Il ruolo del Chief Risk Officer (CRO) non è certo nuovo ma, con la trasformazione digitale, è destinato ad acquisire maggiore importanza, soprattutto nei grandi istituti finanziari, nel prossimo futuro.
Una visione poliedrica del rischio
Per comprendere le nuove sfide che il CRO dovrà affrontare, dobbiamo ricordare che questo manager è responsabile per la gestione del rischio aziendale (Enterprise Risk Management - ERM) in tutta l'organizzazione e la percezione del rischio diventa poliedrica: è sì legata al business, ma amplia il raggio di azione verso chi si occupa di rischi legati a conformità, agli aspetti finanziari, operativi, reputazionali e strategici. Tuttavia, sono la comprensione e la conoscenza dei rischi legati al mondo cyber che guideranno l'evoluzione del CRO e, poiché il cyber è passato da una prospettiva combattiva a quella aziendale, il ruolo si evolverà per gestire il rischio da una prospettiva olistica.
Il cyber rischio tra le nuove competenze
Storicamente, il CRO è un manager che lavora con CEO e CFO; in futuro si stima che lavori sempre di più con il CIO e probabilmente con CISO e Chief Compliance Officer. Le trasformazioni digitali che tante organizzazioni hanno adottato – o stanno intraprendendo – contribuiscono a rendere i temi cyber parte consolidata del DNA dei processi aziendali, aumentando così la natura digitale della gestione del rischio. Per armonizzare in modo efficiente queste nuove aree di gestione del rischio con quelle più tradizionali, il CRO deve rafforzare alcune capacità fondamentali: il cyber in particolare richiederà il giusto livello di astrazione per rendere le informazioni utilizzabili.
Serve piena visibilità dell’IT
In primo luogo, diventa fondamentale ottenere la piena visibilità degli ambienti IT utilizzati perché il panorama digitale sta diventando sempre più complesso, poiché si stanno sperimentando nuovi modelli come l'adozione del cloud, la mobilità aziendale e l'IoT, ad esempio. In secondo luogo, serve comprendere l'esposizione al rischio, scoprire come ridurla e scoprire che cos'è un rischio residuo accettabile anche da un punto di vista digitale; il CRO deve quindi disporre di informazioni dinamiche e aggiornate, arricchite da un contesto adeguato per accelerare la comprensione dei fatti. Ciò consentirà al CRO di distinguere la natura del rischio, sia che si tratti di cattiva configurazione e comportamenti insoliti degli utenti oppure di problemi causati da vulnerabilità nel software che possono essere – anzi spesso lo sono – facilmente utilizzabili da parte degli aggressori.
Mancata conformità e difesa dagli attacchi
Nel primo caso, il rischio riguarda generalmente la mancanza di conformità e la possibilità di perdite di dati, mentre il secondo riguarda l’attuale situazione in costante crescita di attacchi mirati e sofisticati da parte degli hacker.
Queste sottili differenze devono essere attentamente valutate dal CRO, che deve capire se il rischio è accettabile sia dal punto di vista dell’impatto sul business che da quello aziendale; senza dimenticare che queste informazioni devono essere dinamiche, per consentire la corretta valutazione del rischio mutevole nel tempo. Data la natura effimera e l'espansione/contrazione degli ambienti digitali, dovrà essere potenziata anche una terza competenza: la scalabilità. Riteniamo che una delle sfide più difficili che il CRO dovrà affrontare in futuro sarà legata alla capacità di far fronte alla velocità e all'agilità della trasformazione digitale.
I framework di conformità
I framework di conformità, come PCI-DSS (Payment Card Industry-Data Security Standard), GDPR (General Data Protection Regulation) e NIST (National Institute of Standards and Technology), richiedono un controllo costante per valutare l'esposizione al rischio e consentire al CRO di decidere cosa è accettabile e quale parte del rischio può essere trasferita a terzi tramite flussi di lavoro adeguati o contratti assicurativi.
Attacchi sofisticati, inevitabili violazioni e fughe di dati possono avere un enorme impatto sul rischio reputazionale e finanziario. Sebbene il compito del CRO sia quello di ridurre al minimo il rischio potenziale nell'azienda, il rischio, come fattore, non può essere eliminato del tutto.
Ricevere rapidamente informazioni
Per ridurre al minimo i rischi, la quarta competenza che deve essere rafforzata è l'immediatezza o più specificamente la capacità di interrogare le informazioni e ricevere risposte rapide. Questo si traduce nel disporre di una singola fonte per tutti i dati con la possibilità di filtrare, estrapolare e aggregare le informazioni per costruire questa immediatezza di consultazione.
Ultima, ma sicuramente non meno importante, è la possibilità di contare su flussi di informazioni che siano orchestrati in modo trasparente. Abbiamo già evidenziato come le informazioni e il contesto assumeranno un ruolo ancora più rilevante per il CRO del futuro. Questa capacità si basa su tecnologie e piattaforme su cui le organizzazioni hanno investito negli ultimi decenni per ottenere un buon livello di sicurezza dove il rischio può essere compreso e gestito.
Diventa però urgente abbattere le barriere di comunicazione tra silos quali IT, Security e Compliance; interconnettere queste piattaforme e tecnologie per ottenere il consumo più agile dei dati necessari per comporre una singola fonte di dati. Sebbene gli aspetti tecnici dell'interconnessione rimangano il compito del CIO/CISO, il CRO deve essere informato dei requisiti e del potenziale che tali sviluppi realizzano quando adeguatamente operativi.
Per riassumere vediamo l'evoluzione del ruolo CRO a quello di un e-CRO, dove la consapevolezza sui temi cyber assegna il giusto potere al manager come abilitatore per modellare e valutare il modello di rischio. Legato ad un’unica fonte dei dati, l'e-CRO sfrutterà visibilità, precisione, scalabilità, immediatezza e orchestrazione trasparente per gestire il rischio, gestendo al contempo le sfide di velocità e agilità scatenate dalla nuova trasformazione digitale.
