Con l’Ict diffusa in ogni linea di business, a maggior ragione se l’azienda è una banca, non è più possibile ignorare natura e rilevanza del rischio informatico (Ri), connesso con l’uso della tecnologia Ict: è il “rischio di danni economici e di reputazione derivanti dall’uso della tecnologia (rischi diretti), nonché dai processi operativi aziendali automatizzati con la tecnologia (rischi indiretti)”. Ai rischi diretti (ad esempio la violazione e furto di informazioni, frodi informatiche, perdita e indisponibilità di dati) e agli indiretti (ad esempio non conformità a normative e procedure) si sommano quelli reputazionali. Sono cruciali, in questo contesto, visione olistica e gestione unitaria del rischio informatico ai fini non solo della vigilanza prudenziale, ma di un efficace processo di governo che ne abbatta i costi e diventi arma differenziante sulla concorrenza.
Il Cetif Innovation Center, laboratorio di ricerca permanente promosso dal Centro di Ricerca su Tecnologie, Innovazione e servizi Finanziari dell’Università Cattolica del Sacro Cuore di Milano per dare spazio alle tecnologie innovative e alle loro applicazioni nel settore finanziario, ha compiuto un’analisi proprio su questo tema, definendo le pratiche per gestire il rischio informatico e individuando un “maturity model” che si sviluppa in quattro fasi di governo della sicurezza: Sicurezza di Sistema, Sicurezza dell’Informazione, Rischio dell’Informazione e Rischio d’Impresa. Critico è il passaggio dalla seconda alla terza fase, in cui la Sicurezza diventa Rischio: unità di business diverse devono convergere su una visione unitaria di rischio informatico diretto e indiretto.
L’analisi del Cetif individua poi le quattro fasi del ciclo di vita del governo del rischio informatico (Prevenzione, Individuazione, Contrasto e Mitigazione). Per avviarlo e mantenerlo, serve la ricordata convergenza a una visione olistica del rischio stesso, che consideri anche le interdipendenze tra fattori di rischio derivanti da unità di business diverse e su processi operativi diversi. Il che richiede un cambiamento di focus nell’utilizzo delle “leve operative”, che possono essere ancora di tipo: strategico (risk management, con scomposizione e valutazione dei singoli rischi globali; e Governance tout-court, cioè predisposizione della struttura di relazioni e processi atta a stabilire i necessari livelli di autorità e responsabilità); processuale (definizione del budget, di standard e di linee guida, integrazione e sviluppo di business case); relativo alle risorse umane (ruoli e responsabilità, leadership e conoscenza del business). Ciò implica per il risk management una vista che da “basata sugli asset” diventa “d’impresa a tutto campo”, e che nel processo di budget vi sia l’adozione di un linguaggio comune (“c-level”).
Lo studio raggruppa le soluzioni tecnologiche di governo della sicurezza in tre classi omogenee per finalità e funzionalità. La prima classe è costituita dalle soluzioni a supporto dei processi per il governo della sicurezza: pianificazione e indirizzo (attività d’indirizzo strategico e di produzione di normative e standard); gestione dei progetti (progettazione e implementazione delle misure di sicurezza informatica per dispositivi, sistemi e organizzazione); monitoraggio dell’efficacia delle misure di sicurezza e controllo della conformità dei processi e degli interventi di controllo; collaborazione, comunicazione e formazione.
La seconda classe è rappresentata dalle soluzioni tecnologiche di sicurezza logica (gestione e controllo accessi a risorse It, sicurezza rete e sistemi, availability e gestione incidenti informatici, disaster recovery).
La terza classe raggruppa le soluzioni di sicurezza fisica, cioè i sistemi per: la gestione accessi fisici alle risorse It (lo studio registra il trend verso policy di “minimo privilegio” possibile, di crescenti responsabilità contrattuali, e del sempre più basso livello di invasività); il controllo e monitoraggio degli stessi (la convergenza VoIp aprirà la strada a soluzioni anche organizzative con rilevazioni centralizzate, e segnalazioni di anomalie da “modifica della configurazione o presenza/assenza di un oggetto”).
Figura 1: Information risk governance maturity model (Fonte: Cetif)
(Clicca sull’immagine per ingrandirla)
Il modello proposto poggia infine su una metodologia elaborata dal Cetif, Technology Outlook Map, che posiziona le soluzioni per la governance del rischio informatico in un framework di riferimento nel quale viene valutato l’impatto potenziale su quattro variabili interne: infrastruttura tecnologica, infrastruttura applicativa, servizi e contenuti. Vengono inoltre presi in considerazione alcuni fattori esterni alla banca (variabili esterne) che possono fungere da abilitatori o inibitori nei confronti del processo di diffusione della tecnologia: normativa, mercato, fattori socio-culturali, evoluzione tecnologica. Dall’analisi risultano evidenti gli impatti sull’infrastruttura tecnologica e sull’architettura applicativa a causa delle potenziali modifiche che l’adozione di misure per la gestione del rischio e della sicurezza inducono nel processo di sviluppo e gestione delle applicazioni. Positivi gli impatti sull’erogazione dei servizi applicativi dato che una migliore gestione del rischio informatico comporta miglioramenti atti a garantire la continuità nell’erogazione e una migliore rispondenza ai business requirement. E positivi risultano anche gli effetti sui contenuti (ossia l’insieme delle informazioni a supporto dei processi di business della banca) soprattutto in termini di erogazione da parte dell’IT e di gestione, mentre non vengono individuati impatti evidenti in termini di creazione o di fruizione da parte dell’utenza.
Tra i fattori esterni che possono influire sull’adozione e la diffusione di tecnologie per la gestione del rischio informatico e della sicurezza vi è, come è ormai noto, l’adeguamento alle normative; vi è poi l’effetto abilitatore di fattori socio culturali legati alla necessità di preservare l’immagine della banca.
Lo studio del Cetif ha quindi elaborato un Technology Innovation cycle che posiziona le soluzioni nell’ambito del ciclo di innovazione tecnologica delle banche italiane. Il risultato è un “medio” livello di diffusione per le soluzioni a supporto dei processi di governo della sicurezza, mentre “pressoché completa” e “ampia” è la copertura per tecnologie di sicurezza logica e fisica, quest’ultima semmai col limite di un “non pieno sfruttamento delle ultime tecnologie, in particolare di riconoscimento”.
Lo studio analizza poi il potenziale impatto, Process Impact Analysis, delle soluzioni per la gestione del rischio informatico e della sicurezza sui principali processi bancari: i processi direzionali traggono significativi benefici grazie al miglioramento delle possibilità di monitoraggio e controllo che favoriscono l’evoluzione delle pratiche di governo del rischio informatico verso un approccio integrato di gestione dei rischi d’impresa; poco rilevante l’impatto sui processi operativi; decisamente marcato invece l’impatto sui processi di marketing e su quelli di supporto
