Focus sugli asset IT. Sicurezza e protezione dei dati in primo piano con Risk Shelter e AIT Risk, la piattaforma e la soluzione Augeos per la gestione completa dei rischi operativi e il monitoraggio continuo nei processi più critici dell’organizzazione
Banca d’Alba banca di credito cooperativo, ha scelto le soluzioni Risk Shelter e AIT Risk di Augeos per proteggere dai rischi operativi e informatici la propria infrastruttura di sicurezza. Il Gruppo, attivo in sette province tra Piemonte e Liguria, conta 73 filiali, 470 dipendenti e oltre 55mila soci. La prima Bcc in termini di numero di soci. «La nostra clientela di riferimento è principalmente retail e PMI. Siamo ormai a 9,2 miliardi di volumi e un patrimonio di 320 milioni di euro» – afferma Alessandro Di Giammaria, chief risk officer di Banca d’Alba. «In questo momento, stiamo continuando a raccogliere gli incrementi di operatività da parte della clientela, senza tralasciare comunque le opportunità che il business bancario ci sta aprendo». Per il prossimo futuro, nell’ambito della riforma del credito cooperativo, «abbiamo deciso di far parte del gruppo ICCREA, in fase costituenda, che sarà attivo dal primo gennaio 2019» – ci spiega Laura Ibba, responsabile organizzazione e sicurezza informatica di Banca d’Alba. «Ciò comporterà il mantenimento dell’autonomia per le banche, con un coordinamento a livello di gruppo che ci collocherà a seconda degli indicatori, come terzo o quarto gruppo bancario a livello nazionale».
Un rapporto consolidato con Augeos
Il primo contatto con la suite GRC di Augeos risale al 2012 con l’adozione del modulo Risk Shelter, dedicato al censimento degli eventi di perdita connessi ai rischi operativi. «Si tratta di uno dei rischi cosiddetti di primo pilastro secondo la normativa di vigilanza di Basilea, ovverosia quei rischi che determinano un assorbimento patrimoniale per la banca e che, come tali, necessitano di essere periodicamente quantificati e sottoposti a sorveglianza. Le principali fonti che generano questa tipologia di rischi sono riconducibili tipicamente al manifestarsi di eventi sia esterni alla banca come per esempio le frodi sia interni come gli errori operativi commessi dal personale dipendente» – riprende Di Giammaria. Nell’ambito dei rischi operativi, rientrano anche per definizione i rischi legali, derivanti cioè dalla mancata conformità alla normativa applicabile, della vigilanza bancaria piuttosto che della Consob. «Negli ultimi anni, i rischi operativi si sono arricchiti anche della nuova categoria dei rischi di tipo informatico – oggi – particolarmente attenzionati per via dei numerosi attacchi cyber a cui abbiamo assistito. La raccolta degli eventi di perdita, nel medesimo anno, veniva sollecitata dall’Autorità di vigilanza (Banca d’Italia) al fine di integrare le metodologie semplificate di calcolo del requisito patrimoniale a copertura del summenzionato rischio di primo pilastro Basilea» – osserva Di Giammaria.
Risk Shelter si integra con il cruscotto ACM di raccolta dei reclami avanzati dai clienti della banca. «Un modulo di cui siamo stati i committenti ad Augeos, curato dal Servizio Compliance dal quale eredita i principali attributi del reclamo (natura, soggetto richiedente, comparto del reclamo, importo petitum) e ne determina il censimento automatico come evento di perdita, assicurandone l’aggiornamento automatico durante l’intero periodo di composizione» – spiega Di Giammaria. In seguito, la revisione del sistema dei controlli interni a opera della normativa di vigilanza prudenziale (15mo aggiornamento della Circolare 263 di Banca d’Italia, 2013) ha ampliato gli ambiti di verifica delle funzioni aziendali preposte ai controlli di secondo livello (risk management, antiriciclaggio e compliance), rendendo necessaria la predisposizione di una relazione annuale sugli esiti delle verifiche condotte in corso d’esercizio, da sottoporre a delibera del Consiglio di Amministrazione e, quindi, inviare all’Autorità di vigilanza. «Parte così nel 2014 un progetto in stretta collaborazione con Augeos promosso dal Servizio Risk Management della banca, volto a realizzare l’ulteriore modulo del cruscotto RED – Risk Executive Dashboard – preposto alla pianificazione delle verifiche ordinarie e alla tracciatura di quelle straordinarie espletate in corso d’anno, nonché alla storicizzazione delle relative risultanze documentali» – illustra Di Giammaria. «Inizialmente sviluppato per le esigenze del Servizio Risk Management, RED è oggi usato da tutte le funzioni di controllo interno della Banca (Compliance, AML, Audit)».
