Compila il form per rimanere aggiornato su temi, attività e opportunità di innovazione dell’ecosistema Cetif
Oltre 30.000 professionisti compongono l’ecosistema di Cetif: favoriamo l’incontro e lo scambio fra banche, assicurazioni e aziende in un Centro accademico, ambiente competente e indipendente, per condividere conoscenze, esperienze e strategie sui più innovativi fattori di cambiamento.
16 Hub di ricerca focalizzati su dinamiche di evoluzione strategica, aggiornamenti normativi, prassi organizzative e di processo, effetti della digitalizzazione: studiamo trend di innovazione e best practice e li condividiamo con le nostre community.
Oltre 40 percorsi di Executive Education, 4 Master e numerosi Company Specific Program: trasferiamo con approccio scientifico contenuti innovativi orientati al mondo finanziario.
Uno spin off di sperimentazione che unisce ricerca accademica e impostazione imprenditoriale: trasformiamo innovazione e digitalizzazione in un concreto vantaggio per le imprese.
Il Regolamento DORA richiede un’evoluzione culturale e organizzativa, più che tecnologica. Dal punto di vista di processi, ruoli e infrastrutture, infatti, il nuovo Regolamento europeo formalizza diversi ambiti su cui le banche hanno già lavorato nel corso del tempo.
«Gli istituti finanziari hanno intrapreso da tempo un percorso – racconta Paolo Gatelli, Senior Researcher del CeTIF – a partire dal concetto di continuità operativa espresso, ad esempio, da Basilea 2. Se guardiamo alla sola compliance, oggi le banche stanno svolgendo una gap analysis per individuare quegli aspetti in cui non sono ancora perfettamente compliant e adattarsi ai dettami normativi».
Una prospettiva di mera compliance, però, fa perdere di vista il concetto sostanziale che sta alla base della DORA: portare il tema della resilienza cyber al centro delle strategie di Board e top management.
«Il regolamento non è così esplicito – chiosa Gatelli – ma in diversi aspetti, come nelle logiche di reporting, emerge la volontà di elevare la sicurezza informatica e la resilienza al centro della governance dell’azienda. Non si tratta solo di rivedere l’organizzazione, le tecnologie o i presidi, ma di mettere in contatto, anche creando un linguaggio comune, chi segue gli aspetti tecnici della sicurezza e chi governa il business».
Non solo, quindi, garantire che una banca o una compagnia assicurativa siano in grado di resistere a un eventuale attacco informatico.
Ma orientarle alla resilienza, cioè alla capacità di tornare rapidamente a erogare un livello adeguato di servizio ed evitare una crisi potenzialmente sistemica.
«Non si tratta più di gestire un fermo macchina o il disaster recovery – conferma Gatelli – ma di garantire che la banca continui a svolgere il proprio ruolo essenziale verso i clienti e la società. Questo vuol dire anche fare sì che il board e il top management sappiano rapportarsi con questi temi e, al contempo, che chi ne segue gli aspetti più tecnici e tecnologici sappia raccontare il potenziale impatto sul business del rischio cyber».
Il nuovo approccio sistemico è confermato dalla trasversalità delle funzioni aziendali coinvolte nell’adeguamento alla DORA.
Sicurezza informatica, la compliance e la gestione del rischio, ovviamente, ma anche la gestione dei fornitori, degli outsourcer, degli acquisti. Perché la Dora include nella valutazione della resilienza anche le terze parti e i fornitori di servizi IT.
«Anche in questo caso – premette Gatelli – DORA formalizza una serie di buone pratiche già utilizzate da molte istituzioni finanziarie nel rapportarsi alla loro supply chain.
Dobbiamo però distinguere tra le grandi aziende, già abituate a confrontarsi con determinati temi e, a volte, già soggetti alla Vigilanza, e le aziende medie e piccole che potrebbero non essere attrezzate per la supervisione indiretta».
Il Regolatore andrà a chiedere alle banche di fornire dati e analisi su quei soggetti terzi con cui ha un rapporto rilevante. E questo comporterà una “selezione naturale” della moltitudine di piccoli fornitori ICT che oggi servono il settore finanziario.
«Non tutti hanno la capacità di rispettare determinati requisiti e a essere adeguatamente compliant – osserva Gatelli. Alcune banche ci hanno già raccontato di fornitori che prevedono di tirarsi indietro e lasciare il mercato. Anche la banca dovrà riflettere sulla propria supply chain e valutare se un vendor mette a repentaglio la sicurezza della filiera.
Se un istituto, ad esempio, acquista codice da un’azienda terza, diventa cruciale sapere chi lo sviluppa, se esistono subappaltatori e dove si collocano geograficamente, per motivi sia di sicurezza sia di etica».
Ma se le attività di reporting, i vulnerability assessment, i percorsi di formazione e di certificazione delle risorse potrebbero rivelarsi poco sostenibili per i piccoli fornitori, le banche potrebbero collaborare per accompagnare congiuntamente i fornitori in comune nei processi necessari a soddisfare i controlli imposti da DORA.
«Una scelta di efficienza – prosegue Gatelli – ma anche di standardizzazione del presidio della supply chain. Banche e fornitori possono essere reciprocamente utili e di supporto per rispettare i requisiti regolamentari.
Penso che il legame tra istituti finanziari e fornitori critici ne uscirà rafforzato e più trasparente: non solo per obbligo normativo, ma per interesse reciproco».
L’obiettivo di portare la resilienza del settore finanziario all’interno di un approccio complessivo di ecosistema emerge chiaramente quando la DORA parla di infosharing.
«È la conclusione di un’evoluzione culturale importante – afferma Gatelli – perché purtroppo ancora oggi resiste l’idea che l’evento cyber sia qualcosa da nascondere, perché impatta sulla reputazione dell’istituto. E invece le informazioni sugli attacchi vanno condivise con gli altri soggetti che potrebbero affrontare la medesima minaccia in futuro, o che forse sono già un obiettivo senza saperlo».
Con questo approccio di sistema, le esperienze degli altri diventano qualcosa da cui imparare.
«Le minacce vanno analizzate e capite, per poter prevenire altri attacchi – spiega Gatelli. Se una banca, ad esempio, ha rilevato delle anomalie che poi si sono effettivamente rivelate un incidente, allora altre banche sanno che devono fare attenzione a quelle anomalie. Anche conoscere le contromisure applicate dagli altri può aiutare a reagire meglio e più rapidamente a un attacco analogo, rispondendo già alle prime avvisaglie».
L’adeguamento alla DORA, però, non si risolve solo in questa evoluzione culturale. Si tratta, piuttosto, di guardare con questo nuovo approccio al tema delle tecnologie da adottare.
«Parliamo di un ventaglio molto ampio di soluzioni – conclude Gatelli –, spaziando dall’autenticazione degli utenti fino al presidio dei perimetri. In termini di architettura è interessante l’ormai celeberrimo Zero Trust, cioè una combinazione di tecnologie per presidiare in modo puntuale i punti di accesso esterni.
In un’epoca di smart working molte postazioni dipendenti operano da remoto: blindare il perimetro dei sistemi della banca è quindi più complesso. Servono strumenti per gestire ogni punto di accesso, decidendo a quali dati e applicazioni si può accedere, ad esempio.
Vediamo anche un trend verso l’utilizzo di tecnologie che non nascono in ambito sicurezza, come analytics e intelligenza artificiale, e che possono essere applicate in questo campo per evolvere nelle attuali regole statiche di cyber security e andare verso nuovi modelli dinamici, che individuano potenziali minacce anche grazie a deboli segnali, come ad esempio le modalità d’uso di un dispositivo o la coerenza di una transazione bancaria con il profilo comportamentale del cliente».