Come più volte ho ricordato sia su questa testata, sia in altri articoli, il mondo della continuità operativa e della cyber security trova ampio spazio di trattazione e regolamentazione nell’ambito finanziario. Il Regolamento DORA rappresenta, in questo senso, l’ultimo dei tasselli normativi.
Le motivazioni sono immediatamente comprensibili a tutti; si tratta di un settore nel quale le probabilità di essere oggetto di un attacco da parte di qualche malintenzionato sono rilevanti, in conseguenza di quello che è il particolare “prodotto” trattato.
In considerazione, inoltre, del ruolo assolutamente strategico che tale settore riveste, il legislatore (o meglio, i vari legislatori coinvolti) sono molto attivi nel produrre normative che vincolano gli istituti finanziari.
Tali normative hanno la finalità di garantire un alto livello di sicurezza e una elevata capacità di resilienza rispetto a qualunque tipologia di attacco o, più in generale, di evento che possa minacciare la stabilità e la capacità di operare delle banche.
Resilienza, contro gli attacchi informatici: linee guida per le aziende
Indice degli argomenti
Resilienza operativa: definizioni e quadro normativo
Tuttavia, le indicazioni elaborate per il settore finanziario, spesso anche molto pratiche e dettagliate, costituiscono un ottimo esempio di buone pratiche di cui possono beneficiare anche gli altri settori che hanno caratteristiche analoghe ed in particolare tutte le organizzazioni che erogano servizi.
Costituiscono, in ogni caso, anche un buon punto di partenza per le aziende manifatturiere, che dovranno ovviamente integrare le indicazioni fornite con quanto serva a gestire gli aspetti produttivi.
Il tema della resilienza è già stato da me affrontato in precedenti articoli, a partire dall’articolo Resilienza, contro gli attacchi informatici: linee guida per le aziende.
Ho trattato successivamente più volte del tema della continuità operativa e dei limiti degli approcci tradizionali sia nella valutazione della criticità dei processi (e della successiva definizione dei tempi di ripristino), sia delle soluzioni messe in atto, ad esempio, per garantire la continuità dei sistemi informativi.
Da ultimo, nell’agosto di quest’anno, in occasione della presentazione di quello che dovrebbe essere il testo ufficiale del regolamento DORA (Digital Operational Resilience Act) ne davo un’anteprima nell’articolo Regolamento DORA: così l’Europa garantirà la resilienza operativa digitale per il settore finanziario.
DORA costituisce un interessante esempio di normativa dedicata alle istituzioni finanziarie già estesa nativamente ad altri ambiti, visto che coinvolge direttamente anche il mondo dei relativi fornitori (al riguardo si stima che siano convolte nel rispetto della normativa oltre 20 mila organizzazioni).
Come sopra evidenziato DORA è solo una delle norme che recentemente hanno affrontato il tema della resilienza.
La definizione di resilienza nelle normative vigenti
Non è possibile affrontare in questo articolo un’analisi nemmeno sommaria del contenuto delle altre normative, ma si rimanda il lettore alla loro diretta consultazione secondo la finalità precedentemente espressa di trarne indicazioni per l’implementazione di soluzioni nella propria realtà.
Mi limito quindi nel seguito a riportare la definizione che di resilienza danno alcune di queste normative.
- Bank for International Settlements and International Organization of Securities Commissions: Guidance on cyber resilience for financial market infrastructures. The ability of an FMI to: (i) maintain essential operational capabilities under adverse conditions or stress, even if in a degraded or debilitated state; and (ii) recover to effective operational capability in a time frame consistent with the provision of critical economic services.
- BCBS: Principles for Operational Resilience. Operational resilience as the ability of a bank to deliver critical operations through disruption. This ability enables a bank to identify and protect itself from threats and potential failures, respond and adapt to, as well as recover and learn from disruptive events in order to minimise their impact on the delivery of critical operations through disruption. In considering its operational resilience, a bank should assume that disruptions will occur, and take into account its overall risk appetite and tolerance for disruption. In the context of operational resilience, the Committee defines tolerance for disruption as the level of disruption from any type of operational risk a bank is willing to accept given a range of severe but plausible scenarios.
