Blog

Cyber risk banche: come l'IT deve prepararsi

26 giugno 2020

Il cyber risk sta diventando per le banche – ancor più che per altre tipologie di imprese – un capitolo fondamentale nell'ambito della gestione del rischio operativo. L'IT non deve solo prepararsi ad affrontare un numero di minacce in costante aumento, ma deve anche imparare a collaborare con le altre divisioni aziendali – a partire naturalmente dal team coordinato dall'Operational Risk Officer – per condividere informazioni utili a identificare e mitigare rischi che oramai sono correlati a qualsiasi tipo di attività. La digitalizzazione dei processi e la sempre maggiore diffusione di piattaforme di home e mobile banking ha infatti radicalmente trasformato il modo in cui le banche creano ed erogano servizi. Se a questo, sull'onda dell'emergenza coronavirus, si aggiunge la nuova necessità di garantire il distanziamento sociale attraverso il potenziamento dei programmi di smart working e lavoro remoto per i dipendenti, è facile capire il peso che dovranno avere i meccanismi di protezione dei sistemi informativi e, soprattutto, le buone prassi degli utenti, da calibrare in funzione delle minacce riscontrate e dei loro potenziali effetti sugli asset tecnologici.

 

L'importanza del coinvolgimento nelle attività di assessment

Prima di ogni altra cosa, è necessario che l'IT di un istituto bancario partecipi attivamente alle sessioni di assessment che le moderne metodologie di gestione dinamica del rischio prevedono come fase propedeutica al rilascio di qualsiasi strategia di mitigazione dei rischi operativi. Il contributo dei responsabili dei sistemi informativi è infatti essenziale in primo luogo per censire gli asset – piattaforme, dispositivi, applicazioni e touch point – che potrebbero sperimentare disservizi, essere compromessi da un utilizzo scorretto o coinvolti in attacchi esterni. Un assessment adeguato implica poi una serie di indagini qualitative, che riguardano prettamente il modo in cui gli utenti dei vari asset si relazionano a strumenti e processi. Anche in questo caso il coinvolgimento del comparto IT è essenziale sia per semplificare l'individuazione di criticità e prassi non conformi – specialmente nell'ottica di un sempre più frequente accesso ai sistemi aziendali da remoto – sia per interpretare in maniera corretta le considerazioni che end-user con un profilo non prettamente tecnico condividono nel momento in cui partecipano alle indagini qualitative. Senza esagerare, si tratta di attività preliminari alla realizzazione di un piano di valutazione e mitigazione del cyber risk che nel mondo bancario possono fare la differenza tra un progetto di successo e un pieno fallimento.

 

Cyber risk nelle banche: il perfezionamento dei Key Risk Indicators

Queste sessioni condivise risultano in ultima analisi estremamente utili non solo per gli utenti finali – che hanno la possibilità di scoprire modi più sicuri e più efficaci per svolgere il proprio lavoro – e per i Risk Manager, che devono stilare i propri report, ma anche per gli stessi CIO e IT Manager, che possono sfruttare quanto appreso per perfezionare i Key Risk Indicators relativi alla componente informatica della gestione del rischio operativo, a tutto vantaggio dei sistemi che sono chiamati ad amministrare. Gli indicatori di rischio sono l'elemento chiave per far scattare all'interno dell'ecosistema – IT e non solo – gli alert che notificano a ciascun decisore l'emergere di elementi o situazioni da monitorare in quanto considerati compromettenti o identificati come segnali di attività invisibili e potenzialmente dannose sul piano del cyber risk. La raccolta di tutte le informazioni in fase di assessment, inoltre, non si limita a costituire la base conoscitiva per puntellare le attività di risk management vere e proprie, e in particolare quelle di previsione e mitigazione dei rischi: rappresenta un patrimonio di dati che si rivelerà inestimabile nel continuo processo di fine tuning che deve caratterizzare l'operational risk management nell'era digitale.

 

New call-to-action

Topic: Risk Management Sicurezza Informatica