CYBER RISK SOTTO CONTROLLO

Organizzazione e Personale, Processi, Metodologie, Dati e Sistemi (in ordine decrescente di criticità) sono le aree in cui sono emerse le principali carenze nella gestione dei rischi operativi, in particolare del rischio Cyber, il più recente e rilevante.

Partendo da questo contesto, Protiviti ha sviluppato una propria soluzione, che incorpora le competenze specialistiche e l’esperienza maturata negli anni lavorando a fianco di clienti che operano in settori fortemente esposti al rischio Cyber.

Obiettivo: superare i limiti tipici dei framework di gestione dei rischi operativi.

Capisaldi della soluzione: l’applicazione della metodologia F.A.I.R. (Factor Analysis of Information Risk) e lo sviluppo, in partnership con Hexe, di un software su piattaforma SAS (leader di mercato in ambito analytics, artificial intelligence e data management).

UNA RISPOSTA CHE COMBINA METODO E TECNOLOGIA

La soluzione proposta riflette la metodologia di Cyber Risk Assessment di Protiviti, che integra logiche di aggregazione ed elaborazione dei dati per quantificare i rischi di attacchi informatici, e può essere agevolmente adattata alle specificità ed esigenze delle diverse organizzazioni aziendali.

La soluzione si basa su due componenti (sintetizzate nel grafico in fondo a questo Insights):

• La metodologia F.A.I.R., che rende più efficace il monitoraggio degli indicatori e più puntuale il reporting (essenziale per rappresentare gli scenari di rischio e formulare strategie di recupero).
• Un’applicazione informatica sviluppata “ad hoc” in collaborazione con Hexe su piattaforma SAS, che - potendo gestire una significativa mole di dati complessi - abilita la Cyber Risk Quantification e la reportistica collegata. Il software proprietario è il risultato, oltre che delle competenze di Hexe, della conoscenza dell’Operational Risk (inclusi i Cyber Risk) e dell’esperienza nel settore dei servizi finanziari maturata da Protiviti a livello globale

I BENEFICI DELLA METODOLOGIA FAIR…

Sono due le sfide che la soluzione di Protiviti si prefigge di vincere:

• ricondurre l’analisi per asset a un’analisi organizzativa (tipica dell’Operational Risk);
• stimare le grandezze sottostanti e individuare la provenienza dei dati, per quantificare l’impatto finanziario medio e residuo dello specifico scenario di rischio.

La metodologia F.A.I.R., promossa da FAIR Institute, è lo standard internazionale per la valutazione del Cyber Risk, oltre che l’unico standard che applica tecniche di Value at Risk (VaR). L’applicazione di questa metodologia facilita l’analisi e l’assunzione di decisioni anche quando non sono disponibili sufficienti dati storici (condizione tipica nel caso del rischio Cyber).

Principio guida della metodologia è la scomposizione dei fattori di rischio in sotto-fattori a granularità crescente per ridurre l’incertezza nella stima dei valori di frequenza e impatto. Il risultato è una quantificazione più accurata e precisa, anche in termini di coefficienti di correzione mirati, in caso di mancanza di informazioni, distorsioni o uso di proxy.

… E DELLA PIATTAFORMA SAS

Protiviti, in partnership con Hexe, ha sviluppato la soluzione su piattaforma SAS, leader di mercato in ambito analytics, data management e intelligenza artificiale, e presente pressoché in tutte le strutture di risk management delle organizzazioni finanziarie.

La piattaforma permette di presidiare e quantificare il Cyber Risk. Nel dettaglio, consente di:

• identificare, estrarre e aggregare le informazioni rilevanti per ogni scenario (data source collection layer - IT & Security User);
• quantificare l’esposizione al Cyber Risk e identificare le azioni per mitigarlo (risk measurement and data calculation layer - Risk Management User);
• aggiornare rapidamente le analisi, automatizzando il consolidamento dei risultati e la predisposizione di reportistica e dashboard per il Top Management.

La piattaforma è facilmente integrabile nei sistemi della banca, richiede skill normalmente già presenti in azienda (senza quindi la necessità di creare nuovi poli di competenza) e non pone vincoli di lock-in verso il fornitore che ha sviluppato la soluzione.

Contribuisce altresì a razionalizzare il parco applicativo dell’organizzazione, in quanto non richiede una licenza per l’attivazione di ulteriori moduli SAS oltre a quella di prodotto.

Infine, è scalabile: è in via di realizzazione il modulo per la Gestione dei Rischi ICT e quello per la Gestione del Rischio Operativo.

CONCLUSIONI

Il framework di Protiviti fornisce ai responsabili delle funzioni coinvolte nella prevenzione e nell’analisi dei rischi (Risk, Compliance e Security Manager) una base omogenea d’informazioni, premessa per una corretta valutazione del rischio e un coordinamento degli interventi.

L’analisi dei dati consente di quantificare con buona approssimazione le perdite potenziali originate dal Cyber Risk e porre in atto strategie efficaci di mitigazione e gestione dei rischi.

Approccio olistico e flessibilità del framework permettono di rispondere alle domande chiave per assumere decisioni: i rischi sono correttamente valutati? Quali sono i rischi prioritari? Qual è il rapporto costi/benefici di un eventuale miglioramento dei presidi? Come evolverà lo scenario nel tempo?

***

Per saperne di più sulla metodologia Protiviti di Cyber Risk Quantification e sulla nuova soluzione, non esitare a contattare i nostri professionisti.

[1] Società di informatica specializzata nella progettazione e realizzazione di s­oluzioni su piattaforma SAS.