Le discipline che ruotano intorno alla gestione degli incidenti informatici non possono più essere considerate come teorie e tecniche basate sulla capacità di reazione a scenari avversi. Governare gli eventi significa prima di ogni altra cosa prevederli e, quando possibile, prevenirli, mitigando le ricadute negative sulla continuità operativa e cogliendo ciascuna occasione per migliorare la postura di cybersecurity dell'organizzazione.
Bisogna in altre parole incorporare la gestione degli incidenti informatici in una più ampia strategia risk-based, che contempli cioè in via preliminare un'analisi accurata di tutti i processi che dipendono dalle tecnologie IT, così da arricchire il bacino informativo su cui si innestano le attività di ICT risk management.
Il che a sua volta implica un'evoluzione fondamentale: l'organizzazione deve passare dalla mera gestione degli incidenti informatici a un'orchestrazione del rischio operativo a 360 gradi, che dunque comprenda e integri anche la dimensione cyber attraverso una data governance ad hoc.
Accrescere la capacità di gestione degli incidenti informatici migliora la resilienza
Il mondo cyber, infatti, è sempre meno scindibile da tutto ciò che concerne (e assicura) la continuità operativa di un'azienda: i processi e le transazioni si basano ormai sullo scambio e sull'elaborazione di dati, e praticamente tutti gli strumenti di produttività sono digitalizzati, a prescindere dal fatto che si lavori da remoto o meno. Specialmente in strutture organizzative complesse, sviluppare capacità avanzate per la gestione degli incidenti diventa perciò indispensabile per irrobustire la resilienza dell'organizzazione e imparare ad assorbire con sempre maggiore efficacia le circostanze e le evenienze negative che derivano dall'avverarsi di una minaccia.
Il risk management, infatti, non si limita solo a prescrivere le strategie e le iniziative da adottare per costruire procedure e task che minimizzino le probabilità che si verifichino un incidente (d'altra parte non esiste e non esisterà mai un approccio che garantisca al 100% l'assenza di intrusioni andate a buon fine o interruzioni di servizio): punta più di ogni altra cosa a costruire – attraverso la condivisione di insight di valore – livelli adeguati di consapevolezza e conoscenza in tutti i team che dovranno intervenire sinergicamente sia per mitigare sia per – laddove possibile – abbattere i rischi cyber lungo la catena del valore.
Gestione degli incidenti informatici: cresce la consapevolezza di un risk management evoluto
La percezione dei rischi che si corrono in assenza di soluzioni e metodologie evolute è per fortuna in costante aumento: le imprese sentono con sempre più urgenza la necessità di agire in tal senso, anche per evitare di arrivare impreparati all'introduzione dei framework normativi concepiti per regolare un tema ormai critico per qualsiasi tipo di organizzazione economica.
Basti pensare alla rivoluzione che provocherà nel sistema finanziario europeo il Regolamento DORA, entrato in vigore con la pubblicazione in Gazzetta ufficiale il 16 gennaio 2023 e vincolante a partire dal 17 gennaio 2025. Il Regolamento prende infatti di petto i topic della resilienza operativa e dei rischi ICT con riferimento alla filiera del Finance, ponendo vincoli stringenti per la creazione di un ecosistema robusto e sicuro.
Se alcuni istituti italiani sono già tutto sommato preparati ad accogliere i nuovi requisiti, visto che la Circolare 285 della Banca d'Italia ha introdotto da circa un decennio l'obbligatorietà di effettuare analisi sistematiche del rischio informatico, e qualche operatore ammette che la scadenza imminente costituisca un ottimo stimolo per colmare lacune e gap, sono molti coloro che - pur avendo ben inquadrato la questione - devono fare i conti con un top management ancora poco incline a considerare prioritari gli investimenti in soluzioni di gestione del rischio.
E non è raro che, confrontandosi con le funzioni aziendali di controllo, emerga anche l'esigenza di individuare formati adatti per comunicare in modo efficace i risultati delle analisi e portare il board a comprendere la rilevanza della sfida: servono strumenti in grado di produrre messaggi chiari ed essenziali, ma sufficientemente precisi.
Quanto detto, però, vale a livello di istituti bancari tradizionali, rispetto ai quali l'impatto del Regolamento DORA non dovrebbe implicare particolari stravolgimenti organizzativi. Ma il framework chiama in causa per la prima volta anche tutta una serie di intermediari (dai gestori dei servizi di pagamento elettronico fino alle società di investimento, passando per broker e portali di interscambio di monete digitali e arrivando ai fornitori di soluzioni ICT, solo per citarne alcuni) che, per loro natura, pur essendo profondamente integrati nella catena del valore del Finance, non hanno avuto in alcun modo un pregresso contatto con la Circolare 285. Per tutti questi soggetti scatterà l'obbligo di prevedere assetti organizzativi adatti a migliorare resilienza, governance e trasparenza.
L'offerta di Augeos per migliorare la gestione degli incidenti informatici
A prescindere dal ruolo ricoperto nella filiera del Finance, sviluppare la capacità di condividere risultati tangibili, trasparenti, e comprensibili a tutti i livelli aziendali significa dunque dotarsi di una piattaforma che ponga al centro della risk governance i temi della documentabilità e dell'accountability. Spesso, infatti, nella gestione degli incidenti informatici le criticità maggiori emergono proprio nell'ultimo miglio, per mancanza di tassonomie corrette nella descrizione delle fattispecie analizzate o a causa di dataset non integri o non correttamente conciliati.
C'è poi da precisare che, dalla nuova prospettiva del Regolamento Dora, il tema dell'ICT Incident Management non riguarda solo ed esclusivamente la gestione di un incidente di sicurezza da parte di una struttura IT mediante sistemi di tracciamento e ticketing, ma attiene anche e soprattutto alla capacità di collezionare un patrimonio informativo utile al Risk Manager per svolgere attività di root cause analysis, test sul sistema dei controlli e sessioni di individuazione delle cosiddette lessons learned.
Il framework implica anche la necessità di provvedere con finestre temporali piuttosto vincolanti (da poche ore a 30 giorni) alla produzione di una reportistica strutturata che includa tutto il patrimonio informativo relativo a un incidente ai fini di comunicazione all'autorità competente.
Per rispondere a queste nuove sfide, Augeos ha deciso di affiancare tutte le imprese attive nel settore finanziario mettendo a disposizione del mercato la sua expertise nella data governance e fornendo piattaforme integrate di ICT risk management, da personalizzare e parametrizzare in virtù delle specifiche esigenze del business e del contesto aziendale, con un occhio di riguardo alla collaboration e senza mai scendere a compromessi sul fronte della compliance normativa.
