Gestione del rischio e Compliance sono due dei filoni ‘sempre verdi’ in tema di sicurezza per banche, assicurazioni e, in generale, istituti di credito o finanziari; ancor di più, in Italia, dopo l’intervento della Banca d’Italia che con l’aggiornamento della circolare 263 [del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013 – ndr] è intervenuta apportando alcune restrizioni sulle precedenti disposizioni di vigilanza prudenziale.
Gastone Nencini, Country Manager, Trend Micro Italia
Ne abbiamo discusso con Gastone Nencini, Country Manager di Trend Micro Italia, secondo il quale “la circolare 263 definisce un chiaro percorso strategico e operativo attraverso importanti linee guida volte a dotare le banche di un sistema dei controlli interni completo e adeguato secondo determinati livelli di rischio”.
La circolare prevede differenti tappe per l’adeguamento e nel 2015 e 2016 dovrebbero essere messi in atto gli interventi previsti sul fronte del risk management con impatti significativi sull’Ict (sistema dei controlli interni, sistema informativo, continuità operativa). “In linea di massima – osserva Nencini – in Italia notiamo un approccio puntuale alla messa in sicurezza del ‘sistema banca’ con una forte focalizzazione proprio agli aspetti di gestione del rischio, elemento cardine della 263. L’altra faccia della medaglia, quella meno bella, mostra tuttavia un panorama nel quale gli istituti finanziari sono più alla rincorsa dell’adeguamento normativo piuttosto che focalizzati sull’innovazione dell’Ict security”.
Anche se, ci rincuora il country manager italiano, “qualche attenzione in più sugli aspetti di sicurezza – anche in termini di investimento – è riservata agli ambiti di sviluppo di nuovi servizi basati su tecnologie innovative (cloud, mobile, ecc.). Le difficoltà primarie stanno più nel riuscire a dare un quadro organico di evoluzione e che riesca a bilanciare, nel rispetto dei budget definiti da ciascun istituto, la ricerca di innovazione con le esigenze di compliance”.
Un importante aspetto su cui invita a riflettere Nencini è quello legato alle competenze: “Affinché si riesca a governare al meglio la sicurezza in un quadro organico generale, serve una visione d’insieme che vada ben oltre l’Ict con il coinvolgimento di diverse funzioni: responsabili della sicurezza fisica, per esempio, ma anche l’area legale nonché quella delle risorse umane, fino al top management e al board strategico, all’interno del quale dovrebbe ‘risiedere’ anche il chief security officer”.
Ed è proprio su aspetti come questi che Trend Micro è sempre più spesso chiamata ad intervenire. “I vendor che come noi si occupano di sicurezza Ict hanno il ‘dovere’ di proporre soluzioni e servizi avanzati per contrastare le minacce sempre più sofisticate e il cybercrime [ne sono un esempio le soluzioni Trend Micro Deep Security – piattaforma agentless che integra diverse funzionalità per la protezione completa di data center dinamici che comprendono server fisici, virtuali e ambienti cloud, nonché desktop virtuali – e Deep Discovery – soluzione particolarmente apprezzata proprio dagli istituti finanziari perché sviluppata per contrastare le minacce Apt e dotata di strumenti di analisi approfondita grazie ai quali è possibile prevenire attacchi futuri – ndr]”, conclude Nencini, “ma devono al tempo stesso mettere a disposizione delle aziende le proprie competenze consulenziali affinché si riesca a definire, per ogni realtà, un percorso verso quell’enterprise security fondato, come dicevo, su una visione d’insieme complessiva e un quadro organico evolutivo”.
