Il caso di down completo per Wind Infostrada dello scorso venerdì 13 giugno potrà forse far sorridere i più superstiziosi ma pone seri interrogativi sul risk profile dell’azienda, non solo dal punto di vista tecnologico.

Articolo pubblicato su ForexInfo. Link: http://www.forexinfo.it/Crolla-rete-Wind-rischio

E’ stato proprio un venerdì 13 quello dell’altro ieri per gli utenti di Wind Infostrada, la vicenda del collasso della rete ha portato alla luce il tema del technology risk, del suo governo e dei processi aziendali che lo caratterizzano.

La diffusione dei sistemi informatici in tutti i processi aziendali impone un’attenzione alla sicurezza ed all’affidabilità delle strutture informatiche tale che si possa garantire un adeguato grado di business continuity. Risulta evidente – in particolar modo nella produzione e distribuzione dei servizi – che si imponga un’attenta valutazione dei rischi operativi associati.

Il Regulator italiano è intervenuto recentemente con l’aggiornamento della Circolare n. 263 pubblicata il 2 luglio 2013 all’interno della quale si introducono disposizioni attinenti alla “information and communication technology”. In primis il software ma anche l’hardware, le reti informatiche di trasmissione dati e non ultimo tutta la documentazione elettronica soprattutto se riguarda la privacy o segreti aziendali. Quanto successo venerdì scorso alla rete Wind ha dimostrato che anche le più testate ed efficienti risorse tecnologiche possono andare in failure e creare notevoli disservizi. Non necessariamente deve trattarsi di un crash inaspettato delle macchine, il rischio tecnologico può manifestarsi anche a seguito di cause legate alle risorse umane che sono dedicate alla loro amministrazione e gestione.

I presidi di controllo interno sono chiamati a svolgere un’importante funzione di supervisione strategica delle funzioni aziendali coinvolte dai processi IT. Il principale organo di controllo a cui è assegnata la funzione di presidio sui rischi legati ai processi tecnologici è rappresentata in particolare dall’ Operational Risk Management. Con rischio operativo si intende il rischio di perdite dovute ad errori, infrazioni, interruzioni di attività e danni causati da processi interni, dal personale o da sistemi, oppure causato da eventi esterni.

Il quadro di riferimento organizzativo e metodologico necessario per effettuare una corretta analisi del rischio potenziale a cui sono esposte le risorse del sistema informativo richiede che la funzione di Risk Management debba poter garantire una continua dialettica tra la funzione di supervisione strategica e l’organo con funzione di gestione.

Nelle strategie di sviluppo del sistema informativo assume particolare rilievo la definizione delle policy di sicurezza informatica. Al fine di rendere più efficaci tali policy la sfida per il Risk Manager è attivare la giusta condivisione ed aggiornamento delle conoscenze in materia di ICT all’interno dell’azienda.

Aspetti quali la valutazione del rischio delle componenti critiche della infrastruttura informatica nonché l’analisi sulla adeguatezza della stessa, con riferimento anche ai costi dei servizi ICT, dipendono spesso più da elementi di governance che dalla qualità delle macchine e dei supporti informatici. La propensione al rischio informatico è diventato un elemento di peso nell’individuazione del risk appetite framework. Questo è sicuramente centrale nel business di Wind così come per gli altri operatori mobili.

Il caso Wind solleva l’attenzione sul delicato rapporto esistente tra i rischi tecnologici – che rientrano nella sfera dei rischi operativi – e quelli reputazionali che concorrono alla definizione delle strategie di business. Di fatti il rischio reputazionale è rappresentato come il rischio attuale o prospettico di una perdita, di una flessione degli utili o di un calo del valore del titolo, derivante da una percezione negativa dell’immagine aziendale – in questo caso quella di Wind – da parte di clienti e di altri stakeholders.

C’è da chiedersi se il risk appetite di Wind sia talmente elevato da tollerare un down così prolungato che superi ogni congruo limite di rischio operativo – o meglio di rischio tecnologico – costituendo una reale minaccia sotto il profilo reputazionale.