!css
13/04/2018

Che si riferisca a persone o a beni sia materiali che immateriali, il termine protezione racchiude in sé due concetti: l’essere protetto e il proteggere. Questa distinzione è importante, perché l’essere protetto è chiaramente una condizione transitoria: per essere protetti, infatti, è necessario adattarsi costantemente ai rischi predominanti. Tutto si muove e nulla sta fermo. Durante la crisi dei mutui sub-prime, molti banchieri e investitori pensavano che sarebbe stata la fine del mondo. Invece si è rivelata essere la fine del mondo per come lo conoscevano o per come lo potevano immaginare all’epoca.

Regolamentare per proteggere

La crisi ha agito da catalizzatore per le autorità di regolamentazione, che si sono sentite costrette a rendere i mercati più trasparenti, gli intermediari più responsabili e gli investitori più protetti attraverso una maggiore regolamentazione. È indubbio che la maggior parte di queste normative fosse necessaria, anche se si potrebbe sostenere che alcune fossero inappropriate o inefficaci. Ma una cosa è certa: non saranno sufficienti.

È impossibile che le autorità di regolamentazione riescano a tenere il passo della tecnologia, ma di certo possono svolgere un ruolo in termini di responsabilizzazione

Dara Khosrowshahi
DG de Uber, Davos 2017

Definire e valutare la protezione

Di conseguenza, gli investitori e gli intermediari dovrebbero interrogarsi sulle proprie scelte e rivalutare il livello di protezione offerto o, più precisamente, il livello di rischio che accettano consapevolmente di assumersi. Valutare la propria propensione al rischio e posizione rispetto agli altri non è cosa semplice: in testa, in coda o semplice aurea moderazione1 (o via di mezzo2)? Questo inciderà ovviamente sul livello di protezione accettato. Allo stesso modo occorre valutare i propri clienti e fornitori, il livello di protezione che questi offrono e il livello di fiducia che si ripone in essi. Per esempio, quando si seleziona una banca come partner di fiducia, è abitudine passarne in rassegna i servizi, la posizione relativa sul mercato, la struttura patrimoniale e la solidità globale.

Cambiamenti fondamentali

Ma quanto a fondo bisogna interrogarsi su questi aspetti? Dovrebbero essere rimessi in discussione alcuni elementi fondamentali, generalmente percepiti come immutabili? Per esempio, ci si dovrebbe spingere fino a rimettere in causa la fiducia riposta nella società civile basata sullo Stato, la costituzione e le leggi? La nascita di nuove tendenze sociali nella futura generazione di cittadini del mondo esperti di tecnologia è rafforzata dalla tecnologia Blockchain, che consente di creare fiducia all’interno di un gruppo senza la necessità di avere una parte terza fidata. Può una tecnologia modificare le fondamenta delle nostre organizzazioni e sradicare i sistemi nazionali? E se questa visione diventasse realtà, quando si arriverebbe al punto di svolta?

Cambiamenti incrementali

Oppure, dall’altro lato, è possibile che alcuni cambiamenti incrementali di fatto diventino elementi di svolta? La digitalizzazione avanza e le tecniche nello spazio digitale sono in evoluzione. La crescita dell’esternalizzazione e dell’avvalersi di risorse esterne, come il cloud o l’Anything-As-A-Service3, creano una forte dipendenza da fornitori terzi a cui sono affidati processi chiave e dati riservati. E con i fornitori che a loro volta dipendono da altri fornitori, questa interdipendenza può diventare un punto tanto di forza quanto di debolezza, se non gestita correttamente.

Impatto societario

Qualsiasi carenza di protezione può generare costi diretti a carico delle organizzazioni. E con l’esposizione mediatica, una carenza può trasformarsi in un rischio reputazionale maggiore. Per questo motivo i responsabili della comunicazione dovranno essere generalmente coinvolti nella gestione delle crisi, unitamente al management esecutivo, alle operazioni, all’IT, alle funzioni rischio, legale e compliance.

Responsabilità personale

Le autorità di regolamentazione concordano nel ritenere che la responsabilità sociale da sola non sia sufficiente e stanno introducendo sempre più la responsabilità personale per il management e le operazioni, arrivando talvolta persino alla responsabilità penale. Il messaggio è chiaro: quando ci si avvale di terzi, non si delega alcuna responsabilità.

