Rischio ICT e Covid19: come garantire continuità operativa?

Infection desease: quanto il rischio è difficile da calcolare

L’emergenza COVID-19 ha messo a dura prova la tenuta dei piani di emergenza delle Istituzioni Finanziarie. Benchè il rischio di “infection disease”, ampiamente trattato all’interno del “Global Risk Report” emesso annualmente dal World Economic Forum, fosse considerato ad impatto alto, pur presentando una probabilità di accadimento bassa, solo le grandi Organizzazioni hanno dimostrato di disporre, in queste settimane, di piani di continuità operativa mirati ad affrontare il rischio di pandemia. I Piani di Continuità Operativa, in linea con quanto definito dai diversi Enti Regolatori e dalle best practices di riferimento, hanno l’obiettivo di “definire le misure atte a garantire la sopravvivenza delle attività definite critiche in seguito al verificarsi di un evento di natura disastrosa”, descrivendo le strategie di soluzione per gli scenari di crisi previsti, con particolare riferimento all’ indisponibilità dei Sistemi Informatici Critici all’ inaccessibilità dei Locali, all’ indisponibilità del Personale Essenziale.

Continuità operativa e logiche da adottare

Lo scenario di “Indisponibilità del Personale Essenziale” si può manifestare, in alcuni casi, con un impatto particolarmente grave a causa dell’elevato numero di soggetti della popolazione colpiti e dell’ampiezza dell’area geografica interessata (nazionale o transnazionale), nonché con riferimento alla durata media di assenza del personale; è il caso, ad esempio, di una pandemia o di un attacco biologico. Le misure di continuità operativa identificate per la gestione di uno scenario pandemico devono essere progettate per essere attivate gradualmente, in funzione delle specificità e dell’evolversi dell’evento stesso, e si distinguono per il loro carattere trasversale che sostituisce la logica di adozione di soluzioni incentrate sulle singole Unità Organizzative della Società.

Cosa dice Banca d’Italia

All’interno del Comunicato Stampa diffuso da Banca D’Italia in data 20 marzo, insieme ad una serie di proroghe dei termini e di misure temporanee atte a mitigare l’impatto del COVID-129 sul sistema bancario e finanziario italiano, si sottolinea la “necessità fondamentale di considerare e affrontare il rischio di pandemia nei piani di emergenza”. Si invitano le banche meno significative e gli altri intermediari vigilati “a rivedere i piani di continuità operativa e a considerare quali azioni possono essere intraprese in modo da minimizzare i potenziali effetti avversi della diffusione del COVID-19”.

Un alleato: lo smart working

In queste settimane si è anche assistito ad un progressivo e sempre più esteso ricorso al lavoro da remoto o “smart working”. Molte organizzazioni si sono trovate a gestire, nell’arco di pochi giorni, problemi estremamente complessi sia dal punto di vista tecnologico che da quello organizzativo: dalla dotazione di apparecchiature informatiche ai propri dipendenti piuttosto che all’utilizzo di apparecchi di proprietà degli stessi, dalle modalità di collegamento con i propri sistemi informatici alla condivisione dei documenti e all’utilizzo di piattaforme in cloud. Temi complessi che si sono affrontati, data l’emergenza, con soluzioni a volte “tattiche” e che, se ora non indirizzati perseguendo soluzioni più “strutturate”, farebbero emergere vulnerabilità importanti dal punto di vista della sicurezza informatica, aprendo scenari di rischio in cui le minacce cyber potrebbero colpire con un alto tasso di probabilità e generando impatti altrettanto alti.

Assessment mirato, come condurlo?

Una best practice riconosciuta a livello internazionale, la “Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security” pubblicata dal NIST (National Institute of Standard Technology) e le recenti raccomandazioni pubblicate dall’ENISA in tema di mantenimento di un adeguato livello di sicurezza in uno scenario di smart working (“Tips for CyberSecurity when working from home), rappresentano un valido riferimento per condurre un Assessment, mirato a verificare il livello di maturità dei presidi di sicurezza – sia tecnologici che organizzativi – in essere, con l’obiettivo di rilevare le principali vulnerabilità – laddove emerse – e indirizzare le opportune azioni correttive.

Sempre all’interno del Comunicato Stampa sopra citato, Banca D’Italia prevede una proroga di 150 giorni per la trasmissione alla BCE della prima Relazione sulle risultanze dell’analisi dei rischi operativi e di sicurezza relativi ai servizi di pagamento (adempimento previsto in Circolare 285 il 30 aprile di ogni anno).

La nostra proposta

NIKE Group, forte della propria pluriennale esperienza maturata con primari clienti su ambiti di presidio dei Rischi ICT e Cyber e di gestione della Continuità Operativa, oltre che delle specifiche competenze presenti all’interno della propria Business Line Security & Innovation, si propone di affiancare le istituzioni finanziarie in questo particolare momento, con una concreta proposizione consulenziale che traguardi:

  • Una rivisitazione della valutazione degli impatti sul business (Business Impact Analysis) e una revisione del Piano di Continuità Operativa e delle relative procedure di gestione dell’emergenza, per ricomprendere lo specifico rischio di indisponibilità del personale essenziale in caso di pandemia;
  • Un’assessment, basato sulla sopra citata linea guida del NIST ed ENISA, per misurare il livello di rischio ICT e di sicurezza modificatosi con il ricorso massiccio allo “smart working”;
  • Un supporto nella predisposizione e nella stesura della Relazione sui Rischi Operativi e di sicurezza relativi ai servizi di pagamento, così come nel consueto processo, previsto dalla normativa di vigilanza (Cir. 285, Orientamenti EBA, etc.) di informativa annuale agli organi sociali sulla situazione del rischio informatico, che tenga conto anche dello scenario di rischio emerso nel corso del primo trimestre 2020.

 

Richiedici pure tutte le informazioni che desideri alla mail sales2@nikegroup.it oppure direttamente ai nostri specialisti alle mail cbrezigia@nikegroup.it / lcorciulo@nikegroup.it