La gestione del rischio informatico nelle banche è, per la conformazione stessa che stanno assumendo sistemi IT, una disciplina così pervasiva in tutti i processi aziendali che non può più prescindere dall'adozione di cruscotti centralizzati. Ragionare per silos in uno scenario in cui le tecnologie digitali tendono a integrare i processi, accorciando filiere, time-to-market e interazioni con partner, fornitori e clienti significa infatti rallentare le operazioni. E, di conseguenza, il business.
Per garantire la massima efficacia senza rinunciare alle azioni di controllo bisogna cambiare paradigma e adottare strumenti che consentano ai Risk Manager (ma anche agli IT Manager e ai Data Protection Officer, sempre più direttamente coinvolti sui fronti della cyber security e della compliance normativa nelle dinamiche di gestione del rischio) di maturare una visione olistica sul funzionamento dei sistemi informativi e, soprattutto, delle minacce – interne ed esterne – che li riguardano. Questo significa prima di ogni altra cosa passare da un approccio puramente quantitativo a un approccio quali-quantitativo nell'avvio e nello svolgimento delle sessioni di assessment del rischio informatico. Gli strumenti a disposizione del Risk Manager devono in altre parole integrare la reportistica sugli incidenti registrati, le serie storiche relative ad altri eventi degni di nota e il censimento degli asset IT con i risultati delle indagini qualitative svolte attraverso interviste somministrate a tutti gli attori che, a vario titolo, utilizzano piattaforme, device e applicazioni.
In secondo luogo, la valutazione dei rischi deve tenere conto della molteplicità dei touch point attivati sull'intera superficie aziendale. Superficie che continua a espandersi e a liquefarsi, sull'onda della digitalizzazione dei processi, dei servizi offerti via Internet e via mobile ai clienti e – non ultimo – del rafforzarsi del fenomeno dello smart working. Uno scenario destinato a farsi ancora più caotico nel momento in cui il tema dell'open banking, promosso dalla PSD2, diverrà una priorità per la maggioranza degli istituti finanziari. Anche in questo caso, continuare a procedere con una logica destrutturata vuol dire guardare con miopia al presente e specialmente al futuro, esponendo la banca a un rischio informatico elevatissimo sul piano della data protection, con conseguenze potenzialmente devastanti per il business e per la reputazione dell'azienda.
Tutto ciò si può ottenere solo costruendo un punto di vista univoco ed esteso, ovvero adottando cruscotti centralizzati che facciano convergere su un'unica postazione le informazioni correttamente processate e interpolate, con la possibilità per ciascun attore del processo di risk management di estrarne insight da visualizzare come, dove e quando occorre davvero. È così che le banche possono dare vita a una gestione dinamica del rischio informatico. Grazie a una visione unificata e integrata dell'ecosistema IT e delle minacce che possono turbarlo, si passa da un'impostazione reattiva a un sistema preventivo dei rischi: mitigarli non significa più calcolare i possibili danni derivanti dall'avverarsi di un evento ipotetico e accantonare risorse per bilanciarli: vuol dire piuttosto modificare processi, prassi e strumenti per impedire che quell'evento avvenga (o, nella peggiore delle ipotesi, per limitarne l'impatto). Si parla quindi di un modus operandi estremamente complesso, volto a identificare le relazioni di causa-effetto tra scelte tattiche e decisioni strategiche, accadimenti esterni, trend sociali, fenomeni di mercato e pericolosità delle minacce informatiche. E solo l'utilizzo di piattaforme analitiche all'altezza della situazione e di interfacce utente intuitive, capaci di convogliare un patrimonio informativo in continua crescita, sintetizzando e riducendo questa complessità, può aiutare i Risk Manager a sviluppare un approccio dinamico alla gestione del rischio operativo in ambito IT.
Topic: Sicurezza Informatica, Banking