Per garantire la resilienza operativa, banche e assicurazioni devono andare oltre i tradizionali approcci alla sicurezza informatica e puntare su una vera e propria Cyber Risk Governance. Il che implica la creazione di una strategia di ampio respiro, capace di far convergere obiettivi di business, processi operativi e sistemi di prevenzione e difesa dagli incidenti anche oltre il perimetro dell'organizzazione.
Cyber Risk Governance: un approccio pragmatico
Con l'aumento del numero di attacchi informatici, infatti, non si tratta più di stabilire se gli istituti finanziari e le compagnie assicurative rischiano di subire un'intrusione, ma piuttosto di predisporre adeguate contromisure quando ciò avverrà. È dunque essenziale che i responsabili della gestione dei rischi non si limitino a ipotizzare le probabilità che un cyber-attacco ha di andare a segno. Devono cominciare a sottoporre l'organizzazione a simulazioni che permettano non solo di testare le misure di sicurezza, ma anche di valutare la resilienza del business nel momento in cui si avvera una di queste minacce.
I test sono fondamentali sia per accumulare esperienza sia per minimizzare (e in seguito correggere) gli errori umani rilevati durante una situazione verosimile. Inoltre, una simulazione a ciclo completo aiuta a comprendere le attività necessarie per implementare i work-around durante o dopo un attacco. Per esempio, nel contesto di una Cyber Risk Governance compiuta, è possibile testare un piano di gestione di crisi e di comunicazione e contemporaneamente mettere alla prova i backup e i sistemi di disaster recovery.
Tutti sanno, del resto, che le minacce informatiche sono in continua evoluzione, quindi è importante implementare anche una corretta governance dei test, introducendo strumenti di supporto che permettano di aggiornare gli scenari di attacco con informazioni qualificate e verificando puntualmente la compliance delle procedure adottate: i risultati ottenuti di volta in volta possono essere utilizzati per valutare ed eventualmente migliorare la forza attuale delle misure di sicurezza.
Le aree da presidiare per attuare la Cyber Risk Governance
Il livello di readiness agli attacchi informatici, però, è solo una delle aree da sviluppare per attuare la Cyber Risk Governance. Non devono infatti mancare le misure di igiene informatica di base, che comprendono per esempio sessioni di assessment su tutti gli asset ICT, e il presidio delle minacce che gravitano intorno alle attività in outsourcing e, pensando allo specifico contesto bancario, alle esternalizzazioni.
Non sono, infatti, soltanto gli istituti finanziari e gli operatori assicurativi a essere finiti nel mirino: anche i player che compongono le due filiere, e in particolare i fornitori di servizi, sono sempre più spesso bersaglio di hacker e cybercriminali che in queste organizzazioni, tipicamente meno strutturate, sperano di trovare falle e brecce per sferrare più facilmente i propri attacchi.
L'importanza di presidiare l'intera supply chain
Proprio perché un attacco informatico di solito colpisce per primo proprio l'anello più debole della catena - con l'obiettivo di propagarsi poi nei sistemi del target designato attraverso reti e transazioni meno presidiate in quanto considerate sicure - è dunque indispensabile sviluppare gli strumenti, i processi e gli skill necessari a monitorare efficacemente i rischi lungo tutta la supply chain,
D'altra parte, avendo esternalizzato negli ultimi anni anche processi critici, banche e assicurazioni sono diventate fortemente dipendenti dai fornitori di servizi esterni. Per gli attaccanti, è quindi sufficiente riuscire a paralizzare uno di questi attori per essere comunque in grado di infliggere danni rilevanti al loro bersaglio primario.
Nonostante l'esposizione alle minacce informatiche sia in aumento, e nonostante continuino a crescere gli accordi di outsourcing e la spesa per le esternalizzazioni, però, non si riscontra, in generale, una maggiore attenzione a queste minacce. In poche parole, il livello di rischio si sta innalzando, ma la Cyber Risk Governance non sta maturando di conseguenza.
Così il Regolamento Dora cambierà la Cyber Risk Governance
Senza dubbio l'entrata in vigore, il 16 gennaio 2023, del Regolamento Dora comporterà un radicale cambiamento in tal senso: a partire dal 17 gennaio 2025, quando il framework sarà vincolante, tutte le imprese che fanno capo alla filiera del Finance dovranno infatti aver sviluppato una postura compliant sul fronte della resilienza digitale, predisponendo misure adeguate per valutare e mitigare i rischi ICT anche rispetto alla propria supply chain.
Sarà l'occasione per sistematizzare una cassetta degli attrezzi che CISO e Risk manager utilizzano ancora con un approccio destrutturato, e senza attribuire la giusta rilevanza alle piattaforme che consentono di automatizzare la raccolta e la condivisione delle informazioni lungo tutta la catena del valore. Azione, questa, indispensabile per descrivere la complessità dei nuovi scenari di rischio e individuare le opportune strategie di mitigazione e remediation a livello di ecosistema.
