alle leggi, linee guida o regolamenti esterni imposti all'azienda.
Questo viene fatto attraverso un processo difendibile. Ci sono due elementi di conformità: uno si concentra sulla gestione della conformità e il secondo gestisce l'integrità del sistema utilizzato per rispettare e dimostrare la conformità stessa. Oggi il ruolo della conformità IT continua a crescere poiché la condivisione e l'archiviazione elettronica delle informazioni influiscono su reparti come finanza, risorse umane e operazioni che dipendono tutti dai servizi dell'IT nella raccolta, diffusione e reporting delle informazioni.
La conformità IT consiste nell'assumere il controllo e la protezione appropriate delle informazioni, comprese le modalità di acquisizione e archiviazione, la loro sicurezza, la loro disponibilità (come vengono distribuite internamente ed esternamente) e la protezione dei dati. Le funzioni interne di conformità ruotano intorno alle politiche, agli obiettivi e alla struttura organizzativa dell'azienda. Le considerazioni esterne includono la soddisfazione del cliente/utente finale, proteggendo al contempo l'azienda e l'utente finale dai danni. Strumenti specializzati sono utilizzati per identificare, monitorare, rendicontare ed effettuare audit continuamente per raggiungere e garantire la conformità.
In relazione alla conformità IT, la governance IT è la funzione di gestire e affrontare i processi tecnici, strategici e procedurali prevalenti. La governance IT è un sottoinsieme del processo complessivo di governance aziendale ed è supervisionata nella maggior parte dei casi da un professionista appropriato della dirigenza come un Chief Compliance Officer (CCO) con responsabilità interfunzionali crescenti da parte di un Chief Technical Officer (CTO).
La gestione dei rischi è la pratica di mitigare e gestire i rischi attraverso i controlli di sistema ed è quindi strettamente allineata come funzione integrante della governance IT e della conformità IT. Il GRC (Governance, Risk e Compliance) è una strategia integrata per gestire in modo efficace e appropriato politiche, processi e controlli. La gestione collettiva di queste tre funzioni, piuttosto che come obiettivi indipendenti, può eliminare le duplicazioni e facilitare la diffusione sicura delle informazioni e delle comunicazioni.
Cos'è ISACA?
Con la crescita dell'ambiente normativo, aumentano anche le istituzioni che assistono i professionisti nella ricerca di informazioni per comprendere meglio questo ambiente (sono inclusi i responsabili IT e i dirigenti). La Information Systems Audit and Control Association (ISACA) è una di queste organizzazioni. L'ISACA è un'organizzazione no-profit guidata dai membri che fornisce notizie, riviste, strumenti, formazione, condivisione delle risorse e dialogo su conformità, gestione dei rischi, audit e sicurezza informatica. L'organizzazione promuove anche certificazioni per i professionisti della conformità IT che includono:
- Revisore dei sistemi informativi
- Certificato nei sistemi di rischio e informazione e controllo
- Certificato nella governance dell'IT aziendale
- Gestore delle informazioni
Queste certificazioni da ISACA e da altre organizzazioni possono aiutare i professionisti a comprendere e implementare le best practice di conformità. Nel libro Auditing IT Infrastructure for Compliance, gli autori Martin Weiss e Michael G. Solomon discutono le complessità per i professionisti di oggi: "... In primo luogo, il personale informatico raramente ha un background legale. In secondo luogo, la maggior parte dei requisiti manca di profondità tecnica... (e) molti regolamenti sono vaghi nei loro requisiti." Si dice inoltre che molte volte spetta al settore, alla singola azienda, al team legale, ai dirigenti ai piani alti, ai professionisti della conformità e ai revisori dei conti sviluppare i metodi per conformarsi alle leggi e ai regolamenti.