- UK Prudential Regulation Authority. “…the ability of firms and the financial sector as a whole to prevent, adapt, respond to, recover, and learn from operational disruptions. The PRA’s proposed approach to operational resilience is based on the assumption that, from time to time, disruptions will occur which will prevent firms from operating as usual and see them unable to provide their services for a period. The PRA considers that many firms currently may not sufficiently plan on the basis that disruptions will occur and are therefore not ready to manage effectively when they do”.
- US: Sound Practices to Strengthen Operational Resilience. “…the ability to deliver operations, including critical operations and core business lines, through a disruption from any hazard. It is the outcome of effective operational risk management combined with sufficient financial and operational resources to prepare, adapt, withstand, and recover from disruptions”.
Lo standard ISO per la resilienza delle organizzazioni
Non solo nelle normative è possibile trovare qualche spunto, ma anche ISO propone uno specifico standard sul tema e qui riporto la definizione di resilienza tratta dalla ISO 22316:2017 Security and resilience — Organizational resilience — Principles and attributes:
Organizational resilience is the ability of an organization to absorb and adapt in a changing environment to enable it to deliver its objectives and to survive and prosper.
Non mi dilungo su questo standard, ma vi invito alla sua diretta consultazione.
Infatti, analogamente alla ISO 22301: 2019 Security and resilience — Business continuity management systems — Requirements, anche questo standard è liberamente consultabile sul sito dell’ISO nella sua interezza.
Indicazioni valide per tutte le organizzazioni che erogano servizi
Al di là delle definizioni, cosa si intende per resilienza?
Un esempio pratico e facile ci viene dal mondo dell’ICT che da moltissimi anni ha introdotto, utilizzando altri termini, il concetto di resilienza nella predisposizione dei sistemi informativi delle organizzazioni più critiche.
La resilienza viene implementata mediante la ridondanza dei componenti del sistema a tutti livelli: dai componenti dei singoli server, con duplicazioni di alimentatori, schede di rete, dischi…, alla duplicazione dei server stessi, siano questi fisici o virtuali.
A ciò si aggiunge la predisposizione di un ambiente ridondato dei servizi ausiliari, quali alimentazione, rete e relativi apparati, condizionamento ecc., il tutto per evitare la presenza di single point of failure ed il conseguente rischio che il venir meno di un singolo componente possa compromettere il funzionamento dell’intero sistema (probabilità questa che invece si riscontra nei siti di disaster recovery che solitamente non presentano tali caratteristiche di resilienza).
Va precisato che queste misure “tradizionali” sono inefficaci verso una serie di eventi sempre più frequenti come un attacco cyber o un ransomware. È quindi necessario per tali fattispecie adottare altre misure per essere resilienti e DORA e le normative sopra citate possono, al riguardo, dare utili indicazioni.
Non va inoltre dimenticato uno scenario nella quasi totalità dei casi dimenticato e cioè il semplice malfunzionamento di un applicativo necessario per l’erogazione di un processo critico.
Se il fermo si prolunga oltre i tempi di fermo massimo definiti per il processo (MTPD- maximum tolerable period of disruption) il rischio che un banale incidente operativo possa compromettere la vita dell’organizzazione paradossalmente non è remoto.
Al riguardo la sempre più spinta digitalizzazione e informatizzazione se da un lato ottimizza i processi dall’altro rischia di renderli meno resilienti rispetto a questo tipo di scenario.
Se un tempo, infatti, era possibile pensare a soluzioni di contingency che consentissero l’esecuzione, in emergenza, di un processo critico anche ricorrendo a carta e penna, ora questa possibilità si fa sempre più remota.
Attenzione, quindi, a quando si progettano o riprogettano i processi: l’eccessiva ottimizzazione tesa a ridurre i costi e aumentare l’automazione può essere un’arma a doppio taglio rispetto alla loro resilienza.
Conciliare la riduzione dei costi e garantire al tempo stesso la resilienza dei processi è quindi un’arte che richiede esperienza, ma anche molta creatività.
