Ridefinire il rischio IT nel mondo post-pandemia

Con la tecnologia sempre più critica per il successo e la sopravvivenza aziendale, i leader IT stanno assumendo un ruolo più ampio e strategico nella valutazione delle sfide e delle opportunità aziendali.

rischio it

Antonio Vázquez vede il potenziale per problemi ovunque. Vázquez, che ha iniziato a gennaio 2021 come primo CIO presso l’azienda tecnologica Bizagi, offre un lungo elenco di aree in cui qualcosa potrebbe andare storto: sicurezza, privacy dei dati, conformità, relazioni con i fornitori, gestione dei costi, accesso dei dipendenti ai sistemi, personale e progetti IT.

Sta pensando se i dipendenti comprendono e seguono le politiche e gli standard di sicurezza informatica dell’azienda, se i suoi venditori e fornitori si modernizzeranno a un ritmo che soddisfi le esigenze della sua azienda, se i costi dei fornitori aumenteranno a spirale e se gli investimenti trasformativi forniranno le esperienze che i clienti desiderano, o metteranno invece a repentaglio la relazione con loro.

“Dal momento in cui pensi a progetti, contratti o nuove procedure, devi pensare anche al rischio”, afferma Vázquez, osservando come l’anno passato abbia dimostrato a tutti che possono sorgere rischi nuovi e imprevisti in qualsiasi momento. E aggiunge: “Il panorama è cambiato parecchio, e forse due anni fa sentivamo di avere tutto sotto controllo. Ora vediamo che a volte non ce la facciamo. Potreste avere i migliori standard possibili e immaginabili, ma all’improvviso succede qualcosa e tutto cambia”.

ADV
Webinar Finanziamenti a fondo perduto PNRR NextGen EU

L’IT as-a-service e le opportunità dei finanziamenti PNRR e NexGen EU

Come il modello IT as-a-Service e i finanziamenti NextGen EU e PNRR possono essere gli strumenti giusti per erogare i servizi digitali richiesti dal business e dal mercato.      ISCRIVITI ORA >>

Non c’è niente di nuovo nella necessità che i leader aziendali identifichino il rischio e ne comprendano la propensione e la tolleranza. Ma i tipi di rischi che devono affrontare stanno cambiando, così come la velocità di tali cambiamenti, costringendo molte organizzazioni a valutare e rivalutare più frequentemente le loro soglie per i rischi accettabili.

Anche il ruolo del CIO in queste discussioni si sta evolvendo, poiché la tecnologia è diventata sempre più critica per l’impresa in termini di successo e sopravvivenza, come hanno dimostrato la pandemia e altri eventi recenti. Ciò lascia ai CIO il compito di valutare nuove aree di rischio e di reimpostare la propensione al rischio, la tolleranza e la soglia, che stanno cambiando mentre affrontano un mondo post-pandemia fatto di nuove sfide e di nuove opportunità di business.

Una nuova era del rischio IT

Anche se i CIO affrontano più rischi che mai, le conseguenze di una valutazione errata di tali rischi stanno aumentando. Le organizzazioni sono infatti diventate completamente dipendenti da sistemi per tutte le loro funzioni e i CIO devono eseguire correttamente il calcolo del rischio e hanno molto da tenere in considerazione.

I rischi per la sicurezza sono in cima alla lista delle preoccupazioni di molti CIO. L’ondata di attacchi ransomware durante la tarda primavera, incluso l’attacco del maggio 2021 a Colonial Pipeline attribuito a una VPN non protetta, evidenzia chiaramente le sfide per i CIO in quest’area.

I CIO sono sempre più concentrati anche sul rischio di conformità, poiché più normative e leggi come il “diritto all’oblio” richiedono loro di sapere con precisione dove risiedono i dati. “Questa è una funzione del panorama tecnologico, dell’architettura e delle applicazioni che bisogna conoscere”, spiega Benjamin Rehberg, amministratore delegato e senior partner di Boston Consulting Group. “E più non siete chiari su quale sia l’effettiva singola fonte di verità, maggiore è il rischio di conformità”.

Anche i rischi associati ai sistemi legacy sono tra le principali preoccupazioni. La pandemia lo ha evidenziato in modo evidente, poiché le organizzazioni che avevano sostituito la vecchia tecnologia con soluzioni cloud sono passate più facilmente al lavoro a distanza e a nuovi modelli di business rispetto a quelle rimaste ancorate a sistemi più vecchi.

D’altro canto, anche gli sforzi di modernizzazione e trasformazione, insieme al rapido ritmo previsto per la loro realizzazione, creano rischi che i CIO devono considerare. “Siamo spesso spinti a fornire soluzioni e risultati sempre più rapidamente e non ci prendiamo tempo per ottenere il feedback delle parti interessate in modo tempestivo” afferma Eric Naiburg, COO di Scrum.org. “E questo è un rischio perché man mano che il team IT continua a costruire di più, diventa più difficile cambiare in caso di necessità”.

