Martedì a InfoSec World 2020, una coppia di responsabili del rischio di Party City ha offerto uno sguardo all'interno del modo in cui il rivenditore specializzato da $ 2,1 miliardi ha realizzato la sua prima valutazione top-down del rischio IT a livello aziendale. Tra i principali fattori di successo citati sono stati: il buy-in esecutivo, la collaborazione di partner qualificati, la garanzia di risorse adeguate, la definizione di progetti ben pianificati e la collaborazione con le sue operazioni commerciali.
Il co-relatore Rolando Espinoza, direttore, governance, rischio e conformità, convalida della sicurezza, ha dichiarato che la società aveva precedentemente effettuato una valutazione del rischio dal basso nella forma di una valutazione della maturità informatica (CMA). Ma il rivenditore stava cercando di focalizzarsi oltre i semplici controlli di sicurezza nella valutazione del rischio.
Per eseguire questa più ampia valutazione del rischio, il team di rischio dovrebbe "prendere in considerazione l'organizzazione, i processi aziendali, la missione e quindi come i nostri sistemi di informazione e il rischio correlato a quelli, si allineano", ha detto Espinoza. Ha anche affermato che il programma di valutazione dovrebbe esaminare gli obiettivi e gli obiettivi strategici dell'azienda, le sue priorità e la sua disponibilità di risorse e set di competenze, nonché le leggi e i regolamenti che il rivenditore deve rispettare, incluso il GDPR europeo.
Alla fine, l'organizzazione ha riunito un core team per il progetto, che consisteva in esperti interni in sicurezza delle informazioni, audit e rischi e controlli, oltre alla gestione, tra cui aziende e aziende locali e leadership senior IT. Un fornitore di terze parti è stato successivamente incaricato di condurre la valutazione effettiva.
La partecipazione del management è stata particolarmente importante, ha affermato la co-presentatrice di Espinoza, Angelita Negron-Nieves, direttore dei rischi e dei controlli di Party City. "Per noi era così importante avere una leadership esecutiva impegnata che fosse pronta a dare il tono molto presto e definire il motivo per cui stavamo eseguendo questa recensione", ha detto.
"È fondamentale in quanto professionisti del rischio che continuiamo a comunicare al management che un programma di gestione del rischio può aiutarli a raggiungere obiettivi di performance e prevenire perdite e, di fatto, crea e preserva il valore dell'azienda", ha affermato Negron-Nieves in un altro punto del presentazione.
La collaborazione con le operazioni aziendali durante l'intero processo è stata anche essenziale per comprendere i sistemi IT dal loro punto di vista. "Non era solo una valutazione IT", ha spiegato Negron-Nieves. “Avevamo davvero bisogno di assicurarci che anche il business fosse coinvolto, perché sono gli unici che potrebbero davvero parlare e articolare quale potrebbe essere l'impatto se il sistema fosse inattivo per un giorno o se fosse inattivo per due giorni. Come si quantifica in dollari effettivi? "
Il processo di valutazione è iniziato con un sondaggio sull'esposizione organizzativa che è stato inviato alle varie unità aziendali che rientravano nell'ambito della valutazione, insieme a una richiesta fornita dal cliente (PBC) per documenti a supporto dell'audit di rischio. Il sondaggio è stato progettato per cercare dettagli su processi aziendali, tipi di dati, caratteristiche delle operazioni aziendali e IT, infrastruttura IT e incidenti storici che potrebbero dipingere un quadro dell'esposizione al rischio in tutta l'organizzazione.
Da lì il rivenditore ha condotto riunioni in loco per convalidare i reclami del sondaggio, quindi ha condotto interviste e analizzato i risultati PBC del sondaggio. Successivamente, la gestione IT ha esaminato i risultati e li ha convalidati, il che ha portato a un rapporto finale e allo sviluppo di un registro dei rischi. (La sessione di Party City non ha condiviso alcun risultato reale dal rapporto né ha rivelato alcun esempio di rischio esposto.)
Con oltre 800 sedi, Party City è il rivenditore di articoli per feste numero uno in Nord America, ma anche produttore e grossista di articoli per feste. "Quindi non è un tratto per me e per noi dire che Party City è abbastanza complesso e che tutti questi elementi dovevano essere presi in considerazione nella nostra valutazione del rischio IT", ha affermato Negron-Nieves.
Per tale motivo, molto prima che fosse effettuata qualsiasi valutazione effettiva, era necessaria molta pre-pianificazione. Per gli statisti, come accennato in precedenza, Party City doveva assicurarsi il consenso esecutivo e garantire che il suo team di valutazione di base avesse le competenze sufficienti in materia per procedere e reclutare aiuto dove erano necessarie le risorse. "Avevamo bisogno di inventare le nostre persone internamente e vedere dove risiedevano davvero le lacune", ha detto Negron-Nieves.
Una volta riunito il nucleo centrale, i suoi membri hanno lavorato per fissare obiettivi, tempistiche, budget e portata della valutazione. E hanno cercato di sviluppare un quadro di valutazione del rischio sia qualitativo che quantitativo che sarebbe ripetibile nel tempo.
Negron-Nieves ha affermato che la definizione dell'ambito è l'aspetto più impegnativo della pianificazione della valutazione a causa della complessità delle operazioni internazionali dell'azienda. In definitiva, la valutazione ha riguardato 41 processi aziendali distinti – dalle operazioni di magazzino e produzione alle risorse umane e ai salari fino alla catena di approvvigionamento e alla logistica – e 12 sedi globali sparse tra Stati Uniti, Messico, Regno Unito, Germania e Cina.
Un'altra mossa chiave durante le fasi di pianificazione è stata quella di affidarsi al dipartimento acquisti di Party City per verificare i potenziali fornitori di terze parti di valutazione IT e negoziare contratti con loro. Alla fine, l'organizzazione ha sviluppato un processo di valutazione dei fornitori che Negron-Nieves ha affermato che "fa un ottimo lavoro nel delineare quali criteri sono stati importanti per noi in termini di esperienza, competitività sui costi e un paio di altre aree che abbiamo ritenuto importanti", tra cui tempistiche di valutazione previste dai fornitori e campioni di lavoro passati.
Successivamente, un sottocomitato ha selezionato i primi tre candidati candidati e un comitato esecutivo ha fatto la scelta finale.
Il post Party City celebra il programma di valutazione del rischio IT; rivela le chiavi del successo apparse per prime su SC Media .