Risk Assessment in tema di IT Governance & Cybersecurity
Primario Contractor tra i primi 25 a livello europeo nel settore delle costruzioni
Il Cliente ha chiesto il supporto di Macfin per rilevare e rappresentare il proprio profilo di rischio nell’ambito dell’IT governance e della cybersecurity secondo una metodologia ed una tassonomia dei rischi che fosse condivisibile con efficacia tra funzioni di controllo, area IT e key process owner operanti presso la sede principale, le sedi estere ed i siti produttivi.
Obiettivi
Rilevare
in base a metriche quali-quantitative l’esposizione assoluta, il livello di mitigazione di specifici set di controlli e l’esposizione residua per ciascuno dei rischi in-scope, al fine di definire un audit program basato sul profilo di rischio effettivo
Valutare
l’adeguatezza del Modello di Organizzazione e Controllo ex D.Lgs. 231/2001 riguardo ai reati di criminalità informatica ed in materia di violazione dei diritti d'autore con riferimento al rischio di commissione per ciascuno degli specifici reati in-scope
Adottare
una tassonomia dei rischi in linea con le caratteristiche dell’organizzazione, coerente con gli obiettivi di efficacia nella sua condivisione e, al contempo, riferibile alla classificazione dei rischi definiti dallo standard di IT governance COBIT.
Attività
Definizione di una tassonomia custom
comprendente circa 35 rischi e relativi controlli (aree IT governance, operations, cybersecurity) e suo mapping con la classificazione standard COBIT costituita da circa 110 rischi e 210 controlli
Mappatura dei sistemi applicativi aziendali
primari, secondari e general purpose per ciascuna area aziendale (circa 60 sistemi gestiti centralmente, oltre quelli operanti localmente presso le principali sedi estere). La mappatura è stata utilizzata come informazione di contesto per la rilevazione del livello dei rischi presso ciascuno dei process owner interessati
Rilevazione del livello dei rischi
presso 12 principali process owner di differenti aree (gare, produzione, AFC, HR, procurement, IT, ecc.) e presso le principali sedi estere. La rilevazione è avvenuta tramite self-assessment supportato da un tool per la condivisione dei risultati con i process owner in corso di intervista
Mapping della valutazione dei rischi IT in scope con i rischi-reato
di criminalità informatica ed in materia di violazione dei diritti d'autore per la valutazione di adeguatezza di quanto previsto in tale ambito dal Modello di Organizzazione e Controllo ex D.Lgs. 231/2001
Risultati
Diffusione trasversale della cultura del rischio
e del controllo in ambito IT nelle differenti aree dell’organizzazione, superando la separazione tipica tra rischi della tecnologia e rischi per il business
Definizione di un IT risk report condiviso a tutti i livelli
dell’organizzazione e di immediata lettura, mediante la contestualizzazione degli IT risk nei processi operativi aziendali
Identificazione di una metodologia di IT risk assessment riperformabile
secondo criteri e processi definiti, grazie al knowledge transfer verso le funzioni di controllo ed ai riferimenti allo standard di IT governance COBIT
RICHIEDI INFORMAZIONI
SUI NOSTRI SERVIZI
Desideri avere maggiori informazioni sui nostri servizi e le nostre soluzioni? Inserisci i tuoi dati e provvederemo a contattarti al più presto.
Altri Casi di Successo
Impostazione del Framework "231" di un Player Internazionale del Gaming
Industria & Servizi | Risk & Compliance
Sviluppo di una soluzione per il Reporting dei Rischi di un Gruppo Assicurativo
Insurance | Risk & Compliance
Impostazione del Framework "GDPR" di una società pubblica
No Profit & Pubblico | Risk & Compliance
