Cyber Risk Management
La connessione tra imprese e tra mercati rende i rischi cyber di gran lunga la principale classe di rischi (operativi, ma non solo …) alla quale sono esposti gli intermediari finanziari e le imprese.
Il G7 (il vertice dei ministri dell'economia delle 7 maggiori economie avanzate, nato 1975 (ma formalizzato nel 1986), formato da Canada, Francia, Germania, Italia, Giappone, Regno Unito e Stati Uniti d'America e partecipato anche dal rappresentante dell'UE e dal Presidente del FMI) ha recentemente emanato altri due documenti in tema di Cyber Resilience del settore finanziari che si aggiungono ai primi due emanati nel 2016 e nel 2017.
I documenti, la cui adozione non è obbligatoria, rappresentano un framework sufficientemente completo di indicazioni per assicurare la Cyber Resilience nel settore finanziario: la loro considerazione, a mio avviso, può risultare utile non solo per elevare la cultura del controllo e quella del rischio, ma anche per indirizzare lo sviluppo organizzativo di un qualsiasi intermediario e per ripartire i compiti di analisi e controllo interno tra le varie funzioni aziendali, in modo da assicurare la presenza di una pluralità di "team" che, pur lavorando in modo integrato, assicurino la massima presa su quello che sta emergendo come il principale rischio cui sono esposti gli intermediari finanziari.
La lettura dei 4 documenti è solo apparentemente facile: le implicazioni organizzative e culturali sono, infatti, molto ampie e di non immediata soluzione. È pertanto utile esplicitare e valorizzare, anche in termini formali, tutti i principi definiti in tali documenti al fine di dotare ogni intermediario finanziario di un utile strumento di crescita culturale e di mitigazione dei rischi cibernetici, e ciò sia in relazione ad eventuali ispezioni da parte delle Autorità di Vigilanza, sia per far fronte ai (purtroppo) inevitabili incidenti cyber che, come ben suggeriscono i documenti, devono rappresentare il corretto punto di partenza per inquadrare ogni azione a favore di un innalzamento della Cyber Resiliece.
I documenti, in ordine di data di rilascio, sono i seguenti:
- G7 Fundamental Elements of Cybersecurity for the Financial Sector (anche “G7FE”), al quale potete accedere direttamente dal sito della BCE cliccando qui;
- G7 Fundamental Elements for Effective Assessement of Cybersecurity in the Financial Sector (anche “G7EA”), al quale potete accedere direttamente dal sito del MEF cliccando qui;
- G7 Fundamental Elements for Threat-Led Penetration Testing (anche “G7-TLPT”), al quale potete accedere direttamente dal sito della Banca d’Italia cliccando qui;
- G7 Fundamental Elements for Third Party Cyber Risk Management in the Financial Sector (anche “G7TP”) al quale potete accedere direttamente dal sito della Banca d’Italia cliccando qui.