Comprendere i numerosi standard di conformità alle normative
Esistono numerosi statuti normativi emanati dal Congresso. Gli atti sono solitamente una risposta a un problema sociale o economico e come tali sono considerati "legislazione abilitante". Le agenzie governative competenti hanno quindi il compito di creare e far rispettare le normative autorizzate dallo statuto. Le protezioni richieste nella maggior parte dei casi hanno una regolamentazione e una protezione specifiche delle informazioni integrate per proteggere la privacy, prevenire le frodi, fornire sicurezza e proteggere le identità attraverso la standardizzazione, i mandati e la responsabilità.
Le aziende che forniscono prodotti e servizi negli Stati Uniti devono conoscere e rispettare queste normative. Le persone giuridiche aziendali e i dirigenti ai piani alti, compresi i CCO o i CTO, sono responsabili delle politiche per raggiungere e difendere la conformità alle normative pertinenti. In alcuni casi, questi dirigenti si assumono la responsabilità personale per la conformità e la segnalazione legittime e possono essere ritenuti personalmente responsabili attraverso sanzioni severe o addirittura il carcere. Esistono anche altre disposizioni per la conformità che includono le protezioni contro la distruzione illegale di informazioni che potrebbero essere soggette a scoperta elettronica, laddove le informazioni siano richieste in procedimenti legali e soggette a processi prima di fornire i dati.
Oltre alle politiche federali, molte aziende devono rispettare gli standard internazionali e le restrizioni locali, regionali e statali. Può essere difficile identificare quali leggi, regolamenti, statuti o mandati sono richiesti. La maggioranza concorda sul fatto che il team legale e i dirigenti ai piani alti, sotto la guida e le raccomandazioni del responsabile della conformità, siano incaricati di determinare l'ambito della conformità.
Alcuni degli standard più noti che influiscono sulla conformità IT includono:
Il Sarbanes-Oxley Act (SOX) del 2002 è uno statuto generale per disciplinare la trasparenza finanziaria e la rendicontazione. È stato adottato dal Congresso come risposta diretta alla cattiva condotta di Enron e WorldCom. La sezione 404 è importante per il settore informatico nei controlli delle informative finanziarie.
Il Gramm-Leach-Bliley Act (GLBA) è stato firmato nel 1999 e impone alle istituzioni finanziarie di gestire le protezioni dei consumatori (tramite avvisi annuali) delle loro politiche sulla privacy. Richiede inoltre opportune garanzie interne ed esterne, anche contro la minaccia di pretesto (acquisizione illecita di informazioni con mezzi fraudolenti, finzione o congetture).
La legge federale sulla gestione della sicurezza delle informazioni (FISMA) è stata approvata nel 2002 e impone la sicurezza delle informazioni alla burocrazia federale richiedendo una revisione annuale dei sistemi.
La sezione del titolo II dell'HIPAA, o Health Insurance Portability And Accountability Act, articola le politiche e le linee guida per la regolamentazione delle informazioni, in particolare le informazioni sanitarie protette (PHI) da parte di assicuratori, fornitori di cure mediche e datori di lavoro che forniscono un'assicurazione sanitaria.
Il Payment Card Industry Data Security Standard del 2001 (PCI DSS) è una raccomandazione distribuita nel settore, istituita da MasterCard, Visa e altre società di carte di credito per fornire protezioni di identità ai membri e ai fornitori di servizi.
La dichiarazione sugli standard per gli impegni di attestazione (SSAE 16) è entrata in vigore nel 2011, sostituendo SAS 70 come reporting sui controlli per le organizzazioni di servizio. I data center, gli ISP e i fornitori di servizi di hosting web sono entità comuni relative all'IT a cui si applica la SSAE 16.
Basilea III si applica al settore bancario e aiuta a determinare l'importo del capitale da riservare in caso di perdita. Questa normativa ha un impatto sull'IT, in quanto ha bisogno di software in grado di eseguire calcoli più avanzati.
Quali normative di conformità si applicano alla tua organizzazione?
