Lo scorso anno, la Presidenza del Consiglio dell'Unione Europea e il Parlamento Europeo hanno raggiunto un accordo ad interim sul Digital Operational Resilience Act (DORA) per migliorare la sicurezza informatica delle istituzioni finanziarie in Europa. Una volta che DORA sarà adottato dai paesi dell'UE, le società finanziarie dovranno garantire di poter contrastare, rispondere e riprendersi da tutti i tipi di interruzioni e minacce della tecnologia dell'informazione e della comunicazione (TIC), con l'obiettivo finale di prevenire e mitigare le minacce informatiche. La regolamentazione adotta un approccio differenziato per regolamentare le entità piccole, micro e interconnesse.
Flessibilità dei test
Le autorità europee di vigilanza (ESA), vale a dire l'Autorità bancaria europea (EBA), l'Autorità europea degli strumenti finanziari e dei mercati (ESMA) e l'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) - stanno sviluppando "standard tecnici che tutti gli istituti di servizi finanziari devono attenersi a". Inoltre, i fornitori di servizi ICT di terze parti critici, in particolare i fornitori di cloud per le istituzioni finanziarie nell'UE, dovranno istituire una filiale all'interno dell'UE per un'adeguata supervisione e i revisori saranno coinvolti nelle future revisioni del regolamento.
La nuova legge costringerà le aziende FSI nell'UE a testare la resilienza delle loro organizzazioni; ovvero, avranno fondamentalmente bisogno di gestire i rischi e utilizzare un quadro di governance del rischio per soddisfare le richieste di DORA. Pertanto, si raccomanda a tutti i CISO del settore finanziario di prendere in considerazione la collaborazione con fornitori e partner di sicurezza informatica che sono completamente aggiornati su DORA.
Ulteriori raccomandazioni del 2023 per i CISO dei servizi finanziari
Altre raccomandazioni più concrete sono fornite anche per le istituzioni del settore finanziario che pianificano il 2023. I CISO (Heads of Information Security) che lavorano nel settore dei servizi finanziari devono capire che il 2023 non sarà come il 2022; Sono in atto grandi cambiamenti e il rischio informatico è in aumento.
Passaggio a una mentalità di intervento e recupero
C'è un aumento del ransomware, e questo è un problema importante per tutte le istituzioni, non solo per quelle finanziarie. Tradizionalmente, la mentalità del settore dei servizi finanziari è: "No, non vogliamo il rischio". Fino ad ora, si trattava solo di protezione e rilevamento. Tuttavia, data la natura del rischio informatico odierno, questo approccio non è più realistico.
I CISO nel settore finanziario devono comprendere il panorama delle minacce in rapida evoluzione e concentrarsi sull'essere più resilienti. Ciò significa che la strategia di un'istituzione del settore finanziario dovrebbe passare dal tentativo di evitare tutti i rischi alla capacità di riprendersi rapidamente da un attacco. Ciò porterà naturalmente a investimenti in piattaforme che abilitano funzioni come il rilevamento e la risposta degli endpoint (EDR), il rilevamento e la risposta estesi (XDR) e l'orchestrazione, l'automazione e la risposta della sicurezza (SOAR).
I rischi che derivano dalla finanza incorporata
Un altro problema che i CISO delle istituzioni finanziarie devono considerare nel 2023 è la tendenza all'aumento della finanza incorporata.
Cos'è la finanza incorporata?
“La finanza incorporata è il processo di integrazione di tutti i servizi finanziari in un unico posto invece di trattare con le istituzioni tradizionali. Offre un modo sicuro, semplice ed efficiente per raccogliere tutti i servizi che un rivenditore può utilizzare in un unico modello facile da gestire. Le soluzioni finanziarie possono essere integrate nell'infrastruttura di un'azienda, facilitando l'accesso a servizi finanziari come prestiti, assicurazioni o transazioni di pagamento senza indirizzare le persone verso destinazioni di terze parti. Ciò significa meno app con cui pasticciare, meno persone con cui gestire i soldi, meno di cui preoccuparsi e meno tempo speso a tenere il passo con la logistica finanziaria. L'interesse per questo settore è cresciuto rapidamente negli ultimi anni. Il mercato della finanza incorporata negli Stati Uniti ha raggiunto i 2020 miliardi di dollari nel 22,5 e dovrebbe crescere di dieci volte fino a raggiungere i 2025 miliardi di dollari entro il 230”. (RNC, 8 agosto 2022)
La finanza diventerà più diffusa nel mondo del 2023 e oltre. Ad esempio, considera la finanza incorporata, in cui le organizzazioni non tradizionali utilizzano prodotti finanziari per le vendite "acquista ora, paga dopo". Questo metodo aumenta le vendite ma aumenta anche il rischio per le organizzazioni.
La finanza incorporata è facilitata dalle tecnologie Bank as a Service (BaaS) e API (Application Programming Interface). Si prevede che questo metodo genererà oltre 2026 miliardi di dollari di entrate annue per le banche entro il 25 e, entro il 2025, le banche incumbent trasferiranno il 25% del reddito delle piccole e medie imprese ai canali storici. (Applicazioni integrate: nuove entrate e nuovi rischi per le banche (garp.org)
Per il 2023 e oltre, i CISO di FSI devono prestare particolare attenzione a quanto segue:
- Le organizzazioni devono assicurarsi di disporre di solide politiche di sicurezza informatica e protezione dei dati, comprese misure per prevenire le violazioni dei dati e l'accesso non autorizzato a informazioni sensibili.
- Laddove gli enti lavorino con partner non finanziari che potrebbero non avere lo stesso livello di competenza o esperienza nei servizi finanziari, devono monitorare i potenziali rischi di uso improprio o uso improprio dei dati.
- Quando si integrano prodotti e servizi finanziari in prodotti o piattaforme non finanziari, si dovrebbe esaminare il potenziale di conflitti di interesse e gli enti dovrebbero essere trasparenti con i clienti in merito ai termini e alle condizioni di tali prodotti e servizi.
- È necessario rimanere aggiornati sugli sviluppi normativi relativi alla finanza incorporata e garantire che l'organizzazione rispetti tutte le leggi e i regolamenti pertinenti.
- L'organizzazione dovrebbe collaborare con aziende specializzate o prendere in considerazione la possibilità di consultare esperti del settore per garantire di disporre delle conoscenze e delle risorse per gestire efficacemente i rischi di sicurezza informatica e privacy nel contesto della finanza incorporata.
La consapevolezza è importante anche perché la tecnologia da sola non può raggiungere questo obiettivo. Gli istituti finanziari devono iniziare a formare i propri dipendenti su DevSecOps, intelligenza artificiale, machine learning e sicurezza delle API. A questo punto, Fortinet sottolinea il suo impegno per aiutare a colmare il divario di competenze informatiche e aumentare la consapevolezza informatica attraverso l'iniziativa TAA e i programmi Education Institute.
Sii il primo a commentare