Gestire a tutto tondo gli attacchi informatici all'interno di organizzazioni complesse e delicate come le banche vuol dire anche essere in grado di monitorare l'efficienza e l'efficacia delle difese cyber dei propri fornitori e, più in generale, dell'intero ecosistema a cui fanno riferimento i processi e gli attori aziendali. Se un'iniziativa malevola sferrata nei confronti del sistema informatico di un partner riesce a fare breccia, infatti, anche la banca rischia intrusioni indesiderate. Anzi, sono sempre di più i cybercriminali che tendono a fare leva su queste strategie, indirizzandosi verso i perimetri meno presidiati della filiera per poi sferrare attacchi informatici che arrivano non visti, proprio perché veicolati da canali considerati sicuri.
Per mitigare questo genere di minacce, un istituto di credito italiano che opera con circa 300 sportelli nel Centro e nel Nord della Penisola ha chiesto ad Augeos di sviluppare, nel contesto di alcuni filoni progettuali coerenti con la creazione di strumenti e procedure per la gestione complessiva dei rischi terze parti, una piattaforma in grado di analizzare e valutare, oltre a quelle di governance e di compliance, anche la dimensione informatica dei propri fornitori.
Una mossa che ha permesso, tra le altre cose, di anticipare il soddisfacimento dei requisiti di legge determinati dall'entrata in vigore del Regolamento DORA [Regolamento Dora e gestione dei rischi: ecco le novità (augeos.it)] (che disciplina il livello di robustezza dei player finanziari in termini di risk management sul fronte delle terze parti) e attivare processi semplificati di censimento delle minacce volti a migliorare la gestione degli incidenti e degli attacchi informatici a tutti i livelli dell'organizzazione.
In particolare, l'istituto ha ipotizzato insieme ad Augeos un modello che attraverso lo studio degli asset delle terzi parti consentisse di valutarne non solo il possibile impatto in termini di processi operativi, ma anche il fattore di rischiosità sul piano informatico, su quello della privacy e su quello della data protection, ampliando lo spettro pure rispetto all'analisi delle funzioni aziendali esternalizzate ritenute essenziali o importanti e direttamente o indirettamente collegate ad asset di fornitori terze parti.
Anche in Italia, del resto, la stragrande maggioranza delle banche ha dematerializzato grandi volumi di dati e informazioni, nel contesto di una serie di processi di digital transformation che non possono prescindere da forniture di servizi esterni. È infatti estremamente difficile – persino per i colossi del settore – internalizzare tutta la tecnologia che occorre per sostenere la transizione. Serve, in quest'ottica, un approccio olistico che integri by design gli aspetti informatici, e che permetta di canalizzare in un unico strumento software tutti gli input che derivano dall'analisi del rischio insito nel rapporto digitale coi fornitori, aiutando chi valuta ciascun fattore di rischiosità a sviluppare una visuale a 360 gradi attraverso l'utilizzo di una piattaforma end-to-end.
Nel disegnare la soluzione, il cliente ha quindi immaginato di tradurre tutti i meccanismi legati alle attività di analisi del rischio in specifiche funzionalità dell'applicativo che sarebbe stato messo a disposizione degli utenti. Questo per garantire ai differenti attori della banca l'accesso a informazioni rilevanti, con esplicito riferimento alla gestione del rischio fornitori, a prescindere dalla fase operativa e dal ruolo ricoperto lungo il processo.
Nell'ottica di migliorare il reperimento e l'analisi delle informazioni legate anche agli attacchi informatici che possono colpire i fornitori, il modello consolidato all'interno della soluzione sviluppata da Augeos si contraddistingue, oltre che per la sua naturale capacità di mettere a fattor comune informazioni attinenti a ogni fattispecie di non-financial risk collegati alla fornitura (per esempio: l'esito delle valutazioni di rischio informatico mediante il modulo A.IT Risk e di impatto sulla protezione dei dati gestiti sul modulo GDPR, con relativo dettaglio dell'efficacia delle misure tecniche e operative adottate), pure per l'abilità di raccogliere input esterni, effettuando un match con gli esiti degli assessment condotti dagli stessi fornitori (che le banche, tipicamente, detengono nel proprio database).
Dall'ufficio Acquisti ai responsabili delle operazioni di outsourcing, fino ai dossier in mano ai c-level che valutano la stabilità patrimoniale dei partner, ogni istituto possiede un enorme patrimonio informativo che può sfruttare per approfondire la conoscenza delle terze parti [Rischi terze parti: gestisci le esternalizzazioni senza problemi con Augeos]. Sul piano informatico, di solito ai fornitori viene infatti richiesto di rispondere a un questionario che ha lo scopo preciso di misurare la robustezza e la solidità degli apparati tecnologici, oltre che di dare evidenza di vulnerabilità note e incidenti informatici occorsi in passato. A questo si aggiungono le sessioni di audit, che ciclicamente le aziende devono affrontare per ottemperare alla normativa sulle esternalizzazioni, nonché quelle di monitoraggio periodico (trimestrale, semestrale e annuale) che i referenti interni della Banca sono tenuti a effettuare visionando specifici indicatori di performance e di SLA disponibili direttamente nell'applicativo.
Il sistema, quindi, catalizza tutte queste informazioni e le fa convergere in modo automatico per produrre report accurati, che potranno essere adoperati per prevenire eventuali attacchi informatici veicolati attraverso i sistemi dei fornitori.
Ma lo strumento offre altri vantaggi. Immaginiamo per esempio un worst-case scenario, in cui il fornitore abbia fornito tempestivamente tutte le informazioni relative a un incidente, e nonostante questo la banca ha riscontrato un data breach. A prescindere dal fatto che i dati siano stati esfiltrati o che ci si trovi di fronte a un ransomware, avere uno strumento come quello implementato dalla banca cliente di Augeos migliora notevolmente la capacità di produrre reportistica integrata e multilivello. Il che significa riuscire a redigere documenti in grado sia di approfondire le questioni tecniche relative agli attacchi informatici, così da mitigare potenziali minacce future, sia di sintetizzare le implicazioni sul piano dei processi operativi, con insight veicolati da un linguaggio comprensibile anche per i non addetti ai lavori, a partire ovviamente dai membri del board.
L'implementazione presso la banca è piuttosto recente, ma il cliente ha già riscontrato una serie di benefici: i feedback positivi arrivano soprattutto dalle funzioni preposte alla gestione dei flussi informativi su cui si regge il processo di valutazione dei rischi, che hanno riscontrato una netta semplificazione del lavoro. Con una compliance garantita by design, inoltre, anche il Data Protection Officer ora gode di maggiore velocità nel disbrigo delle pratiche, merito pure di una progressiva automazione delle procedure, che prima erano sostanzialmente condotte a mano. Inutile sottolineare, poi, che è sempre difficile misurare l'efficacia complessiva di una soluzione che ha, tra gli altri, l'obiettivo di garantire la resilienza operativa limitando gli attacchi informatici. Se non succede nulla, vuol dire che lavora bene.