Technology-risk management: 5 regole per una banca sicura

Il titolo del documento è significativo: Il fantasma nella macchina . La macchina analizzata dagli specialisti di McKinsey in un interessante approfondimento sul blog interno , è l'azienda-banca nell'epoca sempre più accelerata della mutazione digitale. Il "fantasma", che c'è ma non si vede, è rappresentato da tutti quei nuovi rischi legati all'implementazione in tempi ristretti di un gran numero di tecnologie che sono intrinseci a questa stessa fase di sviluppo. Ecco perché assume un rilievo particolare una funzione che fino a pochi anni fa era secondaria o al più era un "di cui" della divisione IT: quella del Technology-risk management (IT-risk management).

«Se da una parte le banche stanno beneficiando enormemente dei software e dei sistemi tecnologici che hanno potenziato la loro attività, dall'altro sono diventate più esposte ai rischi che l'uso massiccio della stessa tecnologia comporta», spiegano gli analisti, che si riferiscono in particolare alla quantità sempre più ingente di servizi tecnologici messi direttamente a disposizione dei clienti : la possibilità di effettuare transazioni attraverso device mobili ha aperto milioni di potenziali punti di accesso (ciascuno degli smartphone utilizzati da ogni singolo cliente) a chi tentasse di entrare in maniera fraudolenta nel sistema della banca. Altro fronte viene dai processi sempre più complessi di data management , dovuti al fatto che con l'interazione digitale i dati dei clienti che la banca raccoglie, immagazzina e processa sono diventati esponenzialmente più numerosi. E quindi aumentano i fattori di rischio che richiedono di pari passo investimenti sempre maggiori.

Il necessario cambiamento di paradigma deve prevedere per tutto questo un approccio "IT-oriented", l'unica strada per una strategia che sia in grado di tenere conto sia delle implicazioni di business sia delle interdipendenze operative. «Cavarsela "in qualche modo" non è più un'opzione perseguibile», scrive McKinsey. «Un'adeguata mitigazione del rischio tecnologico richiede uno sforzo coordinato: le principali banche stanno creando team specializzati sul Technology-risk all'interno del reparto che si occupa di gestione del rischio aziendale. Team specializzati, certo, ma che devono essere ben integrati con il resto delle funzioni aziendali, ed essere parte della trasformazione in atto».

Perché chi si occupa di Technology-risk sia funzionale all'azienda, McKinsey mette nero su bianco una serie di principi che «non costituiscono un manuale operativo, ma propone degli indicatori per costruire - a seconda delle specifiche realtà aziendali - buone pratiche di Technology-risk management. Tenendo sotto osservazione questi indicatori, è possibile monitorare la crescita dei livelli di rischio associati allo sviluppo digitale».

1. Adottare un approccio "business first". Le aziende possono avere un quadro completo dei fattori di rischio solo se si instaurano modalità di dialogo costante tra il reparto IT e chi sviluppa il business: così si identificano i processi di business potenzialmente critici (protezione dei dati, delle tecnologie proprietarie ad esempio per il trading, ecc.). Il team che si occupa di Technology risk management deve occuparsi della valutazione del rischio, ma le decisioni strategiche sull'approccio alla sicurezza devono essere in capo al top management aziendale.

2. Presidiare ogni area dell'IT-risk management. La sicurezza è spesso suddivisa in tante sotto discipline: sicurezza informatica, disaster recovery, gestione di parti terze, IT compliance, ecc. Con lo sviluppo di tecnologie sempre più trasversali a questi contesti, occorre sinergia per avere tutte le aree presidiate senza sovrapposizioni (vedi infografica sotto).

3. Strutturare una piattaforma di risk management condivisa. La gestione dell'IT-risk management non può essere scollegata dalla gestione del rischio aziendale. Serve una piattaforma tecnologica condivisa dai due team, in modo da avere: informazioni coerenti e dati aggregati sulle situazioni di rischio e quindi tutti gli strumenti necessari per prendere decisioni.

4. Cambiare la logica degli incentivi per gli IT manager. La consapevolezza di essere "in ritardo" nella gestione dell'IT-risk management può portare a volte a premiare i team che garantiscono la consegna "a breve termine" che risponda alle task indicate. In questo modo, si perde di vista la "coda lunga" del rischio, che spesso è quella che porta danni più significativi.

5. Investire sui talenti . La gestione del rischio tecnologico richiede pensiero critico, esperienza e specializzazione in ambito IT. Persone che abbiano questo tris di competenze sono fondamentali, ma difficili da trovare. Per questo, è importante investire in formazione, per far crescere talenti al proprio interno (il che è meno costoso che andare a cercarli sul mercato, e soprattutto riguarda persone che conoscono già le funzioni della banca e le pratiche operative di risk management).