Gestire la moltitudine di normative in numerosi settori è scoraggiante per molte organizzazioni. Negli Stati Uniti un'azienda può essere soggetta all'autorità di uno o più organismi di regolamentazione, tra cui la Securities and Exchange Commission (SEC), la Federal Communications Commission (CC) e la Federal Trade Commission (FTC). I settori più colpiti sono quelli finanziari, di vendita al dettaglio e di e-commerce, assicurazioni sanitarie e servizi, altre istituzioni assicurative, banche, difesa, servizi pubblici ed emittenti di carte di credito che hanno accesso a informazioni sensibili. Ma l'elenco include anche qualsiasi organizzazione che mantiene informazioni sensibili, ad esempio qualsiasi organizzazione che ha numeri di sicurezza sociale; questo comprende la maggior parte dei datori di lavoro, delle entità governative, dei college e delle università.
È difficile trovare imprese, soprattutto quelle globali, che non siano soggette a regolamenti locali, regionali, statali, federali o internazionali. I mandati HIPAA influenzano gli assicuratori e i professionisti dell'assistenza sanitaria, ma ci sono anche disposizioni che riguardano qualsiasi datore di lavoro che offre un'assicurazione sanitaria ai propri dipendenti. Oltre alle leggi e ai regolamenti formali, bisogna essere consapevoli degli standard del settore (come gli standard di responsabilità finanziaria di Basilea III e PCI DSS nel settore delle carte di credito). La conclusione è che se un reparto IT è incaricato di proteggere le informazioni per garantire la riservatezza, l'integrità, l'affidabilità o la disponibilità delle informazioni, è probabile che ci siano numerose normative che richiedono la conformità.
Audit e report di conformità
Le valutazioni e gli audit sono un metodo per determinare la conformità. Eseguito da un comitato di audit, un audit di conformità può determinare se un'azienda sta aderendo alle leggi applicabili attraverso una revisione sistematica di politiche, procedure, operazioni e controlli. Poiché l'IT ha portata a livello aziendale, un audit viene solitamente eseguito in numerosi reparti. L'ambito di un audit di conformità IT identifica le leggi e i requisiti, valuta il modo in cui vengono rispettati leggi, requisiti o standard specifici e fornisce raccomandazioni e rimedi per la non conformità.
I report di conformità IT sono spesso necessari durante gli audit, al fine di fornire un registro correlato di dati che contiene prove di conformità. Oltre agli audit, i report di conformità saranno utilizzati dal team IT per scoprire le violazioni della sicurezza, le minacce sottostanti e le violazioni delle politiche che devono essere corrette prima che si verifichino gravi danni. Una scorecard bilanciata è un'opzione per misurare se la tua strategia di conformità sta avendo successo senza influire sulla mission della tua azienda.
Framework di best practice per la governance
Gartner Research definisce la governance IT come "i processi che assicurano l'uso efficace ed efficiente dell'IT consentendo a un'organizzazione di raggiungere i propri obiettivi". Esistono già numerosi framework di riferimento per aiutare la governance. Questi includono:
- La Information Technology Infrastructure Library (ITIL), che ha cinque principi fondamentali che allineano i servizi IT agli obiettivi aziendali: strategia, progettazione, transizione, funzionamento e servizio. Questi si combinano per fornire le basi per una solida struttura di governance IT. Per supportare le crescenti esigenze e le complessità della sicurezza delle informazioni, l'Organizzazione internazionale per la standardizzazione (ISO) fornisce standard per gestire i controlli che supportano la sicurezza e i rischi.
- Il framework CobiT Control Objectives for Information and Related Technologies, sviluppato dall'IT Governance Institute (ITGI), un braccio di ricerca di ISACA. È un framework di governance e gestione per l'IT che facilita l'implementazione logica e l'organizzazione dei controlli. Può essere utilizzato per collegare efficacemente sia gli obiettivi dell'azienda che gli obiettivi IT attraverso una serie di quattro domini di processo.
- Lo standard ISO 27001 identifica dodici obiettivi per il controllo della sicurezza delle informazioni. Lo sviluppo di un sistema integrato di gestione della sicurezza (ISMS) richiede un approccio neutrale dalla tecnologia.
