La resilienza informatica è oramai, per chi opera nei settori bancario e assicurativo, sinonimo di business continuity. Il numero dei servizi basati su procedure digitalizzate è in continuo aumento, e questo senza considerare i processi nativamente digitali, disegnati per essere fruiti online attraverso le mobile app o le piattaforme di home banking.
Si tratta di una dimensione mission-critical sia per quanto riguarda l'operatività quotidiana delle persone che lavorano nel back-office sia rispetto all'esperienza che sperimentano i clienti sui vari canali, a cavallo di mondo fisico e strumenti digitali. I danni derivati da una campagna di ransomware andata a buon fine o da un disservizio prolungato delle infrastrutture IT rischiano infatti di essere incalcolabili per una banca o una compagnia assicurativa che poggiano la propria offerta su un approccio omnicanale al mercato.
Certo, eventuali incidenti o data breach possono essere messi in conto negli scenari contemplati dai responsabili dell'operational risk management: le soluzioni di disaster recovery nascono appositamente per limitare il più possibile il downtime e ripristinare i dati su cui si muovono processi e servizi. Mentre eventuali danni economici generati da questi e altri eventi possono venire compensati attraverso gli indennizzi spettanti in base a polizze assicurative ad hoc, sempre più diffuse proprio per far fronte alle minacce cyber. Ma restano comunque gli effetti sul piano reputazionale: quanti clienti si perdono nel momento in cui un servizio considerato essenziale non è accessibile per un problema di natura informatica? E quali conseguenze si devono affrontare, nel medio termine, nel momento in cui si diffonde la notizia di un'intrusione all'interno di sistemi che contengono dati personali estremamente delicati?
È qui che entra in gioco il concetto di resilienza informatica. Mettere al sicuro banche e assicurazioni da tutti i potenziali danni derivanti dall'avverarsi di una o più minacce cyber significa predisporre strumenti, competenze e metodologie in grado di ridurre ai minimi termini il rischio con un approccio proattivo. In altre parole, con una mitigazione preventiva di tutti i fattori che concorrono a concretizzare a trasformare una probabilità in un evento.
Nello specifico, valutare la resilienza informatica di un'organizzazione, individuare il gap rispetto all'optimum e avviare azioni di bilanciamento e bonifica vuol dire prima di ogni altra cosa mappare e soppesare la sicurezza di sistemi aziendali, processi, comunicazioni e servizi di rete, endpoint (come desktop, dispositivi mobile e oggetti connessi), architetture di data storage, perimetri di rete e ambienti IT condivisi con partner, fornitori e clienti.
C'è poi da prendere in considerazione il modo in cui gli utenti si rapportano ai sistemi informatici e, più in generale, agli strumenti di lavoro, fuori e dentro l'ufficio. Bisogna innanzitutto chiarire che ciascun comportamento dipende essenzialmente dal livello culturale che si è riusciti a instaurare in azienda rispetto ai temi della cybersecurity, nonché dalle best practice introdotte nei vari processi.
Fatta questa premessa fondamentale, oggi le banche e le compagnie assicurative che puntano a raggiungere standard elevati di resilienza informatica hanno il dovere di continuare a investire in programmi di formazione finalizzati non solo a trasmettere nozioni, ma anche e soprattutto a responsabilizzare la popolazione aziendale, rendendo ruolo per ruolo le persone più consapevoli e più attive anche nelle fasi di valutazione e comunicazione dei rischi.
Una volta focalizzata l'intera organizzazione sull'importanza di un approccio integrato all'IT risk management, chi si occupa di gestione dei rischi operativi vedrà notevolmente semplificate tutte le attività di valutazione sia sul piano quantitativo sia su quello qualitativo, e in particolar modo quelle che consentono di misurare l'esposizione informatica in relazione ai principali framework, a partire da ISO, NIST e GDPR, e alle direttive di settore.
L'adozione di una piattaforma integrata consentirà poi di sfruttare la convergenza dei dati provenienti dai vari comparti aziendali per automatizzare il monitoraggio in tempo reale delle modifiche di sistema e per settare gli strumenti di autovalutazione deputati a misurare l'efficacia dei controlli di conformità predisposti su ciascuna risorsa IT.
Poter contare su dashboard unificate, infine, significa individuare facilmente i Key Risk Indicator utili a descrivere le aree di potenziale esposizione a cavallo di asset, fornitori e processi, e sviluppare strumenti di reportistica sempre più accurati ed efficaci. In questo modo è possibile avviare un ciclo virtuoso che consentirà a banche e compagnie assicurative di diventare sempre più proattive nell'identificare, prevedere ed evitare possibili incidenti, aumentando gradualmente la resilienza informatica non solo per la propria organizzazione, ma anche per la filiera a cui fa capo il business.