Blog

Cyber Risk Management: come valutare i rischi e proteggersi in banca​

28 febbraio 2022

Cyber risk management: di cosa stiamo parlando 

Per affrontare correttamente il tema del cyber risk è opportuno dare una definizione condivisibile di tale termine, condizione indispensabile per differenziarlo dagli altri rischi presenti in banca. Una delle fonti più autorevoli al riguardo è sicuramente la FSB (Financial Stability Board), che già nel 2017 aveva realizzato una prima ricognizione sulle numerose normative internazionali che trattavano l’argomento, la Summary Report on Financial Sector Cybersecurity Regulations, Guidance and Supervisory Practices. 

Nel 2018 la FSB ha realizzato, dopo consultazione pubblica, il Cyber Lexicon, che dovrebbe costituire un riferimento per tutto l’ambiente finanziario mondiale e che, oltre a riportare le seguenti definizioni: 

  • Cyber: relating to, within, or through the medium of the interconnected information infrastructure of interactions among persons, processes, data, and information systems. 
  • Cyber Risk: the combination of the probability of cyber incidents occurring and their impact. 

elenca anche i diversi fattori che secondo la FSB costituiscono i maggiori fattori di rischio cyber per gli istituti finanziari: 

  • evoluzione tecnologica (con nuove o maggiori vulnerabilità); 
  • interconnessioni tra i vari istituti finanziari; 
  • interconnessioni tra istituti finanziari e soggetti esterni (cloud computing, FinTech…) potenzialmente non soggetti a regolamentazione da parte delle autorità del settore finanziario. 

 

Il cyber risk e le sue caratteristiche 

Il rischio cyber ha delle peculiarità che lo differenziano dai tipici rischi legati alla sicurezza informatica. Tradizionalmente la valutazione del rischio si basa su una correlazione fra minacce e vulnerabilità che portano gli analisti a individuare, tramite metodologie di analisi del rischio qualitative o quantitative, la probabilità e l’impatto di un evento avverso. 

Nel caso del rischio cyber la determinazione di tali parametri appare più difficile e sfumata. 

Accanto ai tradizionali scenari di rischio ed alle relative contromisure (Malware, Man-in-the-middle, Phishing, Distributed denial-of-service (DDoS), Cross-site scripting, Password cracking…)  ci si trova ad esempio, a dover affrontare una serie di vulnerabilità non note (zero-day vulnerabilities) e quindi imprevedibili, che possono essere sfruttate dagli attaccanti, per le quali è richiesta una adeguata capacità di reazione ed eventuale ripristino della normale operatività. 

 

Cyber risk management: gestire il rischio cyber 

In un contesto così dinamico e incerto diventa quindi particolarmente importante il costante monitoraggio delle informazioni provenienti sia dall’interno, sia dall’esterno dell’organizzazione, attraverso una costante attività di threat intelligence. 

La condivisione delle informazioni non solo è uno degli obiettivi del Cyber Security Act o della prossima normativa sulla resilienza (DORA), ma costituisce anche il fondamento che ha portato i legislatori ad inserire in varie normative (GDPR, Circolare 285 di Banca d’Italia, PSD2, NIS…) l’obbligo di notifica degli incidenti informatici (sia di sicurezza che operativi). 

La grossa mole di informazioni, costituita sia dalle fonti esterne (segnalazioni sulle nuove vulnerabilità, sugli incidenti occorsi in altre organizzazioni, su serie storiche di eventi avversi…), sia dalle fonti interne (gli incidenti occorsi, la valutazione dei rischi, gli asset aziendali, i requisiti normativi…), richiede per la propria gestione l’utilizzo di apposite applicazioni che siano in grado di rappresentare ai decisori informazioni corrette e costantemente aggiornate anche attraverso flussi informativi automatizzati. 

Tali informazioni sono infatti indispensabili per affrontare i rischi, quando si presenteranno, tramite la predisposizione di adeguati piani di rimedio attingendo, anche in questo caso, all’esperienza condivisa, a buone pratiche, ai framework più autorevoli. 

Ma questo non basta; tali strumenti devono anche essere in grado di recepire e formalizzare le lezioni apprese, permettendone una condivisione trasversale a tutta l’organizzazione. 

Tale caratteristica è infatti indispensabile per accrescere la consapevolezza sui rischi cyber a tutti i livelli e indurre i corretti comportamenti da adottare a fronte di minacce, anche solo potenziali, quali quelle costituite dall’allegato di una mail o di una insolita richiesta telefonica delle credenziali di accesso di un utente per una ipotetica e improrogabile attività di manutenzione. 

CTA_BANCHE E CYBER RISK: come proteggersi efficacemente

Topic: IT Risk Management

Post Correlati

Regolamento DORA
Regolamento DORA, come cavalcare una trasformazione che va oltre l'ICT Risk Management
6 dicembre 2023
cyber risk assicurazioni
Cyber risk assicurazioni: il settore assicurativo è sotto attacco. Cosa fare
2 maggio 2023
gestione reclami bancari
Gestione reclami bancari: come procedere in tempi stretti e a norma
9 marzo 2023

Resta informato sul Risk Management, iscriviti alla newsletter!

Post più letti

Topic

see all