Banner Pubblicitario
19 Marzo 2024 / 08:11
Technology-risk management: 5 regole per una banca sicura

 
Sicurezza

Technology-risk management: 5 regole per una banca sicura

di Mattia, Schieppati - 19 Ottobre 2016
La rapida implementazione di servizi digitali ai clienti richiede maggiori sforzi contro i cyber attacchi. Da McKinsey un elenco di buone pratiche per ridisegnare un perimetro di sicurezza. Avvertenze numero 1 e 2: adottare un approccio "business first" e presidiare ogni sottoarea dell'IT-risk management ...
Il titolo del documento è significativo: Il fantasma nella macchina . La macchina analizzata dagli specialisti di McKinsey in un interessante approfondimento sul blog interno , è l'azienda-banca nell'epoca sempre più accelerata della mutazione digitale. Il "fantasma", che c'è ma non si vede, è rappresentato da tutti quei nuovi rischi legati all'implementazione in tempi ristretti di un gran numero di tecnologie che sono intrinseci a questa stessa fase di sviluppo. Ecco perché assume un rilievo particolare una funzione che fino a pochi anni fa era secondaria o al più era un "di cui" della divisione IT: quella del Technology-risk management (IT-risk management).

Monitorare smartphone e device

«Se da una parte le banche stanno beneficiando enormemente dei software e dei sistemi tecnologici che hanno potenziato la loro attività, dall'altro sono diventate più esposte ai rischi che l'uso massiccio della stessa tecnologia comporta», spiegano gli analisti, che si riferiscono in particolare alla quantità sempre più ingente di servizi tecnologici messi direttamente a disposizione dei clienti : la possibilità di effettuare transazioni attraverso device mobili ha aperto milioni di potenziali punti di accesso (ciascuno degli smartphone utilizzati da ogni singolo cliente) a chi tentasse di entrare in maniera fraudolenta nel sistema della banca. Altro fronte viene dai processi sempre più complessi di data management , dovuti al fatto che con l'interazione digitale i dati dei clienti che la banca raccoglie, immagazzina e processa sono diventati esponenzialmente più numerosi. E quindi aumentano i fattori di rischio che richiedono di pari passo investimenti sempre maggiori.

Un team dedicato

Il necessario cambiamento di paradigma deve prevedere per tutto questo un approccio "IT-oriented", l'unica strada per una strategia che sia in grado di tenere conto sia delle implicazioni di business sia delle interdipendenze operative. «Cavarsela "in qualche modo" non è più un'opzione perseguibile», scrive McKinsey. «Un'adeguata mitigazione del rischio tecnologico richiede uno sforzo coordinato: le principali banche stanno creando team specializzati sul Technology-risk all'interno del reparto che si occupa di gestione del rischio aziendale. Team specializzati, certo, ma che devono essere ben integrati con il resto delle funzioni aziendali, ed essere parte della trasformazione in atto».
Perché chi si occupa di Technology-risk sia funzionale all'azienda, McKinsey mette nero su bianco una serie di principi che «non costituiscono un manuale operativo, ma propone degli indicatori per costruire - a seconda delle specifiche realtà aziendali - buone pratiche di Technology-risk management. Tenendo sotto osservazione questi indicatori, è possibile monitorare la crescita dei livelli di rischio associati allo sviluppo digitale».

I 5 principi di sicurezza

1. Adottare un approccio "business first". Le aziende possono avere un quadro completo dei fattori di rischio solo se si instaurano modalità di dialogo costante tra il reparto IT e chi sviluppa il business: così si identificano i processi di business potenzialmente critici (protezione dei dati, delle tecnologie proprietarie ad esempio per il trading, ecc.). Il team che si occupa di Technology risk management deve occuparsi della valutazione del rischio, ma le decisioni strategiche sull'approccio alla sicurezza devono essere in capo al top management aziendale.
2. Presidiare ogni area dell'IT-risk management. La sicurezza è spesso suddivisa in tante sotto discipline: sicurezza informatica, disaster recovery, gestione di parti terze, IT compliance, ecc. Con lo sviluppo di tecnologie sempre più trasversali a questi contesti, occorre sinergia per avere tutte le aree presidiate senza sovrapposizioni (vedi infografica sotto).
3. Strutturare una piattaforma di risk management condivisa. La gestione dell'IT-risk management non può essere scollegata dalla gestione del rischio aziendale. Serve una piattaforma tecnologica condivisa dai due team, in modo da avere: informazioni coerenti e dati aggregati sulle situazioni di rischio e quindi tutti gli strumenti necessari per prendere decisioni.
4. Cambiare la logica degli incentivi per gli IT manager. La consapevolezza di essere "in ritardo" nella gestione dell'IT-risk management può portare a volte a premiare i team che garantiscono la consegna "a breve termine" che risponda alle task indicate. In questo modo, si perde di vista la "coda lunga" del rischio, che spesso è quella che porta danni più significativi.
5. Investire sui talenti . La gestione del rischio tecnologico richiede pensiero critico, esperienza e specializzazione in ambito IT. Persone che abbiano questo tris di competenze sono fondamentali, ma difficili da trovare. Per questo, è importante investire in formazione, per far crescere talenti al proprio interno (il che è meno costoso che andare a cercarli sul mercato, e soprattutto riguarda persone che conoscono già le funzioni della banca e le pratiche operative di risk management).
Forum  ABI Lab 2024_ BANNER MEDIUM
ALTRI ARTICOLI

 
ESG

Intelligenza Verde

La vita media di una specie su questa terra è 5milioni di anni. Noi umani siamo qui da 300mila anni. Tra 4milioni e 700mila anni potremo stabilire...

 
Credito

Credito e Finanza, un impegno a tutto campo per la crescita

Tre chiavi di lettura e tre prospettive di analisi per presentare l’orizzonte di temi e gli scenari di azioni strategiche che caratterizzanno...

 
Diversity & Inclusion in Finance

Dalle Banche una Guida contro la violenza economica

Un vademecum chiaro ed efficace, realizzato da ABI e FEduF in raccordo con il Dipartimento per le Pari opportunità della Presidenza del Consiglio dei...
Il Salone dei Pagamenti 2023
Il Salone dei Pagamenti è il più importante appuntamento nazionale di riferimento su Pagamenti e Innovazione...
Icona Facebook Icona Twitter Icona LinkedIn
Bancaforte TV
Novità dal SDP 2023 - Dal butterfly effect al "CBI effect"
Un grande cambiamento può essere determinato anche da un battito di ali di una farfalla. È il "buttefly...
Icona Facebook Icona Twitter Icona LinkedIn
Banner Pubblicitario