Resilienza digitale e governance, la risposta di Augeos alle nuove normative europee che rivoluzionano il settore finance e strategico
Nell’era del digitale, la resilienza operativa e la sicurezza informatica sono in cima alle agende aziendali, soprattutto in settori ad alta priorità come la finanza e i servizi critici. L’Unione Europea ha affrontato questa sfida introducendo due atti legislativi: il Digital Operational Resilience Act (DORA) e la direttiva NIS2. Queste norme prevedono grandi aspettative da parte delle organizzazioni per quanto riguarda la resistenza, la risposta e il recupero dagli attacchi informatici.
Ma la domanda che ci si deve porre è quando sia sufficiente utilizzare strumenti tradizionali come fogli di calcolo Excel e policy aziendali per affrontare questi requisiti normativi avanzati? In un ambiente in cui le minacce informatiche sono in continua evoluzione e la digitalizzazione procede a un ritmo crescente, diventa fondamentale verificare se tali strumenti possano ancora garantire resilienza operativa e una buona sicurezza dei dati.
Come ci spiega Claudio Ruffini, Presidente di Augeos, sono due gli elementi su cui conviene soffermarsi quando si parla di DORA e NIS2: governance e resilienza. “Nel merito della governance, il riferimento è sulla necessità di esercitare un controllo su determinati scenari di rischio. La domanda è se sia possibile esercitare tale controllo, nella Corporate Governance, con il solo uso di estrazione dei dati e strumenti Office quali Word, report, pdf e fogli Excel?”. Il secondo punto, quello della resilienza informatica, ha a che fare con la capacità dell’azienda di resistere alle avversità. “I rischi cyber e, più in generale, quelli informatici, possono essere considerati alla stregua di altri imprevisti: le aziende del settore Finance devono dimostrare di essere pronte ad affrontarli e a reagire tempestivamente per garantire la continuità operativa” continua Ruffini.
L’obiettivo della normativa è chiaro: cercare di migliorare la resilienza delle aziende rispetto ai rischi, soprattutto quelle del Finance soggette alla normaitva DORA o quelle di altri settori soggette alla normativa NIS2 per migliorare la sicurezza del sistema-paese ed europea. “Esiste una ricetta o metodologia per rafforzare la resilienza?” La risposta, per Augeos, è “si”.
Lo stesso legislatore suggerisce una strada, riconoscendo la validità del framework NIST 2.0. “La normativa Dora si ispira al framework NIST 2.0, questo permette di attingere ad esperienze di mercati maturi”. Nello specifico, è l’articolo 4 del DORA a tirare in ballo la governance, con i principali adempimenti e le responsabilità in caso di un eventuale danno derivante da un attacco cyber. Occorre definire ruoli e responsabilità dei vari soggetti che intervengono nel processo di Risk Management, che si prendano in carico tutta o in parte la gestione del rischio.
“C’è da dire che la risk governance prevede la raccolta di diverse informazioni, dai processi agli asset, dai controlli agli incidenti accaduti, da parte di altre funzioni aziendali. È proprio in questo contesto che spesso si ricorre a una prassi ancora diffusa: l’utilizzo di strumenti tradizionali, non espressamente progettati per la gestione del rischio, per la costruzione dei dataset. “Nell’articolo 7 del DORA è ben evidenziato come ai fini dei paragrafi precedenti le entità finanziarie debbano avere una serie di archivi con informazioni relative alla gestione del rischio, aggiornate, tempestivamente controllate, certificate. Bisogna, insomma, mantenere un sistema informativo al passo con i tempi”.
La soluzione di Augeos
Il tema è chiarificatore di come, all’aumento della complessità, un’azienda debba utilizzare piattaforme specializzate e dedicate. “Giustamente, la norma definisce anche il principio di proporzionalità: ossia la legge non è uguale per tutti ma cambia a seconda di esigenze, dimensioni e complessità delle attività dell’entità finanziaria. La scelta migliore è quella di implementare i requisiti dei controlli proporzionali secondo un approccio progressivo, valutato insieme agli esperti”. Per tale motivo, Augeos ha sviluppato un sistema capace di dare ai clienti un supporto software per migliorare la governance dei rischi non finanziari. La società nasce nel 2005 da un’idea di Claudio Ruffini e Carlo Cugusi, con lo scopo di mettere a frutto un know-how di oltre 20 anni nel settore finance.
Come ci ricorda Ruffini, il mondo del rischio può essere diviso in tre categorie: rischio di mercato, rischio di credito e non finanziario (operativo, di compliance, informatico, di terze parti, ecc). Su quest’ultima categoria si sono concentrati sempre più negli anni gli organi preposti, consci della difficoltà ma nel contempo della necessità di normare ambiti differenti tra loro, come appunto il cyber-risk e i rischi operativi. “Sui non financial risk siamo presenti con offerte verticali. Da qualche anno, abbiamo affiancato alla parte software anche un ufficio di consulenza, sull’onda dell’esigenza crescente di avere un supporto dedicato, di advisoring, per aiutare le realtà soggette alle normative a essere adempienti. C’è stata inoltre negli ultimi mesi un’ulteriore accelerazione dopo che la Banca d’Italia ha chiesto a tutti i soggetti aderenti al DORA di effettuare segnalazioni specifiche sul ROI (registro delle informazioni). Questo ha obbligato molti soggetti a comunicare all’istituto elementi che ricadono proprio nell’ambito del non financial risk, come i servizi esternalizzati, i contratti in essere e molto altro”.
Migliorare la filiera
Il contesto normativo pone una particolare attenzione sull’intera filiera del Finance, con l’intento di rafforzarla e aumentare la resilienza di sistema. “Per essere credibili in un mercato così sfidante, credo che sia un fattore non trascurabile l’essere un soggetto italiano, europeo, in grado di fornire servizi anche SaaS, che risiedono in UE. Una qualità importante in un periodo in cui urge la necessità di aumentare la competenza europea dei fornitori, in un quadro politico ed economico di generale cambiamento”.
Ecco allora GRC 4, una suite di prodotti per le funzioni di controllo. Al suo interno, Risk Shelter dedicato al moderno ORM, A.IT Risk dedicato ai rischi informatici e cyber e Normageos dedicato ai rischi di compliance. In maniera trasversale il GRC RED, che crea una executive dashboard per il vero e proprio controllo integrato di tutti i non financial risk. “Collegato a questi prodotti, il tema dell’advisor, che ci permette di fare formazione, consulenza. Il tutto nell’ottica di fornire un servizio completo, a 360 gradi”.
