Chiara Ornigotti, Senior Sales Manager Paessler per il Sud Europa, evidenzia l’importanza delle attività di monitoraggio di rete nella gestione del rischio operativo IT.
Mantenere un equilibrio tra basso e alto rischio è una sfida quotidiana per tutte le industrie e le aziende di ogni dimensione. Se qualcosa si trasforma in una storia di successo o in un fallimento, maggiore è il rischio, maggiore è la probabilità che si verifichi uno di questi casi. Non correre rischi può significare una perdita di profitto o un grande sforzo fatto semplicemente per non rischiare.
Il significato del risk management nell’IT
Nell’IT la gestione del rischio è spesso vista come la risoluzione di un singolo problema. Si tende a concentrarsi su due sottogruppi di rischio: malware e data recovery. Il pericolo che altri problemi vengano trascurati e che le risorse possano essere utilizzate in modo più efficace sono effetti collaterali comuni.
L’importanza del monitoraggio di rete in molte aree della gestione del rischio operativo IT viene spesso trascurata. Certamente, il suo ruolo nella gestione di potenziali problemi di rete come guasti agli switch e sovraccarichi è una delle ragioni principali per investire in software di gestione della rete.
Tuttavia, può anche avere un ruolo nell’individuare altri potenziali problemi tra cui il download di materiale inappropriato sulle reti aziendali e la definizione delle priorità di varie classi di traffico di rete per prestazioni aziendali ottimali. In un mondo in cui possono costare anche ritardi di millesimi di secondo nel traffico transazionale, questi possono essere elementi cruciali da affrontare.
Classificare i rischi operativi nell’IT
La cattiva notizia è che è impossibile eliminare del tutto i rischi. L’obiettivo della gestione dei rischi è identificare i problemi che possono e dovrebbero essere gestiti e ridurre tali esposizioni a un livello accettabile per l’azienda. Ciò lascia rischi residui che dovrebbero essere accettati come il costo che un’attività comporta.
L’IT deve affrontare tre principali classi di rischio operativo:
1. Rischi della tecnologia – Queste sono preoccupazioni IT tradizionali che vanno dai guasti alle apparecchiature attraverso virus e worm trasmessi dalla rete a problemi più esterni, come attacchi denial-of-service, tentativi di intrusione e “war walker” che accedono alle reti wireless dall’esterno dell’edificio.
Molti dei rimedi a questi problemi sono anch’essi basati sulla tecnologia, ma sono importanti anche le regole rigide. Imporre una norma secondo la quale i dispositivi portatili devono eseguire potenti firewall e sistemi antivirus è una politica ovvia. Un’altra potrebbe includere una regola secondo cui i dipendenti non possono installare i propri nodi WiFi non controllati e spesso non protetti.
2. Rischi legali e del personale – Questi includono problemi di disciplina come la preparazione di eventuali richieste di reperimento legale che potrebbero comprendere la raccolta di email per cause civili; dipendenti che scaricano materiale inappropriato da Internet che potrebbe generare cause legali per ambiente di lavoro ostile; potenziale sabotaggio o spionaggio da parte dei dipendenti.
Questi tipi di minacce sono più difficili da gestire perché la tecnologia non è in grado di fornire soluzioni cristalline. Policy forti e corretta gestione del personale sono le chiavi per mitigare questi rischi. I manager dovrebbero essere addestrati nelle tecniche di supervisione del personale. Tuttavia, la gestione della rete può anche fornire indizi su alcuni potenziali problemi.
3. Disastri naturali e provocati dall’uomo – Inondazioni, terremoti, grandi tempeste, insieme a eventi molto meno probabili, possono essere devastanti. La definizione di strategie adeguate per la gestione di questi rischi è uno dei compiti più difficili del risk management. Molte strategie sono disponibili a prezzi diversi e con differenti livelli di protezione.
Dovrebbero essere valutate nel contesto della situazione generale dell’azienda. Tuttavia, la gestione delle catastrofi dovrebbe iniziare dal buon senso. Nel mondo interconnesso di oggi, anche le aziende relativamente piccole possono localizzare i propri data center lontano da aree soggette a disastri e in una struttura moderna e fisicamente sicura (possibilmente condivisa con altre aziende) oppure possono affidare funzionalità IT vitali a outsourcer o Software-as-a-Service (SaaS) provider che possono garantire un livello di sicurezza maggiore di quello che l’azienda può assicurare.
Un possibile contenimento dei rischi IT
Efficaci strumenti di monitoraggio della rete come PRTG Network Monitor possono fornire una prevenzione precoce di alcuni problemi: dai rischi tecnologici, legali e del personale ai rischi naturali e a quelli causati dall’uomo.
In ultima analisi, non ci sono garanzie: una certa quantità di rischio deve essere accettata da qualsiasi impresa e la gestione del rischio non significa garantire che non possa accadere nulla di male, perché anche negli ambienti più sicuri si sviluppano i problemi. Al contrario, l’obiettivo della gestione del rischio è ridurre l’esposizione a un livello accettabile sia dal punto di vista economico sia della sostenibilità. Se l’IT è in grado di assicurarlo, può considerare il proprio programma di gestione dei rischi un successo.