17 Luglio 2019 / 12:51
Le sfide per i Ciso

 
Sicurezza

Le sfide per i Ciso

di Paolo Carcano (PwC) - 17 Maggio 2019
Dalla cyber security alla cyber resilienza nell’analisi di Paolo Carcano di Pwc. Al centro il ruolo strategico del responsabile della sicurezza: nel dialogo sia con i vertici per la definizione di strategie pluriennali, sia con le autorità esterne che va oltre i requisiti normativi …

Cos’è la cybersecurity e perché tutti ne parlano

Per cybersecurity si intende lo studio e l’applicazione di misure di sicurezza atte alla difesa da attacchi informatici di computers, servers, dispositivi mobili, sistemi elettronici ed informativi, dati, reti e di qualsiasi altro asset informatico.
Meno di 15 anni fa i temi che oggi sono considerati parte della cybersecurity venivano ricondotti più semplicemente all’ambito della sicurezza delle informazioni, area ricavata all’interno della gestione dei sistemi Ict e dal quale raramente tali temi venivano portati all’attenzione di figure organizzative che non fossero di stampo tecnologico.
Oggi la cybersecurity ha spazi importanti nei mezzi di informazione sia per documentare i crescenti eventi di attacchi cyber (+37,7% di attachi rispetto allo scorso anno, secondo quanto rilevato dal Rapporto Clusit 2019), sia in quanto elemento necessario per garantire lo sviluppo della cosiddetta “digitalizzazione” in tutti i mercati, in particolar modo quello dei Financial Services (asset management, banche e assicurazioni) nei quali il rapporto di fiducia tra cliente e azienda è fondamentale.
La prova che la cybersecurity è oggi direttamente connessa allo sviluppo della digitalizzazione emerge dalla dimensione e dalla crescita degli investimenti, che è pari a circa 1 miliardo solo in Italia con una crescita media di oltre il 17% (Fonte: Anitec-Assinform/NetConsulting Cube, marzo 2019).
Nei budget delle banche di tutte le dimensioni sono da anni presenti voci dedicate alla cybersecurity, che si sono distinte nel tempo per un trend di crescita costante anche in periodi di forte riduzione degli investimenti e dei costi. L‘importanza della spesa è infatti coerente con l’importanza della tematica, dei rischi ad essa connessi e del forte impatto della security sul business, soprattutto se digitale.
Per le ragioni sopra citate, oggi la cybersecurity ha come audience il Board of Director e i Ceo di tutte le società a livello globale. Come emerge dalla Ceo Survey di PwC, infatti, dal 2018 l’importanza delle cyber threats è tra le 5 top priorities dei Ceo intervistati a livello globale. Ormai è una realtà consolidata che gli organi apicali richiedano di essere aggiornati e formati con frequenza elevata sull’evoluzione delle minacce di cybersecurity.
La cybersecurity rappresenta quindi un nuovo termine con il quale viene evidenziata la rinnovata importanza che rivestono quell’insieme di persone, processi e soluzioni volto a garantire un adeguato livello di protezione per informazioni, applicazioni ed infrastrutture tecnologiche da qualunque minaccia possa comprometterne la confidenzialità, l’integrità o la riservatezza.

Cosa è cambiato?

Ma la sostanza è cambiata? Sicuramente il principale cambiamento è da ricondursi alla trasformazione digitale del business, che ha fortemente modificato il modo con cui vengono oggi affrontati i temi di sicurezza. Il valore del mercato digitale in Italia vale oltre 70 miliardi, rispetto ai quali la cybersecurity vale tanto quanto gli investimenti in big data, entrambi catalizzatori di cambiamento (fonte: Anitec-Assinform/NetConsulting Cube, marzo 2019).
Un’altra ricerca di PwC di fine marzo sul mercato italiano delle Fintech (Piccole FinTech crescono con «intelligenza» - Osservatorio FinTech Italia 2019, seconda edizione) rileva un certo ritardo nello sviluppo del Fintech italiano ma con importanti dati per il 2019 (più di 100 aziende nate contro le circa 30 che sono state acquisite o non sono riuscite a svilupparsi), con una forte concentrazione sugli ambiti lending e payments, quest’ultimo rinvigorito dallo sviluppo dell’open banking e dalla normativa Psd2. Lo sviluppo del Fintech e dell’open banking, in generale, impone una revisione dei modelli di business verso un approccio aperto nel quale non c’è soluzione di continuità tra i processi interni e quelli affidati a partner o controparti esterne. In questo ecosistema aperto le minacce cyber crescono per numerose ragioni tra cui:
1. utilizzo di tecnologie innovative e quindi poco mature;
2. estensione della value chain con la necessità di presidiare la sicurezza dell’intera filiera;
3. utilizzo e condivisione dei dati sempre crescenti, con conseguente allargamento della superficie esposta ai rischi cyber;
4. modelli organizzativi, processi e controlli non ancora pronti per gestire il nuovo contesto;
5. comportamenti e modelli culturali del personale interno, dei fornitori e dei clienti non adeguati a garantire il necessario presidio della sicurezza.
In questo contesto non stupisce tanto che il numero degli attacchi sia in continua crescita, quanto che la media del “dwell time”, ovvero il tempo che intercorre da quando un attacco cyber si manifesta a quando l’organizzazione riesce a identificarlo, sia pari o superiore ai 6 mesi.