E che dire dei rischi legati ai fornitori? Errori di alto profilo come la violazione di SolarWinds del 2020 dimostrano come i problemi con i fornitori di tecnologia possano causare problemi all’interno dello shop IT aziendale e, quindi, all’organizzazione nel suo insieme. Ci sono anche rischi da considerare dall’ecosistema enterprise, come quelli introdotti da fornitori di servizi gestiti e partner commerciali. Un’interruzione del sistema presso un provider cloud, ad esempio, può rappresentare un grosso rischio per un CIO se tale provider ospita un sistema critico.

leader it

Anche i rischi relativi all’integrità dei dati sono saliti in cima alla lista dei rischi. Secondo Alla Valente, analista di Forrester, le organizzazioni fanno sempre più affidamento sui dati per guidare le decisioni, l’automazione e i sistemi intelligenti. Di conseguenza, molti hanno visto diminuire la loro tolleranza per un’integrità dei dati non perfetta. E poi ci sono rischi sistemici esterni al business: uragani, incendi, recessioni e pandemie, solo per citarne alcuni.

Il modo in cui i CIO valutano tutti questi rischi varia da un’organizzazione all’altra. Non sembra esserci infatti una tendenza generale al di là dei CIO che rivisitano più frequentemente il problema lavorando a stretto contatto con i loro colleghi per tracciare le loro strategie post-pandemia. “I CIO stanno imparando da ciò che è appena successo, si stanno adattando e decidono dove e come rimuovere i rischi”, afferma Naiburg.

Il contesto aziendale per la strategia del rischio

Saby Waraich, CIO del Clackamas Community College in Oregon, offre un elenco simile e onnicomprensivo quando si parla di rischi. E come altri, dice che la sua tolleranza al rischio sta cambiando per una serie di motivi. Ad esempio, Waraich sta riconsiderando i rischi che il data center del college deve affrontare dopo che un recente incendio è scoppiato nelle vicinanze.

Considerando i rischi che incombono su di lui come CIO, Waraich li vede tutti correlati e intrecciati con il business. “Non ci sono rischi informatici. Dobbiamo cambiare quel linguaggio e chiederci quali siano i rischi aziendali nel loro complesso”. Dopotutto, se il data center prende fuoco, non solo ostacolerà l’IT, ma ostacolerà e potrebbe persino bloccare temporaneamente l’intera organizzazione.  Waraich aggiunge: “Se quindi l’IT valuta questi rischi con un approccio a silos, non avrà molto successo”.

La pandemia ha rafforzato il valore di tale approccio. “Due anni fa, l’attenzione si concentrava maggiormente sulla tecnologia e sui rischi per la tecnologia. La pandemia è stata un campanello d’allarme per i CIO che si sono concentrati sui rischi lato business, in modo da poter sempre mantenere l’azienda in funzione”.

Waraich valuta i rischi tenendo conto di ciò, pensando a come problemi o guasti, sia nel data center, sia come risultato di un’iniziativa di trasformazione digitale, potrebbero influire sulle funzioni aziendali e sull’azienda nel suo insieme. Quindi identifica quali rischi potrebbero compromettere le operazioni aziendali e in quale misura; si tratta di un processo per dare priorità al lavoro che mitiga i rischi, traducendoli in obiettivi IT principali.

Ad esempio, Waraich considerava la mancanza di personale 24 ore su 24 presso l’help desk come un rischio inaccettabile dato il numero di utenti che necessitano di aiuto a qualsiasi ora; sta quindi implementando dei chatbot per aiutare a mitigare tale rischio. Nel frattempo, sta lavorando con altri dirigenti universitari per valutare i protocolli di sicurezza e i controlli tecnologici alla luce sia dell’aumento degli attacchi informatici, sia dell’aumento dei premi assicurativi informatici.

Gli analisti di Forrester concordano con questo approccio. “Il rischio tecnologico è un rischio aziendale” afferma Naveen Chhabra, analista specializzato in infrastrutture e operazioni. Secondo Forrester, un numero crescente di organizzazioni ha creato “comitati di rischio” con la partecipazione del CIO, in modo da identificare i rischi e stabilire la propensione al rischio e la tolleranza al rischio. Ciò aiuta a fornire indicazioni su ciò che il CIO deve fare all’interno del dominio IT per allinearsi a tali parametri.

Anche Bryce Austin, CIO e CISO che ora ricopre il ruolo di CEO della società di consulenza sulla sicurezza informatica TCE Strategy, è convinto del valore dei CIO che lavorano insieme ad altri dirigenti su questo argomento. Nota che i rischi all’interno dell’IT non rappresentano solo un rischio per le funzioni aziendali esistenti, ma presentano anche un rischio per le future opportunità di business.

Questo è uno dei motivi per cui Austin consiglia ai CIO di pensare ai rischi insieme alla pianificazione strategica e di adeguarli al mutare delle circostanze. Inquadrando la conversazione su come i rischi, se si verificano, potrebbero danneggiare gli obiettivi strategici, i CIO possono determinare meglio la tolleranza che hanno per ciascun rischio all’interno dell’IT.

D’altra parte, tuttavia, i CIO non possono essere troppo avversi al rischio, in particolare ora che il mondo post-pandemia cerca di andare avanti. “I CIO che sono disposti a fare mosse molto audaci e a correre un rischio nello spirito di eliminare i rischi sopravviveranno a lungo”, afferma Austin. “La tecnologia è ormai un fattore strategico per il modo in cui le aziende entrano nel mercato. Ciò dovrebbe aiutare a definire la propensione al rischio e ciò che i CIO dovrebbero essere disposti a fare. E questa deve essere una decisione congiunta di business e IT”.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!