top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

Business Process Management (BPM)

La sicurezza integrata nei processi operativi


Il workflow è una “rappresentazione di una sequenza ordinata di azioni, trasversale rispetto alle strutture organizzative aziendali, orientata all’ottenimento di un bene o servizio”.


Non tutti forse utilizzano o conoscono questo termine anglosassone, forse perché ne impiegano l’omologo italiano cioè istruzione di lavoro, che consiste, definito in altro modo, nella “descrizione dettagliata delle modalità di esecuzione di un’attività;”.


Ma facciamo un passo indietro e cerchiamo di capire la relazione tra processo e workflow e perché la sicurezza può, e deve, a mio avviso in un contesto evoluto, esservi integrata.

PCI DSS graphic

Come schematizzato nella figura a fianco, le aziende sono  attraversate da una o più business line cioè da unità composte da un insieme di elementi che costituiscono un prodotto o un servizio veicolato alla clientela. I principali elementi di cui si compone la business line sono i processi: oggetti ordinati che, a loro volta, incorporano infrastrutture, materie prime, fornitori, ma anche ovviamente azioni manuali svolte dal personale, passi eseguiti dai sistemi informativi, ecc.


Per poter gestire ordinatamente ed efficacemente tutti gli oggetti in gioco, oltre a poterne governare puntualmente i costi, riferibili al prodotto o al servizio, divengono di rilevante importanza le istruzioni dettagliate che consentono di guidare il personale circa le azioni da svolgersi in ogni circostanza, i workflow appunto.

 

In tale quadro, seppur possa sembrare banale sottolinearlo, ovviamente anche i sistemi informativi devono essere governati dal personale che a sua volta è opportunamente informato e formato per svolgere tale compito.


A questo punto, volutamente tralasciate dal precedente insieme di elementi componenti la catena business line > processi > workflow, devono essere ricomprese le regole interne e le regole esterne.

 

Partendo dalle regole esterne, queste si riferiscono principalmente a legislazione vigente e regolamenti di settore: per citarne alcune, ad esempio il D.Lgs. 231/01 (Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica), il D.Lgs. 61/11 (Direttiva recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione) o il più conosciuto D.Lgs. 196/03 (Codice per la protezione dei dati personali), il Regolamento di IVASS per il settore assicurativo o di Basilea I, II e III per il settore bancario.

 

Regole esterne dalle quali spesso, congiuntamente a quelle che si compongono dalla cultura e tradizione di gestione delle singole imprese, si desumono anche le regole interne, cioè politiche, procedure, norme,  disciplinari e via discorrendo.

 

A questo punto, possiamo porci una domanda: è solo una provocazione oppure il miglior approccio (minor oneri e massima efficacia) è integrare la sicurezza nei workflow aziendali ? come possiamo farlo ?


Detto che la massima efficacia ed efficienza si ottiene appunto integrando la sicurezza nelle business line > processi > workflow aziendali, probabilmente è un percorso che, consapevolmente o meno e più o meno compiutamente, abbiamo già svolto poiché:

  • adeguare la propria azienda alla legislazione vigente, di natura cogente o di adozione volontaria, comporta sempre la re-ingegnerizzazione dei processi (BPR) e delle istruzioni di lavoro (workflow);
  • rispettare uno specifico regolamento di area comporta l’adeguamento dei workflow (BPR);
  • applicare un Sistema di Gestione (sia esso ad esempio orientato alla Sicurezza delle informazioni o alla Qualità) comporta lo svolgimento di un’attività di BPR.



In questo quadro, si deriva che i workflow aziendali sono oggetto di innumerevoli manipolazioni, anche per via del mutare e maturare del prodotto e/o servizio offerto alla clientela.


Integrare quindi aspetti di compliance e/o di sicurezza delle informazioni nei workflow aziendali è quindi indispensabile nonché naturale, a patto che l’azienda sia supportata da staff di esperti che, mediante l’impiego di metodologie riconosciute, consentano di evitare la replicazione di percorsi di cambiamento similari o già svolti e che aiutino l’impresa a trasformare tali oneri in valore aggiunto.
 


Per approfondimenti:

http://en.wikipedia.org/wiki/Business_process_reengineering
http://it.wikipedia.org/wiki/Qualità_totale
https://www.asme.org/
 

 

07/10/2013 - Angelo Chiarot, Security Advisory Team @ Mediaservice.net