Questo giornale online ha riportato la notizia dell’avvenuta emanazione del documento intitolato: “G7 Fundamental elements of cybersecurity for the financial sector”.
Desidero, qui di seguito, brevemente fornire un mio commento, augurandomi di aprire un contradditorio con altri specialisti in materia.
Innanzitutto, prima di esporre la mia opinione, ricapitolo gli 8 elementi ivi descritti e che rappresentano i componenti elementari (“building blocks”) sui quali una entità finanziaria può progettare e costruire la sua strategia di sicurezza cyber, nonché l’ambiente operativo:
Element 1: Cybersecurity Strategy and Framework
Una strategia commisurata ai rischi e aggiornata continuamente in base agli standard, regolamenti, linee guida.
Element 2: Governance
Definire ruoli e responsabilità e supportare adeguatamente il sistema realizzato.
Element 3: Risk and Control Assessment
Assegnare le corrette priorità ai processi, prodotti e servizi in base alla loro criticità; proteggerli e gestirli rispettando il livello di risk tolerance fissato dalle Autorità.
Element 4: Monitoring
Stabilire processi per il monitoraggio sistematico, e periodicamente verificare l’efficacia dei controlli.
Element 5: Response
Gestire l’eventuale incidente, inclusa la comunicazione alle parti interessate.
Element 6: Recovery
Ripristinare l’operatività tenendo conto delle priorità fissate dalle Autorità.
Element 7: Information Sharing
Impegnarsi in un tempestivo scambio di informazioni con stakeholder interni ed esterni.
Element 8: Continuous Learning
Riesaminare regolarmente la strategia e la struttura dedicata alla cybersecurity. Tenere presente l’importanza del continuo apprendimento e miglioramento.
E, per concludere, nelle ultime righe i G7 (Canada, Francia, Germania, Italia, Giappone, Regno Unito, e USA) si raccomandano di avere in mente che tutto cambia, tutto muta; pertanto, anche la cybersecurity richiede continue verifiche e adattamenti ai nuovi scenari.
Mi si consentano alcune considerazioni:
- Chi è certificato alla ISO 27001 (e direi anche alla ISO 22301) ben conosce il contenuto di quanto è riportato nel documento in oggetto. Nulla di nuovo.
- Le grandi banche italiane già affrontano in modo olistico la sicurezza: il cybercrime è una delle possibili minacce.
- Le banche italiane sono già allineate a questi principi elementari sin dai tempi delle prime linee guida della Banca d’Italia (luglio 2004).
- La Banca d’Italia ha già emanato diversi aggiornamenti (se non erro, l’ultimo lo scorso luglio) proprio per tenere conto della necessaria evoluzione nel sistema dei controlli, vuoi nei rispetti della protezione del Sistema Informativo, vuoi della Continuità Operativa.
- Non credo che le grandi realtà finanziarie europee siano in una differente situazione.
- La normativa di vigilanza prudenziale è obbligatoria per le realtà di interesse sistemico.
- Nel documento del G7 è scritto a chiare lettere che “…the below non-binding, high level fundamental elements…”: ossia, traduco, quanto scritto non è vincolante! Fondamentale, ma non vincolante!
Allora domando: a chi è diretto questo documento?
Trattasi di un passo indietro o nasconde qualcosa d’altro?
Provo a fare delle ipotesi:
- E’ un messaggio nascosto, ma non troppo, a tutto il sistema finanziario occidentale: se non siete già certificati agli standard internazionali, preparatevi ad esserlo in un tempo ragionevole. La prossima volta che scriviamo, il “non” davanti a “binding” sarà scomparso.
- E’ una tiratina d’orecchi: a causa della recessione vi siete distratti… Attenzione! Il pericolo è serio!
- E’ un messaggio alle piccole e medie realtà finanziarie: provvedete a proteggere voi, i clienti ed il sistema finanziario. Certificatevi anche voi.
- E’ un messaggio alle banche perché pongano maggiore attenzione alla filiera produttiva, la supply chain: è da lì che il pericolo può arrivare e colpirvi.
- Non è nulla di tutto ciò (ad esempio: E’ un memorandum, tanto per dire che il tema cybersecurity è stato trattato).
Caro Lettore, tu, quale voteresti di queste ipotesi?
Io per le prime quattro.
Anthony Cecil Wright