Ormai quando si parla di cybersecurity, specialmente in ambito bancario e finanziario, soltanto una cosa è certa. L’attività preventiva è utilissima, anzi essenziale. Ma da sola non basta.
Le aziende che operano in questo settore sanno fin troppo bene che non è questione di se, ma di quando: presto o tardi arriverà un cyber attacco che andrà a buon fine, e non sarà tanto la capacità dei risk manager di prevederlo a ridurre i danni, quanto l’abilità dell’organizzazione di reagire e di ripristinare in tempi brevi tutti i sistemi, i processi e i dataset vitali per il corretto funzionamento del business.
L’evoluzione del rischio operativo nelle banche
«Si tratta di un verticale in cui la capacità di risposta, oggi, conta molto di più che in altri contesti», conferma Andrea Violato, Product Owner di Augeos, software house specializzata nello sviluppo di servizi e soluzioni di risk management e data governance, con particolare riferimento al mondo Finance.
«Fino a poco tempo la gestione del rischio operativo sembrava dovesse andare in una direzione ben diversa, con la possibilità, grazie allo studio dei dati, di lavorare in contesti che permettevano di condurre analisi tutto sommato serene dei fattori in gioco e delle possibili anomalie da correggere», racconta Violato. «Da quando l’ambito cyber è diventato preponderante è cambiato tutto in maniera radicale. Oggi, in aggiunta a un’accurata analisi degli scenari di rischio informatico, è necessario considerare come elementi peculiari delle strategie di mitigazione delle minacce i tempi di risposta e di ripristino, e soprattutto la capacità di fare tesoro della lezione appresa sul campo, trasformando gli incidenti in esperienza».
Cybersecurity e errori umani
Violato rimarca come i principali attacchi registrati si basino essenzialmente su falle tecnologiche ed errori umani. Spesso è lo stesso produttore o fornitore di tecnologia a essere all’oscuro di potenziali vulnerabilità. «Dove c’è una tecnologia, c’è un baco, ed è per questo importante sfruttare gli incidenti per evitare che in futuro si ripetano casi simili, evidenziando anche le componenti procedurali che possono agevolare intrusioni ed esfiltrazioni di dati», commenta Violato, che sottolinea come ormai le banche debbano contrastare gruppi criminali organizzati come vere e proprie aziende, con obiettivi specifici e procedure collaudate per bucare anche sistemi rodati.
«C’è stata una netta evoluzione delle capacità e delle tecniche degli attaccanti in questo senso: le imprese del Finance non possono che rispondere colpo su colpo a questa nuova impostazione, tenendo bene a mente il tema della corretta formazione e alfabetizzazione informatica. E attenzione: il fatto di essere circondato da tecnologie che si è convinti di saper utilizzare non fa diventare automaticamente consci e tanto meno esperti dei loro punti deboli».
Affrontare un data breach in maniera efficace: la lezione da imparare
Ma entriamo più nel dettaglio. Cosa significa, pragmaticamente, gestire un data breach in maniera efficace, in modo da ristabilire rapidamente l’operatività e rendere la crisi un’opportunità di crescita culturale e organizzativa?
«Anche solo basandoci su cosa prescrive la normativa dedicata alla protezione dei dati, notiamo che nell’immediato il comportamento richiesto si sostanzia nella comunicazione, entro 72 ore, del data breach al garante nazionale o europeo, oltre che ovviamente a diretti interessati», dice Violato. «Il che potrebbe suonare piuttosto semplice, ma in realtà arrivare a una gestione puntuale e finalizzata dell’intera procedura implica la capacità di attivare un gruppo strutturato e multidisciplinare di persone, che nonostante la complessità dell’organizzazione e il caos del momento riesca a maturare in tempi rapidi una visione precisa del problema dal punto di vista operativo».
Bisogna quindi essere in grado di attivare, seduta stante, un team capace di coordinare know how, skill e informazioni totalmente differenti, che in banca possono risiedere in una moltitudine di repository e spaziare attraverso gli ambiti più disparati.
«Tutto ciò è già molto complicato di per sé, come gli addetti ai lavori ben sanno, ma va aggiunto allo scenario anche il tema della stratificazione delle tecnologie, che impone l’engagement di una pluralità di piattaforme e soggetti che devono saper collaborare proattivamente per permettere al Data Protection Officer di risultare in regola».
Approccio integrato per la gestione dei data breach
Augeos ha sviluppato uno strumento che coadiuva questa azione, fornendo supporto operativo a una pluralità di utenti per le operazioni di carotaggio, raccolta delle informazioni e attività di analisi, comprese quelle specifiche di root cause analysis per l’identificazione precisa degli eventi e delle componenti di processo che hanno contribuito a determinare l’intrusione.
«Il modulo si chiama Data breach manager ed è in grado di attivare workflow configurabili per ciascuno degli attori necessari a procedere con l’acquisizione delle informazioni e alla notifica dell’incidente all’Autorità Garante», spiega Andrea Violato. «La soluzione è dotata di uno schedulatore automatico che guida e coordina gli utenti nel completamento delle fasi operative entro le 72 ore e raccoglie in maniera strutturata gli incidenti anche ai fini della reportistica, producendo in autonomia documenti riepilogativi in format predefiniti e standard, in modo da velocizzare il processo di cristallizzazione dei dati acquisiti».
Il modulo è in realtà parte di un ecosistema più ampio: essendo interoperabile con le altre componenti della piattaforma Augeos dedicata alla gestione delle intrusioni.
Riesce a dialogare con una serie di tool finalizzati a quantificare anche l’entità della perdita operativa e a semplificare la loss data collection, indispensabile nel mondo bancario per comprendere se un data breach abbia anche le potenzialità per sfociare in reclami o contenziosi dovuti a eventuali negligenze o inadempimenti.
«Il modulo entra in comunicazione con gli strumenti gestiti dagli altri uffici e permette di avere, a fronte di un’unica segnalazione, differenti analisi e approfondimenti, utili per gestire un evento avverso sotto molteplici punti di vista, e così trarre tutti gli elementi utili per imparare davvero la lezione» chiosa Violato. «Avere la capacità di intercettare un incidente futuro e sviluppare l’abilità di reagire tempestivamente se l’attacco va a buon fine, vuol dire infatti comprendere quali contromisure hanno fallito, quali asset sono stati oggetto dell’intrusione, e anche quali danni questa ha effettivamente comportato. In modo da inquadrare in modo corretto la tipologia di evento all’interno della mappa dei rischi che, specie rispetto all’ambito cyber risk management è in continua evoluzione».