In questa intervista il Dott. Garibaldi Conte, Managing Director di Atsec Information Security e consulente in ambito ICT di pluriennale esperienza, ci regala un’interessante riflessione sul settore del Banking, una industry profondamente influenzata da direttive nazionali ed europee che tutte le figure impegnate in questo settore devono conoscere.
Una panoramica sulle nuove professioni, sulle skills da ricercare e sulla differenza tra profili tecnici e di governance, elemento chiave per comprendere appieno questa industry.
Sia i ruoli tecnici sia quelli di governance, apparentemente diversi ma di fatto complementari, è richiesto di uscire dalle proprie competenze specifiche per sviluppare una visione a tutto tondo, comprensiva sia delle proprie peculiarità che delle conoscenze essenziali per parlare una lingua comune a entrambi i reparti. Una relazione necessaria per garantire il corretto funzionamento del sistema, l’applicazione delle direttive in essere e la messa in campo di una solida struttura di sicurezza informatica.
Dottor Conte, può indicarci le figure professionali che negli ultimi anni sono diventate strategiche all’interno del settore Banking?
“In questa industry le figure chiave sono sia quelle tecniche che quelle normative, con la necessità che entrambe conoscano la controparte e che tra le due si instauri un rapporto di collaborazione attiva.
Una delle figure attualmente più ricercate, in passato era relegata in fondo alla struttura. Si tratta del CISO (Chief Information Security Officer), un profilo diventato centrale perché ha il compito di indirizzare e governare la sicurezza, quindi deve necessariamente conoscere tutte le direttive e le normative europee ed italiane.
Il fattore che ha determinato una revisione di questo ruolo è da ricercare nelle nuove politiche che regolano l’outsourcing dove, se prima le banche tendevano ad esternalizzare la parte tecnologica generando un problema di deresponsabilizzazione, ora la Banca d’Italia ha imposto requisiti sul contratto, sugli assets di sicurezza, sulla valutazione dei rischi dei fornitori, oltre a richiedere monitoraggi continui. La vera svolta di questo nuovo passo sta nell’introduzione del concetto di responsabilità non delegabile dove, nel caso si verificasse un incidente con un impatto sui clienti, la colpa ricadrebbe sempre sull’Istituto, anche qualora la mancanza dipendesse dell’outsourcer.
Il CISO quindi, oltre ad avere profonde competenze normative, deve anche essere caratterizzato da capacità tecniche che gli consentano di individuare eventuali fragilità.
Altre figure interessanti sono quelle che effettuano penetration test e vulnerability assessment, infatti l’audit in ambito sicurezza informatica e cyber security sta sempre più diventando una funzione tecnologica e, visto che le autorità chiedono periodiche verifiche di sicurezza, i profili tecnici specializzati in test di questo tipo sono diventati estremamente strategici.
Nonostante queste premesse, le banche piccole tendono ad affidarsi ancora molto agli outsourcer con la conseguenza che internamente si ritrovano ad avere una carenza di know how tecnico per governare queste tematiche. Diversamente, quasi tutte le grandi banche hanno creato gruppi tecnici di governance anche per quanto riguarda i processi e, considerate le sempre più numerose normative di matrice europea, è necessario che al loro interno siano presenti figure capaci di costruire relazioni strette con la BCE."
Data la sua esperienza come Scout di Reverse ha modo di incontrare diversi candidati attivi in questo settore. Quali dinamiche riscontra nel recruiting di figure IT specializzate nel banking?
“Parlando delle figure junior, posso dire che le Università italiane non sono ancora allineate alla domanda del mercato, perciò la formazione di questi profili è totalmente a carico dell’azienda.
La difficoltà maggiore di chi si approccia per la prima volta a questo settore coincide con la mancata conoscenza delle normative bancarie, anche se negli ultimi anni sto notando una propensione sempre più forte verso l’ottenimento di certificazioni, che rappresenta un trend sicuramente positivo.
Concentrandoci sull’informatica e sulla cybersicurezza, purtroppo non ci sono ancora corsi specializzati nella formazione di queste figure e il mercato è molto frastagliato, composto prevalentemente da tante piccole società ma non grossi player.
Un ultimo aspetto che vorrei sottolineare è il rapporto tra le banche e le società di consulenza. Le banche vedono nelle Big Four una delle scuole più interessanti da cui poter selezionare talenti, soprattutto per quanto riguarda l’area governance. Ecco perché le grandi società di consulenza rappresentano un’ottima opportunità per le figure junior che vogliono intraprendere una carriera in questo ambito crescendo molto in fretta. Diverso è invece il percorso per coloro che scelgono di proseguire nell’area tecnica, che invece prediligono società medio piccole molto specializzate o i colossi internazionali del tech."
A suo parere quali sono gli aspetti che permettono ai manager di fare la differenza?
