Security e Credit Scoring
Quale merito creditizio potrebbe essere riconosciuto a una impresa la cui operatività potrebbe essere paralizzata anche irrimediabilmente, come già avvenuto in molti casi, per effetto della diffusione di ransomware o di un’altra minaccia cyber?
Il tema dell’information risk management, inteso come capacità di un sistema organizzativo di garantire, nel tempo, riservatezza, integrità e disponibilità delle informazioni, declinato nella norma comunitaria in materia di Data Protection, all’art. 32 del Nuovo Regolamento, si caratterizza per avere ripercussioni non secondarie e quantificabili nella valutazione del merito creditizio di una organizzazione. Quindi, oltre che richiamare i contenuti delle varie metodologie di IT risk assessment, diffuse nella prassi e rilevanti con riferimento a criteri legali di imputazione di responsabilità è opportuno individuare in questa sede quali possano essere i criteri di valutazione, in termini di merito creditizio, della gestione appropriata, ovvero della mancata gestione, di tale classe di rischio.
Cryptolocker, Ransomware & friends
Per comprendere, da un punto di vista pratico, il fenomeno che ci accingiamo a illustrare, si può considerare la situazione in cui ritengano contribuire alla valutazione del merito creditizio di una impresa, in coerenza con l’attuale scenario tecnologico relativo alla produzione di valore, non soltanto i beni materiali o immateriali tradizionali, come immobili, know how o IPR (intellectual property rights), ma anche la capacità dell’impresa di proteggere il suo patrimonio digitale immateriale, dai cyber threat. Scopo dell’articolo è fornire una risposta concreta alla domanda: Quale merito creditizio potrebbe essere riconosciuto a una impresa la cui operatività potrebbe essere paralizzata anche irrimediabilmente, come già avvenuto in molti casi, per effetto della diffusione di ransomware o di un’altra minaccia cyber?
Credit scoring, rating… What else?
Definito il contesto, sembra ora il caso di soffermarci sui contenuti della nozione di credit scoring e rating di un’organizzazione. In linea generale, al solo scopo di individuare nel contesto di questo approfondimento una terminologia condivisa definiamo il merito creditizio di un’organizzazione come la capacità di questa di adempiere le sue obbligazioni relativamente a un rapporto di credito instaurato o da instaurare. Vale a dire l’attitudine a restituire un prestito ovvero ad apparire in grado i restituire un prestito. I sistemi di rating sono strumenti, per lo piú algoritmici, in grado di attribuire a posizioni già finanziate, ovvero da finanziare, una misura di sintesi del rischio incorso dalla banca erogante, espresso secondo una scala di giudizio numerica o alfanumerica. Rappresenta una valutazione, riferita a un dato orizzonte temporale, effettuata sulla base di tutte le informazioni esistenti, della capacità di un soggetto affidato o da affidare di onorare le obbligazioni contrattuali con l’erogatore il credito. Tali sistemi di valutazione della consistenza patrimoniale di una organizzazione si basano principalmente sulla stima del c.d. rischio di insolvenza (PD = probability of default) effettuata, in prevalenza, sulla base di tre livelli di analisi tra loro correlati: quantitativa, qualitativa e andamentale. Mentre le analisi quantitativa e andamentale, che possiamo ritenere senz’altro prevalenti nella valutazione della solvibilitá di un impresa, attengono a una valutazione patrimoniale, in senso stretto della ‘resistenza’ di un richiedente il credito, soprattutto nel caso di organizzazioni non operanti in comparti produttivi caratterizzati da una elevata propensione all’impiego di innovazioni tecnologiche, l’analisi qualitativa interviene su parametri di valutazione di più ampio spettro.
Analisi qualitativa delle policy di sicurezza
Ed è proprio dal contesto della analisi quantitativa che potrebbero emergere i primi elementi alla stregua dei quali valutare, in senso positivo o negativo, come veri e propri asset aziendali anche le policy formalizzate in materia, per esempio, di incident response, business continuity e trasferimento del rischio cyber. L’analisi qualitativa del rating di un’organizzazione tende, sulla base di informazioni extranumeriche dell’imprenditore, a valutare nel suo complesso la capacità di produrre reddito sulla base di fattori solo indirettamente patrimoniali. Ragione per cui, saranno presi in considerazione in questa sede gli aspetti più marcatamente organizzativi e procedurali dell’impresa stessa, i quali non possono non comprendere anche la gestione della sicurezza delle informazioni.
Due esempi concreti
Una duplice conferma della tenuta degli argomenti sopra esposti fa riferimento da una parte all’analisi dei trend, delle modalità di commercializzazione e dei contenuti contrattuali dei prodotti assicurativi riferiti al mercato della ‘cyber insurance’ e, dall’altra, ai contenuti dei provvedimenti della Banca d’Italia attuativi degli accordi internazionali relativi alla gestione della sicurezza dei sistemi informativi delle banche stesse (in particolare: circolare n. 263 del 27 dicembre 2006 recante Nuove disposizioni di vigilanza prudenziale per le banche e alla circolare Disposizioni di vigilanza per le banche n. 285 del 17 dicembre 2013). Nel primo caso si constata con facilità che il trasferimento del rischio cyber è possibile, con efficacia e a condizioni più vantaggiose, solo attraverso la rigorosa documentazione di buone pratiche in materia di information security management. Nel secondo caso invece che una gestione coerente del rischio operativo correlato alla sicurezza dei sistemi informativi è insita in un sistema di gestione dell’organizzazione degli istituti di credito basata sulle istruzioni in materia impartite dalla Banca d’Italia Se questo è il quadro allora non c’è alternativa alla necessità di individuare soluzioni di misura del proprio livello di cyber risk, così da poter agire, in prevenzione, attuando efficaci azioni di rimedio e trasferimento e, quindi, guadagnare merito creditizio. Ma allo stesso tempo evitare anche spiacevoli incidenti di percorso legati alla mancata compliance dei propri sistemi informativi con le norme cogenti, assistite sempre più di frequente da importanti sanzioni pecuniarie in grado di agire sulla stessa solvibilità della organizzazione; in particolare se operatore del mercato IT.
Conclusioni
Non è questa la sede per una disamina puntuale dei vari scenari relativi alle cyber threat e delle varie metodologie di information security risk assessment, ma ci sembra davvero il minimo considerare come elemento abilitante il buon esito di un’analisi qualitativa. Questo anche nell’ottica di garantire almeno la conformità di una organizzazione con gli obblighi imposti dalla legge; in particolare con quelli declinati al comma 2 dell’art. 32 del Regolamento Comunitario in materia di protezione dei dati personali (EUGDPR). Analisi da intraprendere con operazioni coerenti con le previsioni della relativa standardizzazione in materia, quale contenuta per esempio nei framework: NIST 800:30 Guide for Conducting Risk Assessments, ISO/IEC 27005:2011 Information security risk management e COBIT (Control Objectives for Information and Related Technologies).