Bilanciamento

A maggior ragione quando il fornitore terzo svolge una funzione aziendale critica che incide sugli investitori privati

Following on from system backups, Disaster Recovery and Business Continuity, the concept of resilience has emerged. Should a production facility and its staff become inoperative, the objective of resilience is to complete the activities of the day and resume at least 75% of activities by the next day. To reach such a level of continuity, at least three production centres are required with load balancing and extra manpower, or manpower that can be made available and operational overnight. When vital or essential activities are outsourced, they too must be operative within the same standards with different third party suppliers and the possibility to rapidly balance operations between them. Obviously third party suppliers need proper monitoring and supervision.

In August 2015, an operating system upgrade of Sungard Invest-One at BNY Mellon caused a corruption of data and back up generated errors in valuations of 1,200 funds for a week.

Difendere

Le parole chiave solitamente abbinate alla sicurezza delle informazioni sono autenticazione4, integrità5, riservatezza6, scalabilità7, tracciabilità8, disponibilità9 e talvolta completezza10. In ognuna di queste aree vi sono potenziali punti di debolezza legati alla conservazione o allo scambio di informazioni. L’aumento dello scambio di dati tra le reti rende la cybersicurezza una preoccupazione costante.

Il sistema di messaggistica più sicuro per l’industria bancaria, lo SWIFT, è stato utilizzato nel 2015 e 2016 per rubare centinaia di milioni di dollari dalla Banca Centrale del Bangladesh11.

Nell’Unione europea, la direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS)12, recepita nel diritto nazionale entro il 9 maggio 2018, mira a incrementare il livello globale di sicurezza. Similmente, il Regolamento generale sulla protezione dei dati dell’Unione europea (GDPR)13 è finalizzato a proteggere la riservatezza dei dati di tutti i cittadini dell’UE, conferire maggiore controllo alle persone fisiche sui dati personali che li riguardano e rimodellare le modalità con cui le organizzazioni della regione affrontano la questione della protezione dei dati.

Essere preparati

L’hacking è inevitabile. Gli hacker sono mossi principalmente dalla cupidigia, ma spesso anche dalla semplice eccitazione, dal desiderio di gloria o dalla “lotta per la causa”. Ecco perché è fondamentale immaginare degli scenari di hackeraggio, definire risposte a questi scenari e interpretarli per essere preparati ad affrontarli.

Prevenire con la cultura aziendale

Si stima che in quasi due casi su tre (63%)14, gli attacchi informatici siano riconducibili a dipendenti o consulenti delle società attaccate.

La prima ricetta contro i crimini informatici risiede dunque nella cultura aziendale.

L’ingegneria sociale rappresenta circa il 75% del toolkit di un hacker medio e arriva al 90% o più di quello degli hacker migliori

John McAfee
Founder of McAfee Associates

notes

(1) Theano (Pythagoras’ wife). (2) (Gautama) Buddha. (3) XaaS, for Data, Software, Storage, Platform, Infrastructure, Desktop – as a Service. (4) Authentication illustration: identity fraud, the most common fraud. Phishing is a type of reverse identity fraud where hackers pretend to be a company to retrieve sensitive information from its customers. (5) Integrity illustration: tempered or corrupted data. For instance, change of beneficiary owner of assets. (6) Confidentiality illustration: unauthorised data access or data theft. A social security number with a date of birth sells at over 10 euros on the darknet. (7) Scalability illustration: unability to cope with volume (sometimes included in availability). (8) Traceability illustration: capacity to monitor who has provided or changed information, like an audit trail. (9) Availability illustration: no or limited access to information. For instance, Denial Of Service (DOS) attacks aim to saturate a server and prevent access of other users. It is often used as a decoy and hide other simultaneous attacks. (10) Comprehensiveness illustration: dataset without erroneous or missing values. (11) en.wikipedia.org/wiki/2015%E2%80%932016_SWIFT_banking_hack.%20 (12) DIRECTIVE (EU) 2016/1148. (13) REGULATION (EU) 2016/679. (14) Source Deloitte Enjeux Cyber 2018.

Head of Strategic Marketing Societe Generale Securities Services
Ti è piaciuto questo articolo ?
+1
0