Quanto illustrato in questo articolo potrà sembrare ai professionisti del settore l’ennesima inutile ripetizione di un concetto per loro ormai assodato. Purtroppo in molte aziende questo concetto non è così radicato come dovrebbe essere e la crescente pressione normativa, in particolare nel settore bancario e finanziario, continua a spostare l’attenzione sugli interventi obbligatori per finalità di compliance a scapito di molti altri interventi che sarebbero richiesti per un’efficace protezione delle informazioni aziendali critiche e un’adeguata riduzione dei rischi. Vediamo allora perché considerare sicura la propria azienda dopo averne ottenuto la conformità può essere un grave errore.

Sono certo che oggi, mentre si va verso il tramonto del 2016, non vi sia più alcun dubbio sul fatto che i dati di un’azienda siano bene il più importante e di valore, specialmente nel settore bancario e finanziario. Proprio banche e istituti finanziari sono fra i principali responsabili della corretta conservazione e protezione di dati finanziari, informazioni sui rapporti, dati delle carte di pagamento e altre informazioni personali, per garantire la protezione e la riservatezza dei quali vengono implementate costose e onerose soluzioni di sicurezza. Questa responsabilità va considerata a tutti gli effetti un imperativo critico per il loro business.

Eppure, si tende spesso a confondere il conseguimento della conformità a regolamentazioni di settore e a standard di riferimento, con l’ottenimento di un livello di sicurezza e di protezione dei dati aziendali che metta sufficientemente al sicuro l’azienda da potenziali minacce di sicurezza. Molti esponenti del top management, in particolare COO, CIO, CFO, CRO e CCO, tendono a considerare la conformità a regolamentazioni e standard come una checklist da spuntare dopo averne soddisfatto i requisiti, per poi passare a preoccuparsi di altro.

Le regolamentazioni di settore e, a maggior ragione, gli standard di riferimento costituiscono semplicemente una baseline, un insieme di requisiti minimi da rispettare per il conseguimento della conformità.

Requisiti minimi che sono generalmente indirizzati a tutti i soggetti cui le norme e gli standard si applicano. Proprio per questo, regolamentazioni e standard non sono ritagliati né opportunamente calzati sulla specifica realtà di ciascuna azienda, pertanto non possono, per loro natura, essere considerati esaustivi dal punto di vista della sicurezza delle informazioni aziendali, della tutela della privacy e della gestione del rischio.

La reale efficacia dei singoli controlli è spesso difficilmente quantificabile senza un’analisi del rischio, sono presenti zone di grigio che lasciano spazio a pericolose interpretazioni, vengono indicate soluzioni generiche che devono valere per tutti i soggetti ma che non necessariamente sono le migliori soluzioni per tutelare la nostra azienda. Inoltre le normative e gli standard non sono sempre così attuali come dovrebbero, vengono aggiornati in media ogni 3-5 anni e non seguono abbastanza da vicino le rapide evoluzioni della tecnologia (ad esempio la Internet of Things).

Bisogna sempre tener presente che, ancorché si sia riusciti con successo ad apporre il visto alle caselline di una checklist di conformità, l’azienda è molto probabilmente ancora soggetta ad altri rischi di sicurezza non contemplati nelle norme e negli standard di riferimento.

Accomunare il concetto di conformità a quello di sicurezza è un grave errore, così come lo è coltivare la convinzione che una piena conformità comporti automaticamente un adeguato livello di sicurezza e di gestione del rischio.

Il falso senso di sicurezza che ciò alimenta nel top management è assolutamente deleterio e difficile da smontare. Al contrario, è buon prassi considerare la conformità come un punto di partenza per la definizione di una strategia di sicurezza comprensiva per la propria azienda. La sicurezza è un aspetto chiave per qualsiasi linea di business di un’azienda, soprattutto nell’attuale mondo ipertecnologico e iperconnesso, ed è troppo importante per essere gestito sulla sola base di assunzioni.

Il conseguimento della conformità mette al riparo l’azienda da provvedimenti e sanzioni delle autorità di vigilanza e degli organi di controllo, ma non è in grado di garantire che i processi, i controlli e le contromisure in atto siano adeguati a ridurre il rischio e tenere al sicuro i dati e i servizi informativi aziendali. Ecco perché è molto importante integrare gli sforzi per il soddisfacimento dei requisiti di conformità con quelli di sicurezza e di gestione del rischio, tipicamente svolti dalle funzioni di information security e di risk management dell’azienda.

In considerazione di quanto sopra, se è già abbastanza arduo soddisfare tutti i requisiti della base normativa e regolamentare, figuriamoci quanto sia difficile conseguire adeguati livelli di sicurezza e gestione del rischio. La conformità è quindi da considerarsi come un complemento degli altrettanto fondamentali processi di gestione del rischio e di sicurezza delle informazioni. Limitarsi agli aspetti di compliance normativa è estremamente pericoloso per la sicurezza complessiva dell’azienda.

Il fatto di aver conseguito la conformità in un preciso momento non significa automaticamente essere in grado di mantenerla nel tempo: va considerata piuttosto come la fotografia o la misurazione di una specifica situazione che può variare nel tempo, soprattutto a fronte della normale variabilità dell’organizzazione interna, dei processi, degli strumenti tecnologici e delle persone di un’azienda. E ciò avviene più frequentemente di quanto si possa pensare.

La conformità va verificata, adeguata e mantenuta con continuità, con l’importante collaborazione di tutti gli stakeholder interni ed esterni coinvolti. A tale fine è importante identificare con chiarezza tutte le funzioni aziendali cui assegnare la responsabilità dei singoli controlli di conformità, quindi organizzare dei momenti di verifica interna sulla corretta esecuzione dei controlli. Anche i fornitori e gli outsourcer devono essere coinvolti come parte in causa di un processo di verifica e mantenimento della conformità, quantomeno al pari delle funzioni aziendali interne.

Molti fornitori e outsourcer hanno già ben presente quanto sia importante sul mercato considerare e indirizzare al meglio gli aspetti di conformità normativa, perché questo fa parte della domanda delle aziende clienti. E, stando al volume crescente di leggi, direttive e normative, questa domanda è destinata inevitabilmente a crescere, tanto che coloro che sono in grado di fornire soluzioni e servizi pienamente conformi sono destinati a prosperare a scapito di quelli che ancora non si sono posti il problema.

Particolare attenzione va quindi posta sull’esaustività dei contratti di fornitura e di servizio in relazione ai requisiti di conformità, sia per garantire un’adeguata tutela contrattuale alla propria azienda, che per soddisfare al meglio le richieste delle autorità di vigilanza e degli organi ispettivi. Le norme contrattuali e gli SLA in essere con fornitori e outsourcer sono, infatti, fra le principali evidenze che è richiesto di produrre in sede di ispezione.

Per concludere, la conformità è importante per la salute e l’immagine aziendali ma è da considerarsi solo complementare all’adeguata protezione delle informazioni aziendali e alla gestione del rischio. Limitarsi al solo conseguimento della conformità può quindi risultare estremamente pericoloso e potrebbe minare seriamente il business aziendale.

Ettore Guarnaccia