Chi è responsabile della conformità?
Sebbene siano disponibili framework di best practice per guidare l'aderenza alle normative di conformità, sono necessarie le persone per realizzare tutto. I ruoli della strategia e dell'implementazione della conformità si stanno evolvendo all'interno delle aziende con reparti e posizioni dirigenziali, tra cui un reparto di conformità dedicato che, insieme al CCO, può essere incaricato di supervisionare, pianificare e gestire gli elementi che lavorano per la conformità IT. Diamo un'occhiata più da vicino ai ruoli di un CCO e al team di conformità generale.
Chief Compliance Officer (CCO): il CCO sarà responsabile dell'identificazione e della gestione dei rischi di conformità, incluso lo sviluppo di controlli interni ed esterni per gestire e risolvere i problemi di conformità. Spesso, un CCO mette in atto un reparto di conformità per fornire servizi completi di conformità all'azienda e al personale.
Chief Technology Office (CTO): a differenza di un CCO, il CTO supervisiona l'intero quadro tecnologico e l'infrastruttura, comprese la conformità, la governance e la valutazione dei rischi.
Dipartimento di conformità: se un'organizzazione ha un reparto dedicato alla conformità, sarà incaricato di gestire e supervisionare la conformità a tutte le normative e i mandati applicabili. I compiti possono includere:
- Identificazione del rischio
- Implementazione dei controlli dei rischi
- Reporting sull'efficacia dei controlli
- Risoluzione dei problemi di conformità
- Fornitura di consulenza normativa all'azienda
Tuttavia, va notato che, mentre la gestione tecnica, procedurale e strategica è appannaggio delle cariche con il maggior rischio di responsabilità (personale IT, CIO, CFO e CEO), tutti i componenti della struttura aziendale sono responsabili del rispetto delle normative che proteggono le informazioni sensibili.
Conformità IT: obiettivi e sfide
L'obiettivo generale della conformità IT è quello di costruire un framework tecnico, procedurale e strategico che fornisca i mezzi per raggiungere e dimostrare l'integrità legale ed etica di un'azienda. Fornire meccanismi, politiche e procedure difendibili può aiutare a evitare quanto segue:
- Danni all'immagine aziendale o alla fiducia dei consumatori
- Perdita di fatturato, opportunità di mercato o valore delle azioni
- Spese di bonifica (spese legali, ammende e sentenze, protezioni dei consumatori acquistate, acquisizioni di capitale e perdita di produttività)
Tuttavia, il raggiungimento di questo obiettivo include molte sfide. In primo luogo, la complessità e la portata dei nuovi statuti sono soggette a interpretazioni. Poiché i regolamenti stessi non sono dotati di una tabella di marcia concreta, sono disponibili numerose linee guida e best practice specifiche del settore che forniscono maggiori dettagli.
Altre sfide includono:
- Mancanza di formazione dei dipendenti
- Problemi di IT ombra, come i dispositivi mobili personali che aggirano i sistemi IT aziendali.
- Applicazioni non autorizzate
- Difficoltà con i fornitori di servizi (servizi cloud e data center)
- Il ruolo dei social media
- Numero di normative attuali, aggiornamenti e nuove leggi
Gestione software e gestione della governance IT, dei rischi e della conformità
Per gestire le numerose esigenze crescenti e mutevoli della conformità IT, molte organizzazioni implementano strategie di soluzione. Indipendentemente dal tipo di soluzione scelta (un framework teorico o una piattaforma software), assicurati che funzioni nel panorama aziendale di oggi. Una soluzione di conformità IT dovrebbe essere adattabile (in modo da poterla aggiornare al variare delle normative), consentire indagini interne, dialogo e formazione delle persone coinvolte e gestire efficacemente eventuali problemi di non conformità.
