Le istituzioni finanziarie lavorano per rafforzare le proprie misure di sicurezza

Di fronte all’aumento del numero e della pericolosità delle minacce, anche le istituzioni finanziarie stanno investendo in tecnologie avanzate di cybersecurity.

Secondo l’ultimo studio di Cetif Research, il Centro di ricerca dell’Università Cattolica del Sacro Cuore di Milano, e realizzato in collaborazione con Spike Reply, le imprese del settore stanno sperimentando un rafforzamento delle proprie capacità di gestione del rischio ICT grazie a nuovi investimenti volti a irrobustire le strutture organizzative e le tecnologie di cybersecurity.

Pixabay

Il CISO emerge come una figura centrale per la sicurezza informatica degli istituti finanziari. Lo studio evidenzia che questa figura è il principale decision maker per le attività di gestione e pianificazione, implementazione, monitoraggio e controllo della sicurezza informatica, supervisionando poi l’implementazione e l’esercizio delle misure di protezione.

Le aree di azione della cybersecurity

Il report rileva che l’area di Strategy & Governance è quella in cui viene impiegato il maggior numero di risorse (23%), a dimostrazione del fatto che spesso questa area è responsabile di diverse attività quando non sono rimandate al CISO; a seguire troviamo l’area frodi (20%) che svolge un ruolo critico nella protezione da attività fraudolente e nelle operazioni di risposta agli incidenti.

In generale, tutte le aree di azione della cybersecurity presentano un livello adeguato di risorse, con quelle del risk e dei canali e pagamenti digitali che hanno un livello adeguato o molto adeguato nel 50% dei casi. Le aree con il maggior gap di risorse sono invece la security by design, la security operation e quella della frodi (meno del 40%).

Lo studio prende inoltre in considerazione una serie di competenze considerate necessarie per la cybersecurity, evidenziando che lo sviluppo della strategia per la sicurezza informatica e lo sviluppo della strategie della qualità ICT sono tra le più importanti, soprattutto per l’area strategy & governance.

Gli attacchi contro le istituzioni finanziarie

Lo studio ha rilevato che il phishing, il social engineering, lo smishing e il vishing sono le modalità di attacco più frequenti contro clienti e dipendenti degli istituti finanziari, con più del 60% dei casi che si verificano più volte al giorno.

L’ampia diffusione degli strumenti di comunicazione digitali favorisce l’aumento di questi attacchi: i cybercriminali possono raggiungere più potenziali vittime e più facilmente. “L’inganno e la manipolazione psicologica sono elementi tipicamente sfruttati dai criminali che convincono le persone a compiere azioni non sicure, spesso sfruttando le debolezze umane come la curiosità o l’urgenza di agire” ricordano i ricercatori.

Oltre alle campagne di phishing, gli istituti finanziari sono colpiti da malware e ransomware, anche più volte al giorno. Non sono solo gli istituti stessi a essere di particolare interesse per gli attaccanti, ma anche le terze parti che forniscono servizi alle banche.

Pixabay

La spesa per la cybersecurity

Il report approfondisce anche la distribuzione della spesa, sia quella evolutiva sia il running, per la cybersecurity degli istituti bancari. Nel 2023 gli istituti finanziari hanno speso il 45% della spesa evolutiva in servizi esterni e la stessa percentuale per le soluzioni software, mentre il restante è stato investito in hardware.

Per quanto riguarda il running, i servizi esterni ammontano al 54% del totale, seguiti dal 41% del software e per concludere dall’hardware e, in bassissima percentuale, dalle spese per attività di ricerca.

Nel dettaglio, le istituzioni si avvalgono di tecnologie e soluzioni variegate, tra le quali l’autenticazione a più fattori e la biometria, misure di prevenzione come antivirus, firewall e XDR, misure di controllo degli accessi, tecnologie in ambito network e anche tool di intelligenza artificiale.

Proteggere le istituzioni finanziarie

Gestire il rischio cyber è diventata un’attività fondamentale per le imprese, e anche le istituzioni finanziarie devono implementare solide strutture di governance e organizzative.

In termini di governance, occorre costituire un comitato dedicato alla cyber risk composto da membri chiave dell’organizzazione quali il CISO e i funzionari responsabili della sicurezza. Il comitato ha il compito di definire le politiche e le strategie di sicurezza, oltre a supervisionare l’implementazione delle misure di sicurezza.

È inoltre fondamentale avere una struttura organizzativa in grado di delineare le responsabilità e i compiti di dipartimenti e team che si occupano di sicurezza.

Per gli istituti bancari è fondamentale inoltre seguire il modello del “Security by design” che integra la sicurezza fin dalle fasi iniziali dei processi di sviluppo di prodotti e servizi. I ricercatori di Cetif Research consigliano di seguire il modello seguendo l’approccio shift left. Questa modalità implica un presidio consulenziale per il quale la cybersecurity deve essere integrata nella fase di design, oltre alla definizione di checkpoint durante tutto il ciclo di sviluppo del prodotto che impongono revisioni di cybersecurity e test di vulnerabilità; infine, una volta che il prodotto è stato distribuito, deve proseguire il monitoraggio continuo per tenere sotto controllo i rischi.

Se implementato correttamente, il Security by Design permette alle imprese di guadagnare la fiducia del cliente, ridurre i costi a lungo termine, rispettare più facilmente le normative, mantenere un’elevata reputazione aziendale e la competitività sul mercato, e aumentare il livello di innovazione.

Pixabay

È importante che gli istituti finanziari si affidino a tecnologie avanzate quali l’intelligenza artificiale, la biometria comportamentale e le cybertech avanzate contro gli attacchi più complessi.

Infine, i ricercatori evidenziano l’importanza di adottare un approccio olistico alla cybersecurity che comprende non solo la formazione del personale, il monitoraggio costante e l’adozione di misure avanzate di sicurezza, ma anche la collaborazione tra istituzioni, imprese e community per conoscere e mitigare i rischi al meglio.