Banner Pubblicitario
04 Ottobre 2024 / 03:25
Technology-risk management: 5 regole per una banca sicura

 
Sicurezza

Technology-risk management: 5 regole per una banca sicura

di Mattia, Schieppati - 19 Ottobre 2016
La rapida implementazione di servizi digitali ai clienti richiede maggiori sforzi contro i cyber attacchi. Da McKinsey un elenco di buone pratiche per ridisegnare un perimetro di sicurezza. Avvertenze numero 1 e 2: adottare un approccio "business first" e presidiare ogni sottoarea dell'IT-risk management ...
Il titolo del documento è significativo: Il fantasma nella macchina . La macchina analizzata dagli specialisti di McKinsey in un interessante approfondimento sul blog interno , è l'azienda-banca nell'epoca sempre più accelerata della mutazione digitale. Il "fantasma", che c'è ma non si vede, è rappresentato da tutti quei nuovi rischi legati all'implementazione in tempi ristretti di un gran numero di tecnologie che sono intrinseci a questa stessa fase di sviluppo. Ecco perché assume un rilievo particolare una funzione che fino a pochi anni fa era secondaria o al più era un "di cui" della divisione IT: quella del Technology-risk management (IT-risk management).

Monitorare smartphone e device

«Se da una parte le banche stanno beneficiando enormemente dei software e dei sistemi tecnologici che hanno potenziato la loro attività, dall'altro sono diventate più esposte ai rischi che l'uso massiccio della stessa tecnologia comporta», spiegano gli analisti, che si riferiscono in particolare alla quantità sempre più ingente di servizi tecnologici messi direttamente a disposizione dei clienti : la possibilità di effettuare transazioni attraverso device mobili ha aperto milioni di potenziali punti di accesso (ciascuno degli smartphone utilizzati da ogni singolo cliente) a chi tentasse di entrare in maniera fraudolenta nel sistema della banca. Altro fronte viene dai processi sempre più complessi di data management , dovuti al fatto che con l'interazione digitale i dati dei clienti che la banca raccoglie, immagazzina e processa sono diventati esponenzialmente più numerosi. E quindi aumentano i fattori di rischio che richiedono di pari passo investimenti sempre maggiori.

Un team dedicato

Il necessario cambiamento di paradigma deve prevedere per tutto questo un approccio "IT-oriented", l'unica strada per una strategia che sia in grado di tenere conto sia delle implicazioni di business sia delle interdipendenze operative. «Cavarsela "in qualche modo" non è più un'opzione perseguibile», scrive McKinsey. «Un'adeguata mitigazione del rischio tecnologico richiede uno sforzo coordinato: le principali banche stanno creando team specializzati sul Technology-risk all'interno del reparto che si occupa di gestione del rischio aziendale. Team specializzati, certo, ma che devono essere ben integrati con il resto delle funzioni aziendali, ed essere parte della trasformazione in atto».
Perché chi si occupa di Technology-risk sia funzionale all'azienda, McKinsey mette nero su bianco una serie di principi che «non costituiscono un manuale operativo, ma propone degli indicatori per costruire - a seconda delle specifiche realtà aziendali - buone pratiche di Technology-risk management. Tenendo sotto osservazione questi indicatori, è possibile monitorare la crescita dei livelli di rischio associati allo sviluppo digitale».

I 5 principi di sicurezza

1. Adottare un approccio "business first". Le aziende possono avere un quadro completo dei fattori di rischio solo se si instaurano modalità di dialogo costante tra il reparto IT e chi sviluppa il business: così si identificano i processi di business potenzialmente critici (protezione dei dati, delle tecnologie proprietarie ad esempio per il trading, ecc.). Il team che si occupa di Technology risk management deve occuparsi della valutazione del rischio, ma le decisioni strategiche sull'approccio alla sicurezza devono essere in capo al top management aziendale.
2. Presidiare ogni area dell'IT-risk management. La sicurezza è spesso suddivisa in tante sotto discipline: sicurezza informatica, disaster recovery, gestione di parti terze, IT compliance, ecc. Con lo sviluppo di tecnologie sempre più trasversali a questi contesti, occorre sinergia per avere tutte le aree presidiate senza sovrapposizioni (vedi infografica sotto).
3. Strutturare una piattaforma di risk management condivisa. La gestione dell'IT-risk management non può essere scollegata dalla gestione del rischio aziendale. Serve una piattaforma tecnologica condivisa dai due team, in modo da avere: informazioni coerenti e dati aggregati sulle situazioni di rischio e quindi tutti gli strumenti necessari per prendere decisioni.
4. Cambiare la logica degli incentivi per gli IT manager. La consapevolezza di essere "in ritardo" nella gestione dell'IT-risk management può portare a volte a premiare i team che garantiscono la consegna "a breve termine" che risponda alle task indicate. In questo modo, si perde di vista la "coda lunga" del rischio, che spesso è quella che porta danni più significativi.
5. Investire sui talenti . La gestione del rischio tecnologico richiede pensiero critico, esperienza e specializzazione in ambito IT. Persone che abbiano questo tris di competenze sono fondamentali, ma difficili da trovare. Per questo, è importante investire in formazione, per far crescere talenti al proprio interno (il che è meno costoso che andare a cercarli sul mercato, e soprattutto riguarda persone che conoscono già le funzioni della banca e le pratiche operative di risk management).
TASSAZIONE 2024_Banner Medium
ALTRI ARTICOLI

 
Pagamenti

Pagamenti digitali, il 62% degli italiani li preferisce al contante

I dati dell’Osservatorio Carte di Credito e Digital Payments curato da Assofin, Ipsos e Nomisma con il contributo di CRIF fotografano un continuo...

 
Banche e Cultura

è cultura!: una passione da condividere

Sono già un centinaio gli appuntamenti culturali e artistici del festival promosso da ABI e ACRI a cui sarà possibile partecipare nella seconda di...

 
Diversity & Inclusion in Finance

Diversità e inclusione: Osservatorio ABI al via, con un tocco d’artista

Ha preso il via il 23 settembre, con la prima delle tre giornate del percorso, l’Osservatorio D&I in Finance. Artisti, attori, testimonianze di chi...
Supervision, Risks & Profitability 2024
Supervision, Risks & Profitability è l’evento annuale promosso da ABI in collaborazione con DIPO dedicato...
Icona Facebook Icona Twitter Icona LinkedIn
Banche e Sicurezza 2024
Banche e Sicurezza è l’evento annuale promosso da ABI, in collaborazione con ABI Lab, CERTFin e OSSIF,...
Icona Facebook Icona Twitter Icona LinkedIn
Innovation Workshop powered by Bancaforte
DIGITALIZZARE LA PIANIFICAZIONE, PRIORITÀ STRATEGICA PER LE BANCHE. Le esperienze di Banca di Asti, Banca Sella e CSE
Iscriviti gratuitamente alla diretta streaming dell'evento organizzato in collaborazione con Board
Icona Facebook Icona Twitter Icona LinkedIn
Banner Pubblicitario