Resilienza operativa di fronte all'innovazione tecnologica

L’innovazione continua ad avanzare nel settore dei servizi finanziari con un numero sempre maggiore di partecipanti al mercato che utilizzano nuove tecnologie per migliorare le proprie operazioni aziendali, migliorare la resilienza, automatizzare e potenziare le capacità informatiche e identificare nuovi modi per fornire offerte.

I servizi cloud vengono sfruttati per fornire scalabilità, garantire efficienza aziendale e standardizzare gli stack tecnologici. L’intelligenza artificiale (AI) e l’apprendimento automatico (ML) consentono agli istituti finanziari di utilizzare meglio il personale dedicato alla sicurezza informatica e di migliorare le proprie capacità di identificare comportamenti anomali. Il registro distribuito e la blockchain stanno fornendo nuove funzionalità per reimmaginare il modo in cui vengono forniti i servizi finanziari, oltre a fornire un quadro futuro per l’identificazione degli utenti.

Sebbene il valore dell’adozione di nuove tecnologie sia noto, ogni vantaggio può comportare una certa misura di rischio, compreso il potenziale impatto che un evento operativo potrebbe avere sull’ecosistema finanziario in cui l’interconnettività continua a crescere. Di conseguenza, qualsiasi implementazione tecnologica deve essere continuamente valutata per identificare potenziali punti deboli inerenti alla natura della tecnologia o al modo in cui viene utilizzata.

Le istituzioni finanziarie sono profondamente consapevoli dei pericoli posti dal rischio informatico. L’annuale Barometro del rischio sistemico del DTCC, che funge da polso per monitorare i rischi che potrebbero avere un impatto sulla sicurezza e sulla solidità del sistema finanziario globale, ha dimostrato che i gestori del rischio continuano a considerare il rischio informatico come la più grande minaccia per i mercati finanziari globali. Il panorama geopolitico serve solo ad aumentare la minaccia informatica man mano che i conflitti si intensificano.

Poiché la minaccia di un evento operativo continua a crescere, le autorità e le istituzioni finanziarie devono concentrarsi non solo sul rilevamento e sulla protezione delle informazioni e delle operazioni aziendali, ma anche sulla loro capacità di riprendersi rapidamente e in sicurezza da questi eventi.

La resilienza operativa si concentra sulle capacità che le istituzioni finanziarie devono sviluppare per migliorare la loro preparazione complessiva a ripristinare le operazioni aziendali. A sostegno di ciò, le autorità e le istituzioni finanziarie hanno collaborato per sviluppare il Principi per la resilienza operativa del Comitato di Basilea per la vigilanza bancaria (BCBS).. Questi principi gettano le basi per una nuova regolamentazione in questo settore.

I pilastri di questi principi includono:

• identificare e documentare le operazioni critiche;
• determinare il tempo di inattività massimo consentito per le operazioni critiche;
• sviluppare mappe di processo per ciascuna operazione critica;
• determinare scenari estremi ma plausibili e sviluppare capacità di resilienza ove possibile; E
• estendere la resilienza attraverso i terzi/la catena di fornitura.

Incidenti come SolarWinds e Kaseya dimostrano i potenziali impatti che un evento operativo di terze parti può creare e, pertanto, l’attenzione deve continuare a essere indirizzata su come il settore dei servizi finanziari può aumentare efficacemente la preparazione della sua catena di fornitura all’interno di questo panorama di minacce in evoluzione. Questo rischio è particolarmente importante considerando che molti istituti finanziari utilizzano attivamente fornitori di tecnologie dell’informazione e della comunicazione (ICT) per servizi cloud, AI e ML.

Fortunatamente, il dialogo tra le autorità finanziarie e gli istituti finanziari continua ad intensificarsi attorno al tema della resilienza operativa e dei rischi di terze parti/esternalizzazione, che probabilmente determineranno le aspettative e rafforzeranno la preparazione nel settore dei servizi finanziari globali.

Comprendere che la resilienza operativa non è una destinazione ma un viaggio continuo favorirà un approccio evolutivo. La regolamentazione dovrebbe affrontare i rischi odierni pur essendo sufficientemente flessibile da affrontare quelli all’orizzonte.

In definitiva, il modo in cui gli istituti finanziari gestiranno gli eventi operativi e la rapidità con cui si riprenderanno saranno fondamentali per garantire la continua fiducia nei mercati finanziari e la capacità collettiva di preservare l’integrità del sistema finanziario. Sarà necessario che l’intero settore lavori insieme per favorire questo risultato.

Circa l'autore

Jason Harrell è amministratore delegato della divisione rischi operativi e tecnologici e responsabile dell'impegno esterno presso DTCC. In questo ruolo, collabora con colleghi del settore, supervisori e regolatori, organismi internazionali di definizione degli standard, funzionari governativi e associazioni di categoria per affrontare iniziative politiche e implementare soluzioni che migliorino la resilienza complessiva del settore dei servizi finanziari.

Harrell contribuisce a numerosi gruppi di lavoro sulla resilienza operativa e informatica di associazioni di categoria globali ed è attualmente vicepresidente del Cyber ​​Risk Institute, una coalizione senza scopo di lucro di istituzioni finanziarie e associazioni di categoria focalizzata sull'allineamento dei quadri di rischio informatico agli obblighi di vigilanza informatica.

Prima di DTCC, è stato responsabile aziendale senior del rischio informativo per BNY Mellon Investment Management.

Harrell vanta oltre 20 anni di esperienza nella gestione dei rischi legati a IT, privacy e sicurezza informatica nel settore dei servizi finanziari.