GRC - Governance, Risk Management, Compliance

Sotto la sigla GRC sono unificate problematiche "alte" dei sistemi informatici e della vita delle aziende: Governance, Risk Management, Compliance.

Si tratta di problematiche che rispondono a norme quali l. 262/05, d.lgs. 231/01, d.lgs. 196/03, SOx, ISO27001, CoBIT: le leggi italiane (ed una valida per le aziende quotate sui mercati borsistici USA), e che tollerano poche approssimazioni, e una serie di quadri di riferimento che definiscono gli approcci virtuosi al tema.

Tutte le attività che stanno sotto l'ombrello "GRC" sono sostanzialmente simili nel loro svolgersi: si parte dalla modellazione della realtà aziendale, sul modello così costruito si verifica come impattino le norme menzionate sopra, e quali siano gli scostamenti tra la situazione reale e quella che le norme prescriverebbero.

Da qui discende un piano di attività per rimediare alle discrepanze tra gli obblighi normativi e la prassi aziendale.

Il processo viene eseguito tutti i giorni in decine di aziende italiane, ed è completamente irrazionale nel suo svilupparsi.

Si parte da interviste e si produce reportistica.

Ogni adempimento (ed in una azienda media o grande almeno i d.lgs. 196/03 e 231/01 o la l. 262/05 richiedono adempimenti annuali) nasce e muore autonomamente.

Procedere dalle interviste alla stampa di report impedisce di mettere a fattor comune quello che intuitivamente è comune a tutte le attività, vale a dire la modellizzazione della realtà.

Indiscutibilmente, se la realtà modellata è quella della azienda, un unico modello dovrebbe essere più che sufficiente a rappresentare una singola realtà.

Questa ovvietà è resa impossibile dalla manualità del processo.

La sua automazione consente un taglio drastico dei costi, ed assieme a questo vantaggio "tangibile" (la messa a fattor comune del modello della realtà) una serie di vantaggi intangibili: il processo automatizzato esce dallo stadio artistico, in cui è determinante il genio, esce dallo stadio artigianale, in cui contano la sensibilità e l'esperienza, ed entra in uno stadio di industrializzazione. A parità di input il processo restituirà sempre lo stesso output, il significato delle domande e delle risposte viene definito una volta per tutte, invece di partire ogni volta da zero sarà possibile lavorare in maniera incrementale, affinando le risposte che il sistema fornisce.

 

La soluzione proposta da CryptoNet consiste in una piattaforma che si integra perfettamente con le tecnologie esistenti nel sistema informativo aziendale e, grazie ai vari moduli di cui è composta, utilizzabili singolarmente o in modo combinato, permette di affrontare i seguenti temi: 

  • policy management: gestisce il ciclo di “redazione-verifica-approvazione” di tutte le policy aziendali e successivamente la loro implementazione all’interno dell’azienda;
  • IT ed enterprise risk management: basato sui più comuni framework· in ambito risk management (tra cui CobiT, ISO 31000, BS25999), ne automatizza il processo, supportando il censimento, l’analisi, la valutazione e la definizione di un piano di trattamento dei rischi individuati;·
  • compliance management: centralizzando il processo, automatizza le attività ripetitive legate alla gestione della compliance e consente di determinare gli scostamenti sia da standard e norme internazionali (tra cui PCI-DSS, ISO 27002, BS25999, Basilea II, SOX) che da norme locali o proprietarie;
  • incident e workflow management: gestisce il processo legato all’implementazione del piano di trattamento per l’eliminazione dei rischi o delle non conformità individuate;·
  • vendor management: supporta i processi di valutazione e gestione dei partner, dei fornitori e dei service provider;
  • audit management: supporta l’esecuzione di audit interni con la stessa efficienza ed imparzialità· di un auditor di terza parte, con conseguenti risparmi di tempo e denaro se effettuate prima di eseguire audit ufficiali;
  • security management: unendo le tecnologie di vulnerability scanning con le componenti di policy management, enterprise risk management e workflow management, la soluzione permette di seguire l’intero processo di gestione delle vulnerabilità, di valutazione e di trattamento dei rischi associati.
Versione stampabile
Torna su