Augeos in campo sul GDPR

Augeos, gestione integrata del rischio
Sicurezza e protezione dei dati in primo piano con la piattaforma targata Augeos per una gestione unificata del rischio a 360 gradi

Soluzioni software, consulenza e strategia di espansione all’estero. Si evolve l’offerta del gruppo piemontese in tema di rischio informatico e privacy alla luce dell’entrata in vigore del regolamento europeo sulla protezione dei dati (GDPR) che cambia la logica del rischio e degli adempimenti delle imprese

I possibili rischi che gravano sui dati, direttamente o indirettamente, sono numerosi. In generale, possono essere ricondotti a diverse tipologie tra le quali danneggiamento o indisponibilità dei sistemi hardware e software, distruzione, alterazione, diffusione e comunicazione non autorizzata dei dati. L’estrema diversificazione, l’ampiezza dello spettro, rende problematica la loro catalogazione. E tuttavia, la fase di analisi dei rischi – la descrizione cioè dei principali eventi potenzialmente dannosi – e la valutazione delle possibili conseguenze in termini di gravità che incombono sui dati, rappresentano un passaggio fondamentale nel processo di costruzione di un sistema efficiente di gestione dei rischi IT e privacy. Perché è sulla base della valutazione del potenziale accadimento e del livello di gravità di un evento imprevisto che l’organizzazione valuterà quali misure di sicurezza adottare a fronte dei possibili scenari di rischio. Augeos, azienda con sede a Rivoli, è specializzata in servizi e soluzioni IT ad alto valore aggiunto nei segmenti risk management e data providing, con un portafoglio clienti che comprende tra gli altri Intesa Sanpaolo, Mediobanca, Societé Génerale, Cedacri e Banco BPM. «Siamo un’azienda che sviluppa prodotti nell’area finance, nello specifico nell’area risk management. Soprattutto per il mercato bancario. Abbiamo sviluppato una serie di soluzioni, inizialmente sul tema dei rischi operativi, di compliance e nell’ultimo anno dei rischi informatici» – ci racconta Claudio Ruffini, fondatore e presidente di Augeos. Un tema quest’ultimo, strettamente connesso a quello della privacy e della cybersecurity, particolarmente attuale per la concomitanza con la promulgazione del GDPR, la nuova normativa europea sulla privacy, in vigore dal maggio 2018.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Leggi anche:  Asset management: attività contabile o arma per la cybersecurity?

La nuova mappa del rischio

«La normativa GDPR introduce una serie di nuovi importanti adempimenti per le aziende. Molte delle procedure, delle prassi e dei processi bancari dovranno essere adattati per poter gestire adeguatamente le informazioni relative al trattamento dei dati soggetti alla nuova norma» – premette Ruffini. Adeguamenti finalizzati a far sì che ogni banca sia in grado di tracciare in ogni momento tutti i dati oggetto della norma, in suo possesso. «Tracciabilità e all’occorrenza cancellazione o obbligo di segnalazione, non solo all’interessato ma anche agli enti di controllo» – rileva Ruffini. «Quindi un completo controllo su questi dati. Natura, ubicazione, tipo di trattamento e valutazione dell’impatto, sono alcune delle novità introdotte per le quali si rende necessario l’introduzione di nuovi sistemi di supporto alla governance aziendale. L’importanza della materia è dimostrata anche dal fatto che in presenza di una violazione dei dati (data breach) la banca sarà tenuta entro 72 ore a notificare l’accaduto all’interessato e alle autorità competenti. La normativa prevede inoltre la presenza di un responsabile preposto a gestire tali dati, il data protection officer: un altro fattore di forte impatto dal punto di vista organizzativo». Banche e assicurazioni, grandi imprese e PMI, pubblica amministrazione: tutti dovranno perciò dotarsi di strumenti e metodologie adeguate per poter gestire questo passaggio alla nuova normativa. «Se tutto questo non viene gestito con adeguati strumenti si rischia di essere inadempienti. Con sanzioni decise dall’Europa estremamente elevate. Che possono arrivare fino al quattro per cento del volume d’affari. Perciò bisogna dotarsi di strumenti all’altezza, senza i quali diventa più difficile rispondere pienamente alla legge» – osserva Ruffini.

Una visione allargata della sicurezza

La gestione del rischio IT richiede una visione allargata della sicurezza, tale da spostare l’attenzione da una serie di problematiche contingenti a una prospettiva olistica nella quale valutare costantemente numerosi fattori. «Un sistema come il nostro supporta la governance di questi processi. Aiuta a identificare natura e ubicazione dei rischi, collegarli agli asset aziendali, magari già analizzati con un sistema di IT risk management implementato in precedenza dalla banca, che oltre a censire i processi, gli asset e i rischi IT può agganciarsi anche al trattamento dei dati. Una soluzione come AITRisk riesce a mettere a fattor comune le analisi di rischio già realizzate e permette di integrare anche il tema della privacy. Permette di mappare questi rischi, valutarli e gestire l’aspetto di remediation, migliorare i controlli, individuare i punti di failure e di debolezza dei sistemi. Inoltre, consente di gestire e di documentare tutti questi processi nel caso dovesse verificarsi un problema di data breach/incident di fronte a tutti gli organismi preposti a richiedere che cosa è stato fatto in termini di prevenzione, controlli (Garante, audit, Banca d’Italia). Un sistema che si rivolge alle funzioni di controllo. Un supporto importante per svolgere al meglio il loro compito».

Leggi anche:  Solo il 66% dei responsabili aziendali riconosce che la cybersecurity è alla base dell’evoluzione digitale

Soluzioni software e consulenza

L’offerta di Augeos è anche di tipo consulenziale, come ci illustra Ruffini. «La nostra offerta prevede sia un prodotto software che attività consulenziale. È chiaro che le banche in questa fase hanno bisogno di comprendere appieno l’impatto della normativa sulla loro organizzazione. Pertanto è forte il bisogno di consulenza organizzativo-funzionale, business impact analysis, e così via. Per le realtà che hanno già intrapreso questo percorso, la nostra soluzione consente di migliorare la governance di questi uffici, garantendo gli adempimenti richiesti dalla legge. Difficile gestire tutto con fogli elettronici, semplici email, o analisi fatte su carta. Un sistema, un repository a prova di audit che permetta di ricostruire il tutto è sicuramente un fattore vincente».

Strategia di espansione

Il mercato d’elezione di Augeos è quello delle banche. Questo non significa tuttavia che non ci siano degli altri mercati sui quali indirizzarsi nei prossimi mesi. «Il GDPR impatta in modo trasversale tutte le imprese e le organizzazioni. Le problematiche sono esattamente le stesse, così come i sistemi e le metodologie per trattare questa tematica. La nostra strategia è quella di consolidare l’offerta nel mondo bancario e allo stesso tempo proporsi a tutto il mondo finance a 360 gradi, approcciando assicurazioni, SGR e SIM. E successivamente alle grandi imprese. In una prospettiva più di medio termine, puntiamo a rivolgerci anche ai mercati esteri. Già ora, una piccola parte del nostro fatturato, circa il 5 per cento, viene realizzata oltre i confini nazionali. Ma abbiamo intenzione di investire di più anche nell’espansione all’estero. Senza dubbio quella del GDPR oltre che una tematica così cogente, per noi rappresenta un’importante opportunità di diversificazione di mercato» – conclude Ruffini.

Leggi anche:  Mandiant presenta il report M-Trends 2023