Intervista ad Alberto Borgonovo, Chief Information Security Officer in Gruppo Mediobanca
TIG. Lo scorso febbraio è stato presentato il Framework Nazionale per la Cyber Security, un’architettura logica di riferimento e una guida per incrementare il livello di cybersecurity nelle PMI, con raccomandazioni anche per il Top Management di grandi aziende e infrastrutture critiche su come organizzare processi di Cybersecurity Risk Management.
Quali vantaggi vedete associati all’adozione del nuovo Framework nazionale da parte delle aziende italiane?
Alberto Borgonovo. Innanzitutto si nota una differenza importante tra il nuovo Framework nazionale italiano e quello sviluppato dal NIST americano, ossia il fatto che siano state approfondite nel documento non solo le linee guida generali ma anche suggerimenti concreti sull’approccio da adottare per l’applicazione e la contestualizzazione del framework all’interno delle aziende. In generale, ritengo che l’adozione di un Framework comporta diversi vantaggi per un’azienda: l’utilizzo di un linguaggio comune permette di disporre di metriche utili a confrontare i livelli di maturità raggiunti nei diversi ambiti, ad effettuare valutazioni sulle Terze Parti oppure ancora a definire indicatori di adeguatezza delle misure di sicurezza adottate. Inoltre è molto interessante il fatto che il Framework nazionale abbia sottolineato la necessità di adottare un approccio di tipo risk-based prioritizzando gli ambiti di intervento e abbia fornito raccomandazioni anche in merito ad aspetti di natura organizzativa, tematiche già affrontate all’interno del Gruppo Mediobanca.
TIG. Considerando nello specifico il settore bancario, quali indicazioni possono venire dal Framework?
Alberto Borgonovo. Il settore bancario è ampiamente regolato e su questi aspetti molte indicazioni sono arrivate gli scorsi anni dalla Circolare 263 di Banca d’Italia, oggi 285, per cui in realtà molti dei requisiti suggeriti dal Framework nel nostro settore sono imposti dalle norme. E’ importante capire però fino a quale profondità sono adottate queste indicazioni: gli standard si posizionano generalmente a un livello alto e la declinazione delle linee guida in misure di sicurezza è demandata alle singole aziende. E’ sicuramente di interesse l’approccio evoluto descritto nel framework per il quale il processo di gestione del Cyber Risk è continuativo e prevede un monitoraggio costante dei rischi.
TIG. Quali problematiche incontrate oggi nell’adozione di questi standard, framework e norme legate al cyber risk management?
Alberto Borgonovo. Un fattore critico di successo è sicuramente la possibilità di coinvolgere l’Alta Direzione dell’azienda. E’ sempre molto difficile riuscire a far percepire correttamente i rischi informatici parlando un linguaggio che non sia tecnico e contestualizzando il rischio in termini di Business. Le logiche a cui l’Alta Direzione è spesso abituata, ad esempio quelle relative alla valutazione dei rischi operativi, possono differire da quelle con cui è determinato il rischio informatico o Cyber Risk. Inoltre la quantificazione in termini economici delle perdite (non solo in riferimento a danni di natura economica ma anche reputazionale, legale, ecc) correlate a rischi informatici è spesso una pratica complessa da applicare.
TIG. Quali raccomandazioni darebbe a chi si sta indirizzando oggi all’adozione di un Framework di cyber risk management come quello che è stato proposto a livello nazionale?
Alberto Borgonovo. Per il successo di un’iniziativa di questo tipo è molto importante che essa non venga trattata come una tematica prettamente relativa all’IT. E’ fondamentale il coinvolgimento del Business, in quanto i driver necessari per l’indirizzamento adeguato delle misure di sicurezza devono essere definiti con il supporto degli owner del patrimonio informativo da proteggere. E’ importante diffondere una sensibilità sul tema all’interno di tutta l’azienda e cercare di comprendere il livello di consapevolezza in merito ai rischi. Gli standard sono utili se contestualizzati e calati nel contesto della singola realtà. I rischi differiscono in relazione alla tipologia di Business, e proprio per tale motivo l’adozione di un approccio risk-based è la chiave corretta per affrontare queste tematiche. Ad esempio nell’ambito del nostro Gruppo, considerando le differenti tipologie di Business erogate, le società che erogano servizi a clientela di tipo “retail” sono esposte a rischi differenti rispetto a quelle che hanno come core business il Corporate Investment Banking e pertanto l’applicazione delle misure di protezione deve essere differenziata e adeguata al contesto di riferimento. Infine, un elemento molto importante è che la sicurezza sia garantita lungo tutta la catena del valore: è necessario verificare che anche i principali fornitori abbiano implementato un adeguato livello di protezione qualora sussistano rischi per gli asset aziendali. Chi avrà questa attenzione potrà in futuro garantire un maggiore valore ai propri clienti.
Intervista a cura di: Elena Vaciago
Associate Research Manager, The Innovation Group