Contenuto a cura di Sergio Saia, IT director State Street Bank Italy.
Perdere l’accesso ai dati e agli analytics, interrompere la possibilità di eseguire le transazioni e sospendere le comunicazioni con clienti, partner o service providers, può rivelarsi catastrofico per qualsiasi organizzazione. Ecco perché la resilienza operativa è diventata un elemento centrale dell’industria a seguito dello scoppio della pandemia nel 2020, con le aziende che hanno iniziato a concentrarsi su come adattarsi alle sfide legate a continuità, connettività e comunicazioni, con la tecnologia e la sicurezza informatica salite in cima alle priorità quando le aziende sono passate dal lavoro dall'ufficio al lavoro a distanza.
Le best practice per la resilienza
Una delle best practice per sviluppare resilienza consiste nell’identificare quali sono i servizi di business strategici dell’azienda. Possono essere aree che influiscono sulla stabilità del mercato o sulla redditività dell’azienda o sui consumatori. Il secondo aspetto è la mappatura end-to-end e l’identificazione delle dipendenze principali. In terzo luogo, è necessario stabilire delle metriche o delle percentuali di tolleranza in termini di interruzione di questi servizi. Un’azienda dovrebbe poi sviluppare una metodologia per misurare tali interruzioni in tempo reale e valutarne gli impatti che si verificheranno in futuro. Infine, questa metodologia andrebbe testata, sia attraverso scenari sia analizzando gli incidenti che si sono verificati. Tuttavia la resilienza non riguarda solo la tecnologia. Tralasciare persone o processi e la loro resilienza può rivelarsi dannoso se un’azienda sta cercando di risollevarsi da una determinata situazione. È altrettanto importante sapere cosa fare quando le cose vanno male e quali strategie implementare affinché tali servizi entrino in una fase di ripresa e possano essere nuovamente messi a disposizione di clienti o regolatori.
Se da un lato le aziende possono progettare, pianificare e prepararsi ad affrontare determinati eventi, ci sono altre cose che accadono all’interno di un’organizzazione. Cambiamenti organizzativi, strutturali, di strategia aziendale possono tradursi in variazioni nella resilienza. Così, nonostante un’azienda possa aver progettato qualcosa che all’inizio sembrava sicuro e resiliente, col tempo i cambiamenti naturali in un’organizzazione possono rendere quei sistemi meno solidi. Non c’è una regola unica per tutti ma ci sono piuttosto alcuni standard fondamentali e quelli gli standard relativi alle best practices devono essere presi in considerazioni quando le circostanze lo richiedono. Per quanto riguarda i modelli operativi e la loro solidità, niente deve essere statico. La tecnologia cambia rapidamente così come i sistemi di dati. La regolamentazione ha assunto un significato completamente nuovo nella vita di tutti. In un mondo interconnesso e interdipendente, costruire la resilienza in un modello operativo non è solo una sfida interna. Le operazioni di investimento costituiscono un ecosistema di relazioni strategiche costanti con fornitori terzi, tra cui quelli che offrono tecnologia, dati, analytics o altri servizi ai clienti.
Su questo fronte, gli asset servicer si stanno evolvendo sempre di più nell’offerta di soluzioni front office per la gestione dei dati. Il nostro Alpha Data Services aiuta gli investitori a ridurre i costi e la complessità di mantenere diverse piattaforme di dati.
Abbiamo creato Alpha, che riunisce software e servizi in un’unica piattaforma aperta e modulabile in grado di gestire l’intero processo di investimento, il c.d. front To back, automatizzando i flussi di lavoro e semplificando l’attività operativa dei nostri clienti. Con l'accesso a un'architettura completamente aperta e interoperabile, che permette agli investitori di collegare più piattaforme di trading o servizi di terze parti, i nostri investitori ottengono analisi superiori per un migliore processo decisionale in totale sicurezza dei dati trattati.
Monitorare resilienza e tempi di recupero
Una volta che un’azienda ha implementato i suoi standard di best practices, deve assicurarsi che vengano mantenuti. Dal punto di vista informatico, bisogna comprendere ciò che un’azienda ha a disposizione e dedicare del tempo all’analisi di quei processi. A questo va affiancata la governance, ed è necessario anche un processo di esame e convalida. Quando accade qualcosa che mette davvero sotto pressione le sue operazioni e i suoi sistemi tanto da farli fallire, un’organizzazione deve contare su un chiaro flusso di comunicazione con il senior management, ma anche con i team legale, il Risk management, i team di comunicazione esterna, l’IT o le Operations. È essenziale poi non farsi prendere dal panico e analizzare razionalmente quello che è successo. Durante la fase di gestione dell’incidente, un’organizzazione dovrebbe cercare di mantenere il più possibile processi, procedure e controlli standard, in modo da non introdurre nuovi rischi.
La tecnologia migliora la resilienza
La tecnologia può far sorgere delle opportunità per generare una migliore resilienza e due diligence. La standardizzazione è uno degli aspetti estremamente importanti per un’azienda che entra nell’universo tecnologico, in quanto consente di capire più facilmente quando c’è qualcosa che non va. Inoltre, la tecnologia può diventare un potente alleato se consente a un’azienda di identificare i punti chiave delle loro dipendenze o terze parti, persone o luoghi interconnessi tra loro nello stesso momento e può aiutare anche a colmare lo storico divario tra le operations e la tecnologia. Solo se un’organizzazione è dotata di una mappa dei processi end-to-end per le operazioni - i sistemi e le tecnologie su cui stanno operando, la posizione fisica di quei pezzi di infrastruttura, i server, le reti, i firewall, ecc. - allora può veramente comprendere quale tipo di rischio sta gestendo.
Terze parti e due diligence
Infine, un’organizzazione deve anche saper fare due diligence sulla due diligence di terzi. Ovviamente non si possono controllare tutti i fornitori e i provider ma l’azienda può esaminare i sistemi che questi ultimi utilizzano per monitorare l’azienda stessa, come in una sala degli specchi. Il rischio operativo di resilienza potrebbe essere diviso in due aree: quella delle variabili controllabili e quelle incontrollabili. Un esempio delle prime è la fluttuazione del tasso d’interesse che, com’è ben noto, varierà tra due variabili fisse, sia esso zero o negativo o positivo, a seconda delle circostanze economiche. Ma se poi ci spostiamo nel segmento del rischio informatico, notiamo che il numero di variabili coinvolte è significativo e a volte quasi impossibile da quantificare. È possibile misurare l’impatto di un evento informatico ma è difficile calcolare la probabilità che si verifichi. Ecco perché le organizzazioni che trattano il rischio informatico come un qualsiasi altro rischio completamente quantificabile e, in base a ciò, prendono decisioni su resilienza o altri aspetti, alla fine iniziano a cadere a pezzi quando entra in gioco la probabilità che tali eventi si verifichino. È pertanto necessario intraprendere un percorso che porti verso l’evoluzione o la maturità della comprensione dei rischi informatici affinché la complessità della loro natura sia compresa e rispettata, dal momento che sono molto diversi dagli altri.
