Le sfide della digitalizzazione
L’importanza delle tematiche di IT Risk e Cyber Security è cresciuta costantemente in linea con l’evoluzione stessa del business verso modelli digitali e data-driven. Gli ultimi anni hanno visto un forte ricorso a servizi digitali da parte dei clienti bancari ed un aumento proporzionale dei rischi IT e di sicurezza connessi a tali attività. Tutto ciò richiede alle aziende l’implementazione di nuove soluzioni tecnologiche caratterizzate da approcci e modelli architetturali innovativi e interconnessi capaci di mitigare il relativo rischio IT.
All’interno del Gruppo ci siamo dotati di un IT Risk framework che garantisce il governo e il monitoraggio dei rischi IT e la protezione dalle minacce cyber attraverso competenze specifiche nella gestione dei rischi IT, nelle attività di presidio della sicurezza delle informazioni, nella prevenzione e mitigazione degli incidenti di sicurezza e delle frodi informatiche. La cultura del cyber risk e della cyber security passa anche attraverso un programma di awareness rivolto a tutti i dipendenti del Gruppo, costantemente aggiornato rispetto all’evoluzione delle minacce.
La strategia definita dall’IT Risk framework è caratterizzata da un approccio risk-based. Le scelte tecnologiche sono poi orientate dalla dimensione e dal tipo del rischio che deve essere mitigato.
La declinazione di tale framework avviene tramite l’implementazione dei seguenti 4 approcci:
- Preventivo:
Ragionare a priori su tutto il sistema informativo, cercando difetti o vulnerabilità che possano permettere gli attacchi prima che essi avvengano. - Predittivo:
Analizzare informazioni provenienti da fonti diverse (tra cui servizi di Deep & Dark web) per
anticipare misure di sicurezza in grado di bloccare nuove minacce, vulnerabilità o tecniche di attacco. L’ambito di tale attività è il settore finanziario ma senza perdere di vista le dinamiche geopolitiche; - Comprendere il contesto di business, delle componenti che supportano le funzioni critiche e i relativi rischi IT.
- Proattivo:
Limitare gli impatti di un potenziale incidente gestendo identità e accesso, protezione dei dati e dei sistemi, procedure e processi di sicurezza;
Identificare l’occorrenza di eventi di rischio che possono compromettere la protezione del patrimonio informativo - Reattivo:
Gestire eventi / incidenti e ripristinare l’operatività limitando gli impatti sul Business (resilienza), ed evitando eventuali impatti reputazionali (di clienti e stakeholder).
È costante la nostra attenzione nel monitorare gli sviluppi che l’evoluzione tecnologica porta perché espone potenzialmente le Aziende a nuovi rischi (ad esempio quelli connessi al Cloud) o a rischi emergenti (ad esempio quelli legati a terze parti) che richiedono nuove misure e nuovi controlli e siamo pronti rispetto alla necessità di implementare nuove tecnologie che offrono strumenti abilitanti all’implementazione di piani di mitigazione adeguati: gli strumenti evoluti di Cyber Threat Intelligence e di Security Rating, ad esempio, aumentano la visibilità sulle nuove superfici di attacco che si estendono lungo la digital supply chain, e che ne valutano il grado di esposizione a scenari di rischio cyber.
Monitoriamo, inoltre, l’erogazione dei servizi critici a livello di Gruppo con un team dedicato di Business Continuity che assicura l’adeguatezza delle infrastrutture informatiche in relazione ai requisiti di disponibilità dei processi di business.
Anche le autorità di vigilanza hanno mostrato sempre maggior attenzione verso il tema della resilienza operativa digitale, in particolare in seguito alla pandemia globale degli ultimi anni che ha messo in luce la necessità di una maggiore robustezza delle infrastrutture digitali, in primo luogo quelle al servizio del settore finanziario.
La regolamentazione di settore spinge da tempo sulla necessità di una solida gestione dei rischi derivanti dall'adozione delle tecnologie dell'informazione e della comunicazione e, più di recente, il tema della resilienza operativa digitale è stato oggetto di specifici interventi anche a livello europeo.
Da un lato, questo contesto regolamentare rappresenta per noi una sfida rilevante, poiché ci obbliga a mantenere costante l’impegno nel rispondere alle aspettative di vigilanza. Allo stesso tempo, ci offre una importante opportunità per rafforzare la nostra posizione competitiva e aumentare la nostra resilienza operativa digitale, garantendo una sempre migliore continuità delle nostre attività anche in situazioni di stress e rafforzando di conseguenza la fiducia nei nostri confronti del mercato e dei consumatori.
Per questo motivo siamo impegnati a investire in tecnologie innovative e in soluzioni di gestione dei rischi informatici e di sicurezza sempre al passo con il contesto in cui operiamo e con i rischi cui siamo esposti, garantendo al contempo un’adeguata formazione del nostro personale per affrontare le sfide poste dalla trasformazione digitale.
La resilienza operativa digitale è per noi una priorità, non solo per adempiere alle esigenze di regolamentazione, ma anche per migliorare la competitività e la qualità dei nostri servizi.