Il termine GRC combina le funzioni interconnesse della conformità IT con le responsabilità generali della governance aziendale per migliorare le attività di gestione dei rischi. La ricerca Gartner pone l'accento sull'importanza di supportare la gestione dei rischi attraverso il loro "ciclo Hype" e identifica sette segmenti di mercato incentrati sulla gestione complessiva dei rischi integrati (IRM):
- Gestione dei rischi operativi (ORM)
- Gestione dei rischi IT
- Gestione dei rischi dei fornitori IT
- Pianificazione della gestione della continuità aziendale (BCM)
- Gestione audit
- Conformità e supervisione aziendale
- Gestione legale aziendale
Delle sette aree, due sono direttamente correlate all'IT e nella Market Guide for Integrated Risk Management Solutions del 2016 di Gartner, l'analista John A. Wheeler afferma che "... I rischi IT sono stati gestiti in silos, ma sono sempre più riconosciuti come indicatori principali di fallimento in altre aree di rischio, come le frodi e la resilienza". Gartner ha anche iniziato a utilizzare la gestione integrata dei rischi come frase per definire meglio le funzioni di un solido sistema di governance, gestione dei rischi e conformità.
Nell'adozione di una soluzione di gestione integrata dei rischi (IRMS) ci sono numerosi framework (CobiT e ITIL) e organizzazioni (COSO) disponibili per aiutare a sviluppare best practice e procedure.
Molte organizzazioni scelgono inoltre di adottare una soluzione software per gestire la conformità IT. I software di conformità IT possono supportare funzioni critiche e fornire micro e macro funzionalità , controlli integrati e soluzioni mobili per aiutare sia la conformità che la gestione dei rischi. Le funzionalità che si possono ricercare nella valutazione del software di gestione della conformità includono:
- Identificazione delle vulnerabilità
- Controlli dei sistemi e funzioni di sicurezza delle applicazioni
- Funzioni di ripristino rapido dopo un errore o un incidente
- Valutazione dei rischi e identificazione delle minacce
- Gestione dei documenti e dei progetti
- Gestione continua delle operazioni e della manutenzione
- Audit log e autenticazione
- Analisi delle cause principali e forensi
- Firewall, sicurezza di rete e rilevamento di malware
- Gestione delle modifiche e monitoraggio dei ticket dei problemi
- Ripristino di emergenza
- Archiviazione e-mail
Quando si considera l'adozione di una soluzione software, sono necessari innanzitutto un piano, una valutazione e una revisione chiari degli obiettivi, del processo e delle procedure già esistenti. Ad esempio, identifica quali problemi di conformità devono essere aggiunti o rafforzati e come impiegherai il software per aiutarti. Per guidare questo processo, ci sono numerose organizzazioni e specialisti del settore che possono aiutare a formulare le domande o raccogliere informazioni per scegliere una soluzione. Ad esempio, il Gartner Magic Quadrant for IT Risk Management Solutions copre il segmento di conformità aziendale, elencando i fornitori di software e valutando i punti di forza del prodotto e le applicazioni appropriate.
Prima di fare una scelta finale del software, assicurati di:
- Valutare la storia e la reputazione dei fornitori
- Porre al fornitore le complesse domande di conformità per garantire la comprensione delle tue esigenze e requisiti
- Assistere a una dimostrazione del prodotto e coinvolgere il personale chiave
- Lavorare con analisti ed esperti del settore
- Eseguire una valutazione basata su specifici requisiti di governance, rischio e conformità dell'organizzazione
In definitiva, un'esplorazione approfondita delle soluzioni software disponibili ti porterà al prodotto più adatto alle tue esigenze. Ricorda di non essere influenzato da eventuali funzionalità aggiuntive stravaganti (di cui potresti anche non aver bisogno); lascia che i risultati della ricerca siano il fattore decisivo.