"Come detto, gli ambiti tra cui scegliere sono due: governance o tecnologico. Questa distinzione però non deve veicolare un’immagine di totale separazione tra i due ruoli, perché in realtà sono necessariamente interconnessi. Ai manager infatti è richiesto di avere competenze trasversali che consentano loro di capire e interpretare la lingua della controparte: chi lavora nell’ambito governance deve avere una competenza tecnica di base e chi ha scelto l’ambito tecnologico non può lasciare in secondo piano la conoscenza delle direttive in essere.
Inoltre anche l’ottenimento di certificazioni specifiche, ad esempio CISSP, CISM o PMP, può fare la differenza."
Quali sono i principali cambiamenti che hanno interessato questo settore negli ultimi anni?
“Il mondo del banking, a differenza di altri settori, è altamente normato e viene colpito da direttive promosse sia dalla Banca d’Italia che dalla BCE. Ecco perché per raccontare l’evoluzione di questo settore è necessario elencare le principali direttive che negli anni lo hanno plasmato e che continueranno a farlo nel prossimo futuro.
Una delle più impattanti in ambito cyber security è la Circolare 285 che, dopo essere stata emessa nel 2013, ha iniziato a stabilire requisiti formali riguardanti i sistemi informativi bancari ed è intervenuta per sottolineare l’importanza della continuità operativa.
Negli anni a seguire, c’è stato un continuo evolversi di disposizioni che hanno introdotto requisiti sempre più stringenti, perciò nell’ambito banking possiamo affermare che la cybersecurity sia al 90% un obbligo normativo. Le banche offrono dei servizi di pagamento e rappresentano un asset essenziale per ogni paese, quindi un fitto tessuto di regole e direttive specifiche è assolutamente necessario.
Al di là del GDPR, che è trasversale su diversi settori, sulle banche ha avuto un grande impatto la PSD2, la nuova direttiva sui pagamenti digitali, che ha introdotto l’obbligo dell’autenticazione forte e altri requisiti sempre in ambito sicurezza.
A livello europeo, il braccio armato tecnico è rappresentato dall’EBA (European Banking Authority) che, oltre ad occuparsi dei regolamenti europei emessi poi dal Parlamento, cura le linee guida non obbligatorie che le autorità nazionali decidono come recepire, Banca d’Italia ad esempio le accoglie in maniera integrale.
Proseguendo in questo senso, un altro protocollo che è essenziale segnalare è il NIS (Network Information Service) che ha portato alla concretizzazione del Perimetro di Sicurezza Nazionale Cibernetico. Con l’avvento di questa nuova disposizione i principali player bancari sono stati costretti ad adeguarsi ad obblighi stringenti in termini di sicurezza, comunicazione di eventuali incidenti o riguardo alla necessità di fare test sugli apparati prima di acquisirli e installarli.
Segue poi DORA, il Digital Operational Resilience Act, attualmente in fase di stesura, che imporrà ulteriori requisiti alle banche per incrementare la loro resilienza. E concludo segnalando il Cyber Security Act, in corso di attuazione, che introdurrà l’Agenzia Europea della Sicurezza e instaurerà un quadro di certificazioni applicabile a prodotti, servizi e processi a livello comunitario, sostituendo i sistemi nazionali utilizzati fino ad ora.”
In base alla riflessione che ha appena condiviso, ha riscontrato differenze tra gli Stati membri?
"Visto che le normative europee sono diventate stringenti, anche sul singolo requisito tecnico, l’organizzazione è pressoché identica in tutta Europa.
La tematica è molto spinosa perciò la BCE, e di riflesso tutte le Banche Centrali degli Stati membri, sta spingendo molto sull’awareness per creare consapevolezza sull’importanza di questi aspetti, promuovendo corsi di sensibilizzazione sulla sicurezza, sia per dipendenti e collaboratori ma anche per i singoli correntisti."
In questo scenario così complesso e in movimento che ci ha raccontato, cosa dobbiamo aspettarci dal futuro che sta arrivando?
"In generale il settore del Banking è un mondo in evoluzione. In particolare credo che sia necessario tenere l’occhio puntato sull’iniziativa connessa al Perimetro Cibernetico perché darà luogo allo sviluppo di importanti tematiche legate alla certificazione di prodotti, mai viste prima nel nostro paese. E ora che la cyber sicurezza è diventata un’emergenza europea e nazionale è ovvio che questo mercato si amplierà molto di più. Allo stesso tempo il Banking è un mercato di nicchia che è improvvisamente impazzito, non solo in Italia ma in tutto il mondo occidentale: la domanda al momento supera di gran lunga l’offerta. Se da un lato le banche hanno dovuto acquisire sempre più tecnici per istituire il tessuto di governance, dall’altro le società fornitrici di servizi tecnici si sono ritrovate a corto di persone e il livello di turnover si è inevitabilmente impennