Governance dei dati e delle informazioni

  • Share
  • Print page

Diversi soggetti ed enti regolatori, quali il Parlamento Europeo, l’FDA, l’EMA, l’AIFA, hanno emesso norme, o sottolineando linee guida già in essere, tutte focalizzate ad una maggiore attenzione verso le modalità di trattamento dei dati o verso una maggiore attenzione all’integrità dei dati stessi.

Dove per modalità di trattamento e di gestione si parla della nuova direttiva sulla Privacy, mentre per integrità dei dati si intendono metodiche di gestione e strumenti, riferibili ad esempio alla 21CfrPart11, all’Annex11, alla Sarbanes-Oxley Act, alla Legge 262/05, Best Practice della Segregation of Duties (Sod), e simili normative o Best Practice che ne permettano ed assicurino sia la governance che la compliance.

In questo momento le aziende interessate stanno trattando queste richieste con azioni verticalizzate al contesto di riferimento (Privacy, GMP, ecc.), azioni che devono o dovranno implementare nel prossimo breve periodo e che hanno sempre come punto di contatto i sistemi computerizzati.

Ogni settore ha delle specifiche regolamentazioni, che determinano le "Regole di ambito relativamente al trattamento dei dati critici".

Alcune norme e regole hanno un indirizzo specifico sul dato e non sul settore di riferimento, hanno quindi un impatto di tipo trasversale.

 

Norme e regolamentazioni stanno mettendo in evidenza la necessità di una visione di insieme nella gestione di quelli che vengono definiti "DATI CRITICI".

In un contesto come questo, che da un lato vede la complessità e la numerosità dei sistemi computerizzati interessati e dall’altro le organizzazioni aziendali e le necessarie risorse coinvolte, Mazars intende dare una risposta armonica in modo da ottimizzare ed uniformare quelle che saranno le azioni future.

L’approccio suggerito è dio affrontare il problema in modo organico sulla base delle proprie competenze sia di ambito che metodologiche (es: ISO, COBIT, ITIL).

La nostra expertise

Mazars ha definito una propria metodologia, il “Compliance Maturity Model” al fine di migliorare la performance, favorire la compliance implementando soluzioni pratiche rispetto alla complessità delle sfide. Le nostre specifiche abilità, le nostre competenze metodologiche e la nostra approfondita conoscenza del settore ci rendono il partner ideale per i nostri clienti.

Il risultato delle attività di verifica permette di posizionare le aree di intervento del cliente sulla matrice di Compliance.

Questo posizionamento permette di identificare quali sono i principali punti deboli del cliente, in quali aree e quali azioni, di conseguenza, risulta necessario intraprendere per migliorare il posizionamento, il continuo supporto di Mazars in questa fase permette di valutare e di pianificare quali azioni di remediation saranno più efficaci rispetto al contesto di riferimento.

L’attività di Mazars Italia può proseguire con attività di supporto procedurale, tecnologico o di survey.

Consolidata esperienza in ICT Governance

Mazars Italia supporta i propri clienti nelle attività di verifica delle procedure aziendali quali sicurezza informatica, privacy e la gestione dei dati nei sistemi informativi (siano essi dati finanziari, di business, GMP, personali, ecc.). Integra l’attività di verifica delle procedure con un’attività di verifica dell’organizzazione, dei processi, degli strumenti informativi e della reportistica al fine di verificare lo stato attuale delle stesse rispetto sia ai requisiti normativi nazionali ed internazionali sia alle Best Practice e standard di settore.

Misurare il livello di Compliance per definire le attività di miglioramento

  • Verifica efficienza/efficacia procedurale rispetto alle norme.
  • Verifica localizzazione/caratteristiche dei dati rispetto alle norme.
  • Verifica efficienza/efficacia dei processi rispetto alle norme.
  • Verifica caratteristiche/governance dei sistemi computerizzati rispetto alle norme

Supporto al governo della complessità

  • Definire una strategia di governance (non solo relativa al problema del specifico momento ma in ottica di governance centralizzata della problematica).
  • Definire delle chiare policy e procedure indirizzate alla governance del problema (policy e procedure, esempio secondo ISO-27001) a livello di Quality.
  • Definire chiaramente i processi di governance per una corretta gestione lato ICT (ITILv3).
  • Definire un processo di inventario e qualifica degli asset in modo da introdurre una metodologia di gestione controllata e sicura nel tempo

Strumenti a supporto delle decisioni: Data Integrity Assessment Tool

Mazars Italia ha sviluppato tutta una serie di strumenti, informativi e metodologici, che le permettono di interagire con i propri clienti in modo da fornire delle osservazioni e dei risultati chiari e condivisibili in modo da essere utilizzati come supporto alle decisioni da prendere.

Deliverable e aree di intervento

  • Definizione della Strategia di governance dei dati (dall’inventario alla gestione)
  • Definizione del Catalogo Servizi per una corretta Governance dei sistemi informativi
  • Gestione in sicurezza dei dati e delle informazioni (Policy e Procedure)
  • Definizione di una Policy di Security, basata su una Analisi dei Rischi e definizione delle azioni/strumenti atti alla gestione dei dati e delle informazioni in conformità
  • Definizione dei processi di Change Management (ruoli, responsabilità, formazione, ecc. secondo guideline ITILv3)
  • Definizione dei processi e delle procedure atte ad una corretta gestione dei sistemi computerizzati (ITSM, ISMS)
  • Qualifica delle infrastrutture per ambiti regolati (Implementazione di un processo di Change Management Infrastrutturale)
  • Piano di Remediation (azioni nel breve, medio termine) condiviso con il cliente con l’obiettivo di aumentare il livello di compliance e rendere sostenibile lo sforzo e le risorse.

Downloads

Share