Vantaggi e best practice di una soluzione di conformità IT
Come abbiamo discusso, il mancato rispetto delle normative di conformità può avere un grande impatto sui profitti della tua organizzazione. Pertanto, stabilire una solida strategia di conformità IT e soluzioni di supporto è fondamentale per il successo futuro della tua organizzazione. Una solida soluzione di conformità IT può consentire di:
- Rimanere aggiornati sugli attuali requisiti di conformità grazie alle integrazioni con le fonti di dati GCR
- Standardizzare i processi in tutte le normative IT GRC richieste
- Migliorare l'efficacia con processi e flussi di lavoro automatizzati
- Fornire ai leader report di conformità IT in tempo reale
- Mantenere registrazioni accurate per gli audit
- Massimizzare gli investimenti nei servizi di conformità IT
- Incorporare le best practice di conformità pertinenti nei processi e nel flusso di lavoro
- Gestire le risorse IT e assicurarsi la responsabilità
Evitare la conformità e i rischi IT: suggerimenti per i leader della conformità
Come notato in precedenza, ci sono molte sfide associate alla conformità IT. Ecco diversi suggerimenti che ti aiuteranno a evitare costose multe, sanzioni e altre conseguenze legali associate alla non conformità:
- Istruisci i dipendenti su tutti gli aspetti della privacy dei dati e fornisci loro gli strumenti per la protezione.
- Fornisci ai dipendenti mobili laptop e dispositivi che contengano criteri di sicurezza e meccanismi di prevenzione, come le funzionalità di cancellazione a distanza e l'accesso sicuro ai dati aziendali.
- Metti in atto meccanismi di autorizzazione per limitare l'accesso alle applicazioni scaricabili. Consenti solo il download di software e applicazioni approvati.
- Applica la crittografia per la sicurezza e impedisci l'accesso ai dispositivi senza accesso sicuro.
- Utilizza solo soluzioni di cloud storage sicure e moderne.
Infine, un buon sistema di conformità IT coinvolge le realtà e le complessità dell'ambiente altamente connesso di oggi. Tutti i dipendenti svolgono un ruolo nella protezione dei dati e nell'utilizzo delle attrezzature in modo etico (ad esempio, l'uso di laptop e computer e la loro protezione anche quando sono fuori sede). Oggi più che mai, la conformità IT richiede solidi framework di governance, politiche e protezioni appropriate e processi difendibili per proteggere l'azienda in caso di incidenti.
Scopri un modo migliore per gestire l'IT e le operazioni con Smartsheet
Potenzia il rendimento dei tuoi dipendenti con una piattaforma flessibile progettata per soddisfare le esigenze del tuo team e capace di adattarsi alle condizioni mutevoli del lavoro. La piattaforma Smartsheet semplifica la pianificazione, l'acquisizione, la gestione e la creazione di report sul lavoro da qualsiasi luogo, aiutando il tuo team a essere più efficace e ottenere di più. Crea report sulle metriche chiave e ottieni visibilità in tempo reale sul lavoro mentre accade con report di riepilogo, pannelli di controllo e flussi di lavoro automatizzati creati per mantenere il tuo team connesso e informato. Quando i team hanno chiarezza sul lavoro da svolgere, possono ottenere maggiori risultati in meno tempo. Prova Smartsheet gratuitamente, oggi.
Qualsiasi articolo, modello o informazione sono forniti da Smartsheet sul sito web solo come riferimento. Pur adoperandoci a mantenere le informazioni aggiornate e corrette, non offriamo alcuna garanzia o dichiarazione di alcun tipo, esplicita o implicita, relativamente alla completezza, l’accuratezza, l’affidabilità, l’idoneità o la disponibilità rispetto al sito web o le informazioni, gli articoli, i modelli o della relativa grafica contenuti nel sito. Qualsiasi affidamento si faccia su tali informazioni, è pertanto strettamente a proprio rischio.
Questi modelli sono forniti solo come esempi. Questi modelli non sono in alcun modo concepiti come consigli legali o di conformità. Gli utenti di questi modelli devono individuare tra le varie informazioni quelle necessarie e adeguate ai propri obiettivi.