Risk Assessment in tema di IT Governance & Cybersecurity

Primario Contractor tra i primi 25 a livello europeo nel settore delle costruzioni

Il Cliente ha chiesto il supporto di Macfin per rilevare e rappresentare il proprio profilo di rischio nell’ambito dell’IT governance e della cybersecurity secondo una metodologia ed una tassonomia dei rischi che fosse condivisibile con efficacia tra funzioni di controllo, area IT e key process owner operanti presso la sede principale, le sedi estere ed i siti produttivi.

Obiettivi

Rilevare

in base a metriche quali-quantitative l’esposizione assoluta, il livello di mitigazione di specifici set di controlli e l’esposizione residua per ciascuno dei rischi in-scope, al fine di definire un audit program basato sul profilo di rischio effettivo

Valutare

l’adeguatezza del Modello di Organizzazione e Controllo ex D.Lgs. 231/2001 riguardo ai reati di criminalità informatica ed in materia di violazione dei diritti d'autore con riferimento al rischio di commissione per ciascuno degli specifici reati in-scope

Adottare

una tassonomia dei rischi in linea con le caratteristiche dell’organizzazione, coerente con gli obiettivi di efficacia nella sua condivisione e, al contempo, riferibile alla classificazione dei rischi definiti dallo standard di IT governance COBIT.

Attività

Definizione di una tassonomia custom

comprendente circa 35 rischi e relativi controlli (aree IT governance, operations, cybersecurity) e suo mapping con la classificazione standard COBIT costituita da circa 110 rischi e 210 controlli

Mappatura dei sistemi applicativi aziendali

primari, secondari e general purpose per ciascuna area aziendale (circa 60 sistemi gestiti centralmente, oltre quelli operanti localmente presso le principali sedi estere). La mappatura è stata utilizzata come informazione di contesto per la rilevazione del livello dei rischi presso ciascuno dei process owner interessati

Rilevazione del livello dei rischi

presso 12 principali process owner di differenti aree (gare, produzione, AFC, HR, procurement, IT, ecc.) e presso le principali sedi estere. La rilevazione è avvenuta tramite self-assessment supportato da un tool per la condivisione dei risultati con i process owner in corso di intervista

Mapping della valutazione dei rischi IT in scope con i rischi-reato

di criminalità informatica ed in materia di violazione dei diritti d'autore per la valutazione di adeguatezza di quanto previsto in tale ambito dal Modello di Organizzazione e Controllo ex D.Lgs. 231/2001

Risultati

Diffusione trasversale della cultura del rischio

e del controllo in ambito IT nelle differenti aree dell’organizzazione, superando la separazione tipica tra rischi della tecnologia e rischi per il business

Definizione di un IT risk report condiviso a tutti i livelli

dell’organizzazione e di immediata lettura, mediante la contestualizzazione degli IT risk nei processi operativi aziendali

Identificazione di una metodologia di IT risk assessment riperformabile

secondo criteri e processi definiti, grazie al knowledge transfer verso le funzioni di controllo ed ai riferimenti allo standard di IT governance COBIT

RICHIEDI INFORMAZIONI
SUI NOSTRI SERVIZI

Desideri avere maggiori informazioni sui nostri servizi e le nostre soluzioni? Inserisci i tuoi dati e provvederemo a contattarti al più presto. 

    Vorrei parlare di:


    About Macfin

    Il nostro sito utilizza cookie per fornire un servizio migliore. Proseguendo la navigazione o cliccando sul pulsante “OK” si acconsente all'utilizzo dei cookie. Per maggiori informazioni è possibile consultare la nostra Privacy Policy.