L’impatto del GDPR mediato da AIT Risk
L’ultimo arrivato, il modulo GDPR di Augeos, integra su un sistema risk based già esistente il nuovo modello di governo della privacy, anch’esso impostato su un approccio di tipo risk based. Rischio informatico su cui si innestano le prescrizioni fissate dal regolamento europeo. «Qui si interseca la normativa che siamo obbligati a rispettare per presidiare il rischio informatico e tutto il nuovo impianto regolamentare di protezione dei dati conseguente al GDPR, strettamente collegato ai dati salvati sui sistemi informatici» – conferma Ibba. «Sempre di più integrati. Per questo abbiamo valutato di adottare in contemporanea anche il modulo AIT Risk. Che da un lato ci consente di avere un presidio più puntuale – rispetto a quello che facevamo prima – di tutte le risorse informatiche su cui si possono salvare i dati che dobbiamo proteggere. E sul quale poi andiamo a valutare i rischi informatici fino al fermo macchina, a seguito di incidenti informatici – oggetto anche di segnalazione presso Banca d’Italia quando sono particolarmente gravi».
Valutazione e impatto del rischio
AIT Risk utilizza un framework proprietario conforme con la disciplina contenuta nella circolare 285 di Banca d’Italia e compatibile con COBIT 5, ISO27001 e Basilea. «Adottare il modulo GDPR di Augeos ha rappresentato per noi un’importante opportunità. Oltre alla creazione e gestione attraverso l’applicativo del registro dei trattamenti, si è riusciti infatti a integrare sulla stessa piattaforma la gestione dei rischi di privacy, mettendo a fattor comune i processi sottostanti il già esistente GRC, i sistemi di monitoraggio e reporting, le strutture coinvolte, il sistema di reporting, il modello delle azioni di mitigazione, i modelli di valutazione degli impatti di rischio» – spiega Ibba. In questo momento, Banca d’Alba si trova nella fase di installazione dei moduli nella versione di test e di importazione dei dati. «Con una pressione decisamente importante in termini di tempo per quanto riguarda tutto il modulo del GDPR» – riconosce Ibba. «A partire dal registro dei trattamenti, ma cercando di portare avanti il censimento delle risorse informatiche e la valutazione del rischio informatico». Le fasi successive sono quelle previste dal regolamento. «Abbiamo completato l’impianto del registro dei trattamenti e quello sulla procedura. Stiamo quindi lavorando – prosegue Ibba – sulla parte di valutazione/impatto del rischio sui dati personali, per poi proseguire con tutta la parte che riguarda la notifica degli incidenti sui dati e la tutela dei diritti degli interessati, quali il diritto all’oblio, il diritto alla cancellazione dei dati, il diritto alla portabilità. Una precisazione su questo tema. Noi stiamo lavorando sui dati interni alla banca residenti sui nostri server. Quindi tutti gli applicativi collaterali al sistema informatico gestionale di filiale, che è gestito in outsourcing da un centro servizi informatici dedicato alle Banche sia di credito cooperativo sia commerciali».
I benefici della soluzione
«Il cruscotto proposto da Augeos si presenta come una soluzione integrata e non standardizzata, flessibile e adattabile alle esigenze specifiche della banca» – ci dice Di Giammaria. «La possibilità di una gestione simultanea della piattaforma da parte di più utenti, censiti e autorizzati a sistema, consente anche l’interscambio di evidenze di controllo e task operativi con altre funzioni aziendali, assicurando il monitoraggio puntuale del rispetto delle tempistiche di evasione delle attività assegnate. La piattaforma inoltre si presta ad analisi di sintesi attraverso la costruzione di key risk indicator e alla generazione di report semi-automatici, attraverso le funzionalità di export, lista attività e relativi esiti in documenti di testo (pdf, word) o in tabelle Excel».