Il rispetto della conformità e la gestione del rischio sono indubbiamente fra le maggiori preoccupazioni delle aziende che operano in un mercato regolamentato. Ma, anche se i concetti riguardanti la conformità e il rischio si possono sovrapporre in determinati settori, essi non sono di certo la stessa cosa e la determinazione di dove allocare le risorse, o come una risorsa possa influenzare l’altra, possono diventare una vera e propria sfida. A complicare ulteriormente le cose si aggiunge il fatto che determinati sforzi per raggiungere la piena conformità possono realisticamente generare nuovi rischi, piuttosto che costituire una mitigazione. Alcune norme di compliance contengono requisiti che indirizzano il rischio, ma questi requisiti sono spesso vaghi e, se considerati in maniera prettamente avulsa, possono rendere vulnerabile l’azienda.

Una revisione annuale dello stato di conformità è certamente una pratica più che valida, ma una revisione, da sola, ignora la naturale progressione del rischio aziendale in un determinato periodo di tempo. Il risk management, infatti, non è rappresentato da una semplice checklist da utilizzarsi una volta l’anno, ma è un processo vivo e in costante evoluzione che deve essere sufficientemente flessibile per poter risultare efficace in un ambito in continuo cambiamento come quello di un’azienda. Inoltre, la semplice identificazione dei rischi mediante il processo di risk assessment non affronta il rischio cui l’azienda è soggetta, ma lo illustra formalmente, niente di più. Ad esempio, lo standard PCI DSS è relativo ai dati delle carte di credito e il relativo processo di identificazione del rischio in tale ambito dovrebbe risultare abbastanza semplice e diretto, ma potrebbe non esserlo la conseguente mitigazione dei rischi individuati.

Il primo passo da fare consiste nell’esaminare le proprie reali esigenze: l’azienda ha necessità di introdurre e adottare un processo di analisi del rischio perché non è completamente conforme, oppure ha l’esigenza di eseguire una valutazione dei rischi sulla base dei requisiti dettati dagli standard di conformità? Gran parte delle aziende ha bisogno sia di istituire un programma di analisi del rischio basato sui requisiti di conformità, sia di attuarlo in maniera tale che esso consenta di abbassare il rischio di sicurezza sotto il livello minimo di tollerabilità per l’azienda. A seconda dello standard di compliance per il quale si sta cercando di ottenere la conformità, quindi, l’azienda dovrebbe essere in grado di adottare una metodologia standard di analisi del rischio che le consenta di conseguire entrambi gli obiettivi.

Tuttavia, mentre l’adozione di una metodologia riconosciuta nel settore è indubbiamente una buona idea, i vari elementi della metodologia prescelta dovranno essere abbastanza flessibili per poter essere applicati in maniera coerente con i dati sottoposti a valutazione. Lo standard PCI DSS, ad esempio, riguarda solo i dati relativi alle carte di credito, e i rischi che incombono su questa tipologia di informazioni potrebbero essere completamente diversi rispetto ai rischi di indisponibilità di un servizio applicativo per la clientela. Così, mentre le macro fasi di una metodologia di analisi del rischio possono restare sostanzialmente immutate, l’attuazione in dettaglio delle varie fasi  può, e spesso deve, essere differente.

Per approfondire ulteriormente l’argomento, in particolare sui passi necessari per misurare adeguatamente il rischio o come integrare l’analisi dei rischi nelle iniziative di conformità, consiglio di leggere il report del Compliance Tech Center di Dark Reading intitolato “Assessing Risk in Your Enterprise Compliance Initiative”.

Fonte: Assessing Risk in Your Enterprise Compliance Initiative – Dark Reading

Ettore Guarnaccia