Un “tableau de bord”, un cruscotto in grado di visualizzare e valutare centralmente l’implementazione delle misure di IT security con gli altri rischi è entrato nella lista desideri della maggior parte delle banche e degli istituti finanziari. Lo testimonia Claudio Ruffini, presidente di Augeos, un fornitore italiano di tecnologie e servizi per la gestione completa dei rischi e dei controlli focalizzata sugli asset IT.
“I cyber risk – spiega Ruffini – rappresentano una parte dei rischi operativi non-financial [cioè non di credito o di mercato, ndr] che le banche devono affrontare. Anche nei loro confronti, questi istituti hanno adottato quell’approccio di ricerca del livello di accettabilità del rischio che, peraltro, costituisce un elemento importante del loro modo di condurre il business. Accettando un certo livello di rischio – continua il presidente di Augeos – è possibile aumentare la possibilità di raggiungere determinati obiettivi. Questo lo verifichiamo tutti anche nella nostra vita quotidiana”.
La necessità di una governance centralizzata del cyber Risk
Da alcuni anni a questa parte, però, per le banche questa filosofia è diventata insidiosa quando si tratta di rischi cibernetici. “Oggi in queste aziende la tecnologia è pervasiva e cruciale. Allo stesso tempo il livello di competenza degli ‘attaccanti’ è molto aumentato. Condurre in modo tradizionale assessment e audit dei cyber risk in uffici, processi, applicazioni e asset, trovare di volta in volta compromessi fra i costi di una maggiore security e gli obiettivi di business e, infine, effettuare accantonamenti a riserva per affrontare i danni provocati da eventuali incidenti di sicurezza, è necessario ma non più sufficiente. A fronte della crescita esponenziale delle minacce IT, della digital transformation di sempre più processi di business bancario, e dell’aumento delle normative (come il GDPR a tutela della privacy), qualsiasi cyber risk diventa inaccettabile per i danni economici, ma soprattutto di immagine e violazione di compliance, che può causare. Ecco perché un numero crescente di banche e istituzioni finanziare stanno orientandosi all’adozione di cruscotti specializzati nella governance del cyber risk”.
A questa domanda, Augeos ha risposto con l’integrazione, nella propria suite di Governance Risk and Compliance GRC Plus, del tableu de bord Risk Executive Dashboard. “Ogni quattro o cinque mesi – racconta Ruffini – aggiungiamo nuovi moduli o miglioramenti a quelli già esistenti nella nostra offerta. Obiettivo di un tableau de board è offrire, attraverso poche schermate e pagine, un quadro completo, basato sull’analisi automatica di tabelle univoche provenienti dai vari uffici e processi (come suggerisce la circolare 285 di Banca d’Italia), dell’andamento e delle esigenze di rafforzamento di controlli e presidi contro i cyber risk”.
Un compagno di viaggio ideale, insomma, per auditor e responsabili della sicurezza IT. Una soluzione, interamente made in Italy, per un tema, quello della sicurezza IT, sul quale Augeos è impegnata in collaborazioni con alcune università italiane.
Infine, segnaliamo che il prossimo 26 giugno Claudio Ruffini interverrà su questi temi a Supervision, Risk & Profitability 2019 (#oltrebasilea), vero e proprio evento di riferimento sul risk management, promosso da ABI.
