Key4biz

AssetProtection. Il G7 e la cybersecurity

cybersecurity

Questo giornale online ha riportato la notizia dell’avvenuta emanazione del documento intitolato: “G7 Fundamental elements of cybersecurity for the financial sector”.

Desidero, qui di seguito, brevemente fornire un mio commento, augurandomi di aprire un contradditorio con altri specialisti in materia.

Innanzitutto, prima di esporre la mia opinione, ricapitolo gli 8 elementi ivi descritti e che rappresentano i componenti elementari (“building blocks”) sui quali una entità finanziaria può progettare e costruire la sua strategia di sicurezza cyber, nonché l’ambiente operativo:

Element 1: Cybersecurity Strategy and Framework

Una strategia commisurata ai rischi e aggiornata continuamente in base agli standard, regolamenti, linee guida.

 

Element 2: Governance

Definire ruoli e responsabilità e supportare adeguatamente il sistema realizzato.

Element 3: Risk and Control Assessment

Assegnare le corrette priorità ai processi, prodotti e servizi in base alla loro criticità; proteggerli e gestirli rispettando il livello di risk tolerance fissato dalle Autorità.

 

Element 4: Monitoring

Stabilire processi per il monitoraggio sistematico, e periodicamente verificare l’efficacia dei controlli.

Element 5: Response

Gestire l’eventuale incidente, inclusa la comunicazione alle parti interessate.

Element 6: Recovery

Ripristinare l’operatività tenendo conto delle priorità fissate dalle Autorità.

Element 7: Information Sharing

Impegnarsi in un tempestivo scambio di informazioni con stakeholder interni ed esterni.

Element 8: Continuous Learning

Riesaminare regolarmente la strategia e la struttura dedicata alla cybersecurity. Tenere presente l’importanza del continuo apprendimento e miglioramento.

E, per concludere, nelle ultime righe i G7 (Canada, Francia, Germania, Italia, Giappone, Regno Unito, e USA) si raccomandano di avere in mente che tutto cambia, tutto muta; pertanto, anche la cybersecurity richiede continue verifiche e adattamenti ai nuovi scenari.

Mi si consentano alcune considerazioni:

Allora domando: a chi è diretto questo documento?

Trattasi di un passo indietro o nasconde qualcosa d’altro?

Provo a fare delle ipotesi:

  1. E’ un messaggio nascosto, ma non troppo, a tutto il sistema finanziario occidentale: se non siete già certificati agli standard internazionali, preparatevi ad esserlo in un tempo ragionevole. La prossima volta che scriviamo, il “non” davanti a “binding” sarà scomparso.
  2. E’ una tiratina d’orecchi: a causa della recessione vi siete distratti… Attenzione! Il pericolo è serio!
  3. E’ un messaggio alle piccole e medie realtà finanziarie: provvedete a proteggere voi, i clienti ed il sistema finanziario. Certificatevi anche voi.
  4. E’ un messaggio alle banche perché pongano maggiore attenzione alla filiera produttiva, la supply chain: è da lì che il pericolo può arrivare e colpirvi.
  5. Non è nulla di tutto ciò (ad esempio: E’ un memorandum, tanto per dire che il tema cybersecurity è stato trattato).

Caro Lettore, tu, quale voteresti di queste ipotesi?

Io per le prime quattro.

Anthony Cecil Wright

Anthony.wright@anssaif.it

Exit mobile version