Augeos si pone come interlocutore privilegiato nel portare banche e non solo verso la compliance con il Digital Operational Resilience Act
Il settore del Finance sta vivendo anni di profonde trasformazioni. Parte di queste derivano dall’applicazione del nuovo Regolamento Dora, il Digital Operational Resilience Act. Con tale normativa, tutte le organizzazioni attive nello scenario del Finance, in particolare per la gestione dei rischi, devono seguire specifiche procedure per la cosiddetta resilienza operativa digitale in tema di banche, istituti di pagamento, intermediari ma anche assicuratori e gestori di criptovalute. Di fatto, i soggetti interessati non sono solo quelli tradizionali finanziari, come appunto le banche e gli istituti di credito, ma anche terzi coinvolti, direttamente o meno, nella filiera del Finance, come anche i provider di soluzioni ICT e tutte le realtà coinvolte nella c.d. “catena del valore”.
Il Regolamento Dora ha avuto il via libera definitivo dal Parlamento europeo il 10 novembre 2022. Un passaggio cruciale del suo testo è quello che spiega come la norma “miri a creare un quadro normativo sulla resilienza operativa digitale grazie a cui tutte le imprese possono garantire di poter far fronte efficacemente a malfunzionamenti e minacce connessi alle tecnologie dell’informazione e della comunicazione, al fine di prevenire e mitigare le minacce informatiche”. Un cambio di panorama che vede come protagonista Augeos, una società specializzata in soluzioni innovative per il Risk Management e per Reference Data.
Augeos è un’azienda specializzata in soluzioni per il mercato Finance, sia tecnologiche che di consulenza, con una pluriennale esperienza nell’aiutare i clienti nella gestione dei loro progetti di innovazione, nelle tematiche del risk management e nei casi particolari, come il non financial risk. Questi ultimi sono quei rischi non riconducibili alle tipologie tipiche come i rischi di mercato o di credito e comprendono anche quelli informatici, sempre più ricorrenti per industry di vario tipo.
“Augeos è un attore fondamentale nell’aiutare i clienti ad avere una governance completa del rischio. Un obiettivo che è possibile raggiungere con un mix funzionale di persone, processi e tecnologie” ci dice Claudio Ruffini, fondatore e presidente di Augeos. “Forniamo tutto ciò che entra in gioco in tale scenario, dalla consulenza, come supporto e formazione, all’offerta di software modulari e scalabili sviluppati totalmente da noi, ai servizi di gestione e hosting. Il tutto all’interno di una suite GRC Plus, che sta per Governance Risk Management, peraltro una categoria di riferimento per Gartner.
Il cambio di passo di Dora
“Il tema di Dora rientra pienamente nel contesto nel quale siamo già protagonisti” le parole di Andrea Violato, Product Owner di Augeos. “Il nuovo approccio voluto a livello europeo con Dora è una naturale conseguenza del voler mettere in pratica una serie di migliorie volte ad ottimizzare il mercato del rischio nel Finance”. La chiave di volta di Dora è, ancora una volta, il concetto di governance: “La volontà è quella di permeare l’offerta di Augeos sulla falsariga della resilienza operativa. Si tratta di dar seguito alle esigenze messe in primo piano dal regolamento che amplia ulteriormente la necessità di soddisfare le compliance dell’Act. La postura descritta dalla normativa prevede sei step: l’identificazione e la mappatura delle informazioni aziendali; la capacità di mettere a disposizione dell’azienda un sistema efficace di protezione; la capacità di individuare con efficacia tutti gli scenari di rischio e gli incidenti che spesso vanno a bloccare l’operatività delle imprese colpite; l’efficacia di rispondere prontamente all’incidente; la capacità di ripristinare velocemente l’operatività; la possibilità di documentare, in maniera esaustiva, quanto successo e aggiornare, di volta in volta, le azioni di prevenzione futura”. Un punto fondamentale di Dora è la comunicazione, un aspetto che avvicina il Digital Operational Resilience Act al GDPR e che pone grande rilevanza sulla capacità di pianificare con efficacia un processo comunicativo sia interno (verso strutture organizzative coinvolte, nonché i vertici aziendali), sia esterno (verso i diretti interessati dell’incidente, autorità di settore e reti di condivisione volontaria). Il tutto, infine, basato su un continuo processo di apprendimento, formazione ed evoluzione che permetta una costante capacità di maturare il proprio livello di resilienza partendo anche dalle situazioni di rischio riscontrate e gestite nel passato.
Si tratta di principi fondanti che prevedono, infine, la necessità di evolvere le operazioni interne delle compagnie interessate dalla nuova normativa, aumentando anche la cosiddetta cyber hygiene delle organizzazioni. “All’interno di questo perimetro molto ampio, Augeos rivede le buone pratiche che già metteva in pratica nella propria offerta. Non a caso, ci siamo trovati in profonda sintonia con le linee guida europee, potendo già, con le nostre soluzioni, determinare la propensione al rischio di un cliente e monitorare il suo profilo rispetto allo scenario IT & Cyber. Basta? No. Negli anni, abbiamo imparato che la mappatura deve essere seguita da una comprensione profonda delle operation aziendali, ad esempio declinando l’asset inventory sulla struttura organizzativa, per individuare figure di responsabilità delegate ad essere operativi per diversi scenari di rischio”. Oltre a questo, c’è la questione di un corretto sistema di prevenzione e protezione dell’azienda dal rischio informatico. “Tale sistema prevede diverse scelte di carattere organizzativo, dalla postura alle buone prassi o agli standard internazionali (uno su tutti, la ISO 27001) da adottare per seguire alcune prassi piuttosto che altre. Augeos agisce, in tale ambito, con tutta la sua esperienza e know-how, per offrire, con carattere consulenziale il miglior percorso che un’ azienda può seguire, per avere una visione di insieme sul suo business e conoscere fin dove arriva il perimetro digitale”. Un aspetto che, con il consolidamento del lavoro ibrido, diventa centrale per non perdere mai di vista le sorgenti di rischio, su cui agire in maniera preventiva e proattiva.
“Con Dora comincia una sorta di anno zero per l’Europa che mira a migliorare la resilienza rispetto al cyber risk” conclude Ruffini. “Porre l’attenzione sul rischio informatico e suggerire come migliorarne la governance è stato un passo decisivo in avanti. Una vera e propria rivoluzione, che porterà ad un innalzamento della comprensione del rischio per molti soggetti economici a diversi livelli, con la creazione di un ecosistema di valore maggiormente pronto ad affrontare le sfide del futuro”.
