Un software GRC supporta le aziende nei processi di compliance, garantendo così l’adeguamento a normative e standard internazionali in materia di cybersecurity e data protection. Una necessità particolarmente rilevante non solo in questo momento storico, in cui si registrano tendenze costantemente in crescita sul fronte delle cyber minacce, ma anche in queste stesse settimane. Dal 18 ottobre, infatti, scatta l’obbligo di adeguamento alla direttiva europea Nis2 che amplia il panorama degli obblighi di sicurezza.
Perché serve un software GRC
Oltre a Nis2, nell’ambito delle norme sulla cybersecurity e sulla data protection le aziende sono tenute al rispetto del regolamento Dora e del Gdpr. Non mancano inoltre standard internazionali che le imprese possono adottare come strumento di accountability, per certificare la propria conformità nella sicurezza, qualità e continuità operativa. Tra questi standard, ad esempio, ci sono le norme ISO 27001, ISO 9001, ISO 22301.
Gli standard, a seconda dei mercati in cui le aziende operano e lo specifico ambito di applicazione, rappresentano uno strumento per approcciare l’adeguamento a una serie di norme e regolamentazioni che richiedono la messa in atto di misure necessarie per proteggere i propri sistemi e tutelare i dati trattati. Un software GRC aiuta a gestire la complessità data dalle numerose norme e dai tanti standard, ottimizzando i processi di compliance e permettendo alle aziende di gestire tali procedure in maniera più efficiente.
Software GRC, come funziona Complidoo
Complidoo è il software GRC di Asystel-BDF e Getsolution,. Le sue caratteristiche principali sono:
- Essere una soluzione applicativa in ambito GRC, in grado di fornire una soluzione integrale, cioè end-to-end, per le diverse necessità aziendali in funzione sia del singolo ambito produttivo che dei diversi mercati in cui l’impresa opera,
- scalare, in quanto consente, in una unica soluzione, di coprire le necessità di ogni singola azienda e del suo business, con la possibilità di estendere e integrare facilmente le necessità delle altre succursali o sedi estere, mantenendo una segregazione dei dati per singola entità e al contempo la possibilità di avere una visione sia nel dettaglio che complessiva,
- modulare, in quanto permette l’ampliamento del perimetro grazie ai diversi moduli che la compongono, andando a coprire eventuali necessità dell’impresa.
Dal punto di vista tecnico, Complidoo inoltre:
- È integrabile, per il fatto di poter integrarsi con soluzioni verticali eventualmente già presenti.
- Permette di scegliere la modalità di erogazione, come assetto infrastrutturale, potendo essere gestita in SaaS (completamente in cloud) ovvero con la possibilità di installazione OnPrem o in Private Cloud, secondo le policy aziendali.
- Si basa su una piattaforma low code, che permette un uso intuitivo della soluzione stessa, grazie alla UI di ultima generazione.
- Offre la possibilità di poter essere facilmente modificata per eventuali necessità specifiche, e in ottica design thinking con gestione agile.
I moduli del software GRC Complidoo
Per meglio comprendere la copertura funzionale, i moduli presenti e attivabili sono:
- Gestione GDPR – Privacy: è il modulo per il controllo degli adempimenti in materia di protezione dei dati personali e alla gestione dei trattamenti in conformità con la normativa.
- Gestione contratti e KPI: l’applicazione permette la registrazione dei dati legati a tutti i contratti attivi, gestendone così i parametri operativi e di business e identificandone i KPI di controllo. Il modulo può eventualmente gestire la creazione automatica dei documenti secondo le compliance societarie, la loro validazione interna, l’apposizione delle firme richieste.
- Gestione asset: è il modulo a supporto dei sistemi informativi per la gestione della sicurezza delle informazioni (ISMS) secondo gli standard vigenti e volte al miglioramento continuo oltre che supportare la continuità operativa del business (BCM).
- Risk management: è il modulo legato alle funzionalità di analisi del rischio, come probabilità di accadimento, livello di vulnerabilità rispetto alla minaccia e possibile danno derivante dalla concretizzazione dell’evento. Il sistema recepisce le informazioni derivanti da tutte le procedure monitorate per analizzarle e gestirne le minacce. Questa mole di dati consente l’individuazione e la valutazione delle principali fonti di rischio per l’impresa e consente di prevenire eventuali effetti negativi, suggerendo misure di prevenzione appropriate.
- Misure di sicurezza: è il modulo, legato al precedente, che consente all’azienda di definire le misure di sicurezza che intende adottare (o ha già adottato) per abbattere le minacce rilevate nella gestione dei rischi.
- Gestione comunicazioni (reclami e segnalazioni): questo modulo offre una panoramica su tutti i flussi informativi legati alla valutazione di adeguatezza o meno dei fornitori rispetto alle performance attese da contratto e agli eventuali incident impattanti l’impresa. Rispetto a questi dati il modulo consente di gestire dai warning, ai reclami verso i fornitori per le loro inadempienze sino alle eventuali segnalazioni verso l’OdV.
- Report e audit: tutti i dati raccolti garantiscono la possibilità di autocheck continuativo, tale da supportare il miglioramento continuo, oltre che fornire la documentazione on demand in caso di audit esterni, nel caso di controlli da parte delle autorità competenti.
- Gestione albo fornitori: l’applicazione consente di effettuare l’On Boarding dei nuovi fornitori, con l’esposizione di un portale dedicato e automatizzato per la raccolta sia dei dati che della documentazione necessaria alla qualifica dei dati, che post validazione consentirà l’inserimento nell’albo. Il modulo gestisce in modo automatico l’aggiornamento dei dati e dei documenti stessi, garantendone la validità nel tempo secondo la compliance aziendale.
- Storage (Archivio e Conservazione): il modulo consente l’allargamento della soluzione al repository documentale, sia mediante l’integrazione alla soluzione già presente che fornendo il servizio specifico e allargandolo alle funzionalità di archiviazione della documentazione, sino allo scambio con lo SDI per la gestione del ciclo passivo e attivo.
- Responsabile della conservazione: la possibilità legata al modulo precedente di attivare anche il servizio di responsabile della conservazione, come da normativa vigente.
L’obiettivo è fornire alle imprese una soluzione capace di rendere più efficienti i processi di compliance, per garantire l’adeguamento a norme e standard e, soprattutto, proteggersi dalle minacce cyber a sistemi e dati.
Contributo editoriale sviluppato in collaborazione con Asystel e Getsolution