CYBER RISK SOTTO CONTROLLO
Protiviti propone una soluzione sviluppata in partnership con Hexe[1] e basata sulla metodologia F.A.I.R. (Factor Analysis of Information Risk)
Il bisogno di rafforzare presidi e strumenti per tenere sotto controllo il rischio Cyber è emerso con evidenza da un benchmarking tra 33 primarie banche internazionali, che Protiviti ha condotto utilizzando il modello Six Elements of Infrastructure® per la valutazione delle sei componenti del sistema di gestione del rischio aziendale. Tale modello è conforme ai Princìpi del Basel Committee on Banking Supervision (BCBS), che richiedono di prendere in considerazione strategia e obiettivi dell’azienda, visione, missione, valori e cultura del rischio.
Organizzazione e Personale, Processi, Metodologie, Dati e Sistemi (in ordine decrescente di criticità) sono le aree in cui sono emerse le principali carenze nella gestione dei rischi operativi, in particolare del rischio Cyber, il più recente e rilevante.
Partendo da questo contesto, Protiviti ha sviluppato una propria soluzione, che incorpora le competenze specialistiche e l’esperienza maturata negli anni lavorando a fianco di clienti che operano in settori fortemente esposti al rischio Cyber.
Obiettivo: superare i limiti tipici dei framework di gestione dei rischi operativi.
Capisaldi della soluzione: l’applicazione della metodologia F.A.I.R. (Factor Analysis of Information Risk) e lo sviluppo, in partnership con Hexe, di un software su piattaforma SAS (leader di mercato in ambito analytics, artificial intelligence e data management).
UNA RISPOSTA CHE COMBINA METODO E TECNOLOGIA
La soluzione proposta riflette la metodologia di Cyber Risk Assessment di Protiviti, che integra logiche di aggregazione ed elaborazione dei dati per quantificare i rischi di attacchi informatici, e può essere agevolmente adattata alle specificità ed esigenze delle diverse organizzazioni aziendali.
La soluzione si basa su due componenti (sintetizzate nel grafico in fondo a questo Insights):
- La metodologia F.A.I.R., che rende più efficace il monitoraggio degli indicatori e più puntuale il reporting (essenziale per rappresentare gli scenari di rischio e formulare strategie di recupero).
- Un’applicazione informatica sviluppata “ad hoc” in collaborazione con Hexe su piattaforma SAS, che - potendo gestire una significativa mole di dati complessi - abilita la Cyber Risk Quantification e la reportistica collegata. Il software proprietario è il risultato, oltre che delle competenze di Hexe, della conoscenza dell’Operational Risk (inclusi i Cyber Risk) e dell’esperienza nel settore dei servizi finanziari maturata da Protiviti a livello globale
I BENEFICI DELLA METODOLOGIA FAIR…
Sono due le sfide che la soluzione di Protiviti si prefigge di vincere:
- ricondurre l’analisi per asset a un’analisi organizzativa (tipica dell’Operational Risk);
- stimare le grandezze sottostanti e individuare la provenienza dei dati, per quantificare l’impatto finanziario medio e residuo dello specifico scenario di rischio.
La metodologia F.A.I.R., promossa da FAIR Institute, è lo standard internazionale per la valutazione del Cyber Risk, oltre che l’unico standard che applica tecniche di Value at Risk (VaR). L’applicazione di questa metodologia facilita l’analisi e l’assunzione di decisioni anche quando non sono disponibili sufficienti dati storici (condizione tipica nel caso del rischio Cyber).
Principio guida della metodologia è la scomposizione dei fattori di rischio in sotto-fattori a granularità crescente per ridurre l’incertezza nella stima dei valori di frequenza e impatto. Il risultato è una quantificazione più accurata e precisa, anche in termini di coefficienti di correzione mirati, in caso di mancanza di informazioni, distorsioni o uso di proxy.
… E DELLA PIATTAFORMA SAS
Protiviti, in partnership con Hexe, ha sviluppato la soluzione su piattaforma SAS, leader di mercato in ambito analytics, data management e intelligenza artificiale, e presente pressoché in tutte le strutture di risk management delle organizzazioni finanziarie.
La piattaforma permette di presidiare e quantificare il Cyber Risk. Nel dettaglio, consente di:
- identificare, estrarre e aggregare le informazioni rilevanti per ogni scenario (data source collection layer - IT & Security User);
- quantificare l’esposizione al Cyber Risk e identificare le azioni per mitigarlo (risk measurement and data calculation layer - Risk Management User);
- aggiornare rapidamente le analisi, automatizzando il consolidamento dei risultati e la predisposizione di reportistica e dashboard per il Top Management.
La piattaforma è facilmente integrabile nei sistemi della banca, richiede skill normalmente già presenti in azienda (senza quindi la necessità di creare nuovi poli di competenza) e non pone vincoli di lock-in verso il fornitore che ha sviluppato la soluzione.
Contribuisce altresì a razionalizzare il parco applicativo dell’organizzazione, in quanto non richiede una licenza per l’attivazione di ulteriori moduli SAS oltre a quella di prodotto.
Infine, è scalabile: è in via di realizzazione il modulo per la Gestione dei Rischi ICT e quello per la Gestione del Rischio Operativo.
CONCLUSIONI
Il framework di Protiviti fornisce ai responsabili delle funzioni coinvolte nella prevenzione e nell’analisi dei rischi (Risk, Compliance e Security Manager) una base omogenea d’informazioni, premessa per una corretta valutazione del rischio e un coordinamento degli interventi.
L’analisi dei dati consente di quantificare con buona approssimazione le perdite potenziali originate dal Cyber Risk e porre in atto strategie efficaci di mitigazione e gestione dei rischi.
Approccio olistico e flessibilità del framework permettono di rispondere alle domande chiave per assumere decisioni: i rischi sono correttamente valutati? Quali sono i rischi prioritari? Qual è il rapporto costi/benefici di un eventuale miglioramento dei presidi? Come evolverà lo scenario nel tempo?
***
Per saperne di più sulla metodologia Protiviti di Cyber Risk Quantification e sulla nuova soluzione, non esitare a contattare i nostri professionisti.
