L'analisi del rischio migliora la sicurezza delle banche

A nostro avviso quanto fatto finora dalle banche, e più in generale, da tutte le aziende non è più sufficiente a garantire una difesa efficace nell'attuale scenario, nonostante abbia permesso di ottenere risultati importanti nella lotta contro la criminalità. Nel tempo sono stati effettuati molti investimenti, ma con un approccio a silos, nel senso che sono stati introdotti firewall, antivirus e altre misure richieste dalle normative, ma senza un'azione integrata e globale e, soprattutto, senza una vera interazione interna. A questo si aggiunge un problema nuovo e difficile da affrontare legato alla sempre maggiore apertura verso i clienti che devono avere le aziende.

Oggi le informazione devono essere messe a disposizione dei clienti e dei propri partner in misura estremamente più ampia rispetto al passato. Non solo: aumentano anche le modalità con cui si vuole accedere a queste informazioni. Basti pensare alle possibilità di collegarsi alla rete 24 ore su 24 da qualsiasi parte del mondo con tablet, smartphone, pc proprio o di pubblico utilizzo. Tutto questo rende la gestione della sicurezza molto più complicata ed è diventato necessario affrontare il problema con un approccio basato sull'analisi del rischio che le organizzazioni sono disposte ad accettare per disporre di un nuovo servizio. Le misure di sicurezza devono essere coerenti e consentire questo nuovo approccio.

Ad esempio, nell'home banking devo poter predisporre misure di autenticazione a seconda del profilo di rischio del mio utente perché chi fa trading online e gestisce su internet somme ingenti non è uguale a chi accede solo per controllare il saldo del proprio conto. Consentire a una banca di adottare soluzioni differenziate significa anche consentirle di misurare i propri investimenti in questo campo. Chi governa la sicurezza deve sempre avere una visibilità globale sulle misure predisposte a vari livelli, per conoscere istantaneamente se tutto sta funzionando come previsto. E, in caso di attacco, capire cosa è accaduto, perché e che tipo di danno ha provocato. In questo senso un firewall che lavora con ipotesi statiche, così come un antivirus, non riescono più a darci risposte adeguate. Il fatto che le organizzazioni siano sempre più aperte, attribuisce un ruolo importante agli utenti dei servizi e quindi l'educazione all'uso corretto dell'IT diventa fondamentale e può contribuire in maniera decisa a ridurre i rischi di danni e le possibilità di subire attacchi. Questo soprattutto perché i criminali utilizzano metodologie di social engineering e, quindi, il nostro comportamento deve essere sempre sotto controllo, adottando le stesse precauzioni che utilizziamo per proteggere la nostra casa.

Nonostante lo scenario economico attuale, le banche continuano ad investire, ovviamente con maggiore attenzione. Rispetto agli altri Paesi penso che ci sia molto da fare per eliminare o almeno ridurre le barriere che si sono create nel tempo all'interno della stessa organizzazione, tra divisioni e uffici: bisogna quindi percorrere ancora molta strada per avere una visione d'insieme della sicurezza

Ci sono delle differenze di approccio: in Italia siamo culturalmente abituati a possedere qualcosa che permette l'accesso, come fosse la chiave della propria casa, e non diamo nulla per scontato. In altri Paesi, invece, il cliente presuppone che la banca abbia predisposto tutto e questo diverso sentire comporta delle ricadute operative. All'estero, infatti, ho notato molta più attenzione alle infrastrutture di back-end per la gestione della sicurezza, mentre da noi il marketing è molto più attento a cosa può essere offerto al cliente. Dal punto di vista dell'efficacia non riscontro grandi differenze, nel senso che può essere migliorata ancora moltissimo se si riducono quelle divisioni interne che sono evidenti sia in Italia sia oltre confine. Ovviamente ci sono delle realtà un po' più avanti e altre più indietro.

In questo periodo l'attenzione ai costi è massima. Però è anche vero che bisognare continuare a fare business e quindi è necessario predisporre servizi nuovi, più efficaci, più semplici. E questo presuppone affrontare l'aspetto fondamentale della sicurezza. Il fattore più critico è forse una visione ancora non univoca all'interno della stessa organizzazione. Laddove il team della sicurezza riesce a colloquiare con il marketing e le altre funzioni e quindi ad essere più vicino al business, l'efficacia delle iniziative di protezione aumenta sensibilmente.

Da sempre il settore finance è quello in cui registriamo i maggiori successi. Per continuare a crescere dobbiamo, però, garantire ulteriori livelli di sicurezza che migliorino quanto predisposto finora. Questa è la vera sfida.