Il 60% delle realtà bancarie in Italia ha una infrastruttura ibrida, che combina cloud e strutture interne tradizionali, secondo la ricerca di Cetif Research con CISCO, con il rischio di non essere del tutto in grado di prevenire le minacce cibernetiche.
Non è più sufficiente, infatti, sapere rispondere a un attacco. Piuttosto è necessario anticiparlo, prevederlo e, soprattutto, nel caso in cui si venga colpiti, rimettere in sesto la macchina IT della banca.
È quindi cambiata la percezione del rischio informatico, che ha portato al disegno di un insieme di procedure e regolamentazioni che spingono sulla cyber resilience.
In altre parole, riuscire a non compromettere le operazioni interne, garantire il ripristino dei dati e dei processi di network, oltre che di servizio.
La visione strategica, tra le varie funzioni
L’organizzazione aziendale ha però un ruolo fondamentale, come la comunicazione e la visione strategica condivisa.
Per realizzare un percorso strategico verso la cyber security, infatti, serve flessibilità in termini di risorse, processi, strutture coinvolte e architetture di rete.
La protezione inizia dalla consapevolezza del personale interno all’organizzazione, spesso anello debole della sicurezza, e anche se la tecnologia è matura senza un filo diretto di comunicazione e condivisione strategica tra sicurezza e board, la cyber resilience è un traguardo difficile da raggiungere.
Valutare le terze parti
Anche la scelta del fornitore tecnologico è un elemento cruciale.
Oltre a evitare il lock-in, ovvero il rischio di restare legati a un unico fornitore, le banche devono valutare attentamente le potenziali fragilità delle terze parti, che devono essere capaci di schermare o fermare i tentativi di attacco informatico.
Approccio Zero Trust: è perseguibile?
Tra le proposte suggerite al mercato bancario c’è quindi quello Zero Trust: una diffidenza implicita nei sistemi, che dovrebbe portare a una valutazione a tappeto, a prescindere da ruoli e risorse.
Nonostante diverse soluzioni tecnologiche presenti sul mercato, sia per la cybersecurity sia per la crittografia dei dati, questa strada non è la più battuta.
Infosharing, serve l’approccio sistemico
La svolta arriverà con la normativa, perché la DORA non solo chiederà di osservare attentamente la terza parte, di evitare rischi di lock-in e naturalmente di essere resilienti dal punto di vista informatico, ma anche di aprirsi alla collaborazione.
Tra gli intenti del nuovo regolamento c’è anche quello di incentivare le realtà finanziarie nello scambio reciproco di informazioni e dati sulle minacce informatiche, tra cui indicatori di compromissione, tattiche, tecniche e procedure, segnali di allarme e strumenti di configurazione.
Questo articolo è stato pubblicato sul numero di settembre 2023 di AziendaBanca ed è eccezionalmente disponibile gratuitamente anche sul sito web. Se vuoi ricevere AziendaBanca, puoi abbonarti nel nostro shop.