Da cybersecurity a cyber-resilience

Gestire la cybersecurity non significa più solo valutare tutte le minacce realmente applicabili al contesto aziendale e implementare idonee misure preventive e protettive, ma anche diventare resilienti in caso l’attacco si realizzi concretamente, riuscendo a ridurre le sue conseguenze e a reagire in modo da ripristinare al più presto lo status quo ante. La via verso la cyber resilience, termine oramai in voga, richiede però di affrontare un tema che potremmo definire “l’elefante nella stanza”, ovvero la capacità di comprendere l’interazione e le interdipendenze tra servizi di business, processi che li supportano e asset It che li erogano. Purtroppo tale visione è al momento solo parzialmente raggiunta tra gli operatori, senza distinzione di mercato di appartenenza. In attesa di colmare questo gap informativo, quindi, diventa importante ridurre la superficie d’attacco proteggendo i dati ovunque essi siano gestiti: dal trasferimento via rete (data-in-motion) alla loro archiviazione all’interno di database tradizionali, big data o in cloud (data-at-rest). A tal fine, l’utilizzo di soluzioni di data masking dei dati, così come della cifratura, fornisce un utile strumento per raggiungere l’obiettivo di minimizzare gli utenti e le applicazioni che possono accedere ai dati in chiaro. Questo riduce considerevolmente il numero di casi in cui approfondire il tema della mappatura dei servizi sino agli elementi architetturali.

Le sfide per i Ciso in ambito Financial Services

Oggi assistiamo alla trasformazione del ruolo del responsabile della sicurezza in un vero e proprio Ciso, ossia una figura manageriale in grado di dialogare con i vertici e le autorità di riferimento per fornire spiegazioni chiare in merito ad eventi cyber interni o esterni all’azienda. Egli deve altresì riuscire a gestire i requisiti normativi sempre più orientati alla sicurezza e, a livello di mercato, anche sempre più convergenti.
L’evoluzione tecnologica con piattaforme di sicurezza sempre più supportate da architetture big data e animate da logiche di machine learning e di intelligenza artificiale stanno inoltre veicolando una crescente convergenza delle soluzioni da adottare per rispondere a quelle che sino a ieri erano esigenze molto specialistiche in ambito security. Se integriamo dati e soluzioni di fraud management con quelli relativi alla sicurezza fisica, ad esempio, saremo in grado, grazie ad algoritmi di intelligenza artificiale, di identificare quegli attacchi che sfruttano la limitatezza della specializzazione dei compiti, in altre parole che sfruttano la mancanza di visione d’insieme. Per poter attuare tale convergenza, tuttavia, è necessario che i modelli organizzativi e l’attitudine del personale siano orientati alla collaborazione e alla condivisione di informazioni. È inoltre necessario disporre di nuove competenze in grado di cogliere tutti i benefici delle nuove piattaforme di sicurezza. Purtroppo il mercato non dispone di un numero adeguato di profili tecnici di questo genere: in generale la richiesta di profili cyber è costantemente superiore alle risorse disponibili, rendendo quindi fondamentale attivare percorsi autonomi di sviluppo delle competenze.
In definitiva, le aspettative dei regulator sono sempre maggiori, la normativa definita tanto a livello europeo quanto a livello italiano è passata dal fornire una rappresentazione “datata” delle misure di sicurezza richieste a proporre approcci innovativi basati su una attenta analisi dei rischi e, quindi, sulla responsabilizzazione diretta del top management. Per questa ragione l’obiettivo imposto ai Ciso di rispettare i requisiti normativi è passato dall’essere un mero requisito base a obiettivo verso il quale definire una strategia pluriennale di cybersecurity.

La sicurezza prima di tutto

Come interpretare e gestire la sicurezza in maniera strategica nell’epoca dell’open banking, su piattaforme interconnesse e proponendo al cliente servizi sempre più multi-accesso?
Banche e Sicurezza (qui il sito dedicato) è l’evento promosso dall’ABI il 21 e 22 maggio, a Milano(Centro Bezzi, per conoscere ed esplorare le frontiere della sicurezza fisica e digitale nel settore finanziario, bancario e assicurativo.
L’innovazione digitale ha aperto al settore finanziario straordinarie opportunità di crescita, annullando le barriere tra mondo fisico e digitale. Ma ha anche moltiplicato le fonti di rischio. Banche e Sicurezza traccia la rotta di una nuova alleanza tra competenze umane e potenzialità tecnologiche, per ripensare la sicurezza come valore. Al servizio del business, della clientela, della società.
(la partecipazione è gratuita e rivolta a banche e altri intermediari finanziari, assicurazioni, pubblica amministrazione, università. Clicca qui per iscriverti)
ALTRI ARTICOLI

 
Banca

Quello Spazio, che ha dato valore al tempo

I progetti sviluppati da doValue con Save the Children presso lo Spazio Mamme di Torre Maura, a Roma, hanno innescato un motore di solidarietà che è...

 
Scenari

Proptech, la voce degli innovatori del mondo immobiliare

Valutazioni basate sui big data, designer che rifanno il look alla casa prima della vendita, mappe in 3d, algoritmi per predire dove converrà...

 
Sicurezza

Banche e minacce cyber, le strategie per difendersi

Paolo Baraldo, System Engineer Fortinet Italia, analizza l'impatto del malware sulle applicazioni bancarie e le nuove sfide che apre la digital...
Per Cristiano Zazzara di S&P la gestione di attività di intermediazione creditizia da parte di operatori non...
Per Giuseppe Lusignani, Vice Presidente Prometeia, le banche italiane stanno lavorando molto per recuperare...