Newsletter

Clicking moves left

Gli Speciali 2017

 

Forum HR

Cultura e regole nella gestione delle risorse umane, evoluzione sociale e digitale, organzizazione, leve motivazionali, contratti, lavoro...

Unione Bancaria e Basilea 3

L’evento dell'ABI su risk management, capitale e vigilanza europea. 120 relatori, 12 sessioni e una tavola rotonda per fare il punto sulla...

Banche e Sicurezza

Le banche tra sicurezza fisica e digitale, sotto il ritmo incessante della trasformazione tecnologica. Come difendersi dalle nuove minacce?

Funding & Capital Markets

I contenuti della IV edizione dell'evento ABI sugli strumenti di funding a disposizione di banche e imprese, sul mercato dei capitali e...

Dimensione Cliente

Il cliente non cerca più prodotti o servizi ma una Customer Journey. Si muove da questo imperativo la nuova edizione del convegno dedicato...

Forum ABI Lab

Bank to the future - Il viaggio nell'ecosistema digitale di ABI Lab nelle 2 giornate di Milano del 21 e 22 marzo - Le videointerviste e i...

Clicking moves right

Home > Sicurezza

Sicurezza
Invia Stampa
Technology-risk management: 5 regole per una banca sicura

Technology-risk management: 5 regole per una banca sicura

La rapida implementazione di servizi digitali ai clienti richiede maggiori sforzi contro i cyber attacchi. Da McKinsey un elenco di buone pratiche per ridisegnare un perimetro di sicurezza. Avvertenze numero 1 e 2: adottare un approccio "business first" e presidiare ogni sottoarea dell'IT-risk management ...
Mattia Schieppati
Il titolo del documento è significativo: Il fantasma nella macchina . La macchina analizzata dagli specialisti di McKinsey in un interessante approfondimento sul blog interno , è l'azienda-banca nell'epoca sempre più accelerata della mutazione digitale. Il "fantasma", che c'è ma non si vede, è rappresentato da tutti quei nuovi rischi legati all'implementazione in tempi ristretti di un gran numero di tecnologie che sono intrinseci a questa stessa fase di sviluppo. Ecco perché assume un rilievo particolare una funzione che fino a pochi anni fa era secondaria o al più era un "di cui" della divisione IT: quella del Technology-risk management (IT-risk management).

Monitorare smartphone e device

«Se da una parte le banche stanno beneficiando enormemente dei software e dei sistemi tecnologici che hanno potenziato la loro attività, dall'altro sono diventate più esposte ai rischi che l'uso massiccio della stessa tecnologia comporta», spiegano gli analisti, che si riferiscono in particolare alla quantità sempre più ingente di servizi tecnologici messi direttamente a disposizione dei clienti : la possibilità di effettuare transazioni attraverso device mobili ha aperto milioni di potenziali punti di accesso (ciascuno degli smartphone utilizzati da ogni singolo cliente) a chi tentasse di entrare in maniera fraudolenta nel sistema della banca. Altro fronte viene dai processi sempre più complessi di data management , dovuti al fatto che con l'interazione digitale i dati dei clienti che la banca raccoglie, immagazzina e processa sono diventati esponenzialmente più numerosi. E quindi aumentano i fattori di rischio che richiedono di pari passo investimenti sempre maggiori.

Un team dedicato

Il necessario cambiamento di paradigma deve prevedere per tutto questo un approccio "IT-oriented", l'unica strada per una strategia che sia in grado di tenere conto sia delle implicazioni di business sia delle interdipendenze operative. «Cavarsela "in qualche modo" non è più un'opzione perseguibile», scrive McKinsey. «Un'adeguata mitigazione del rischio tecnologico richiede uno sforzo coordinato: le principali banche stanno creando team specializzati sul Technology-risk all'interno del reparto che si occupa di gestione del rischio aziendale. Team specializzati, certo, ma che devono essere ben integrati con il resto delle funzioni aziendali, ed essere parte della trasformazione in atto».
Perché chi si occupa di Technology-risk sia funzionale all'azienda, McKinsey mette nero su bianco una serie di principi che «non costituiscono un manuale operativo, ma propone degli indicatori per costruire - a seconda delle specifiche realtà aziendali - buone pratiche di Technology-risk management. Tenendo sotto osservazione questi indicatori, è possibile monitorare la crescita dei livelli di rischio associati allo sviluppo digitale».

I 5 principi di sicurezza

1. Adottare un approccio "business first". Le aziende possono avere un quadro completo dei fattori di rischio solo se si instaurano modalità di dialogo costante tra il reparto IT e chi sviluppa il business: così si identificano i processi di business potenzialmente critici (protezione dei dati, delle tecnologie proprietarie ad esempio per il trading, ecc.). Il team che si occupa di Technology risk management deve occuparsi della valutazione del rischio, ma le decisioni strategiche sull'approccio alla sicurezza devono essere in capo al top management aziendale.
2. Presidiare ogni area dell'IT-risk management. La sicurezza è spesso suddivisa in tante sotto discipline: sicurezza informatica, disaster recovery, gestione di parti terze, IT compliance, ecc. Con lo sviluppo di tecnologie sempre più trasversali a questi contesti, occorre sinergia per avere tutte le aree presidiate senza sovrapposizioni (vedi infografica sotto).
3. Strutturare una piattaforma di risk management condivisa. La gestione dell'IT-risk management non può essere scollegata dalla gestione del rischio aziendale. Serve una piattaforma tecnologica condivisa dai due team, in modo da avere: informazioni coerenti e dati aggregati sulle situazioni di rischio e quindi tutti gli strumenti necessari per prendere decisioni.
4. Cambiare la logica degli incentivi per gli IT manager. La consapevolezza di essere "in ritardo" nella gestione dell'IT-risk management può portare a volte a premiare i team che garantiscono la consegna "a breve termine" che risponda alle task indicate. In questo modo, si perde di vista la "coda lunga" del rischio, che spesso è quella che porta danni più significativi.
5. Investire sui talenti . La gestione del rischio tecnologico richiede pensiero critico, esperienza e specializzazione in ambito IT. Persone che abbiano questo tris di competenze sono fondamentali, ma difficili da trovare. Per questo, è importante investire in formazione, per far crescere talenti al proprio interno (il che è meno costoso che andare a cercarli sul mercato, e soprattutto riguarda persone che conoscono già le funzioni della banca e le pratiche operative di risk management).
19 Ottobre 2016

Articoli correlati

 

Guida Tassazione 2017

Sullo scaffale

Elenco degli Sportelli Bancari 2017

Elenco degli Sportelli Bancari 2017

In 640 pagine, il panorama più esauriente delle 28.000 filiali e dei 1.400 negozi finanziari operanti in Italia, contenente le principali informazioni ...

Convegni ABI

CREDITO AL CREDITO 2017

CREDITO AL CREDITO 2017

Roma, Palazzo Altieri - 26 e 27 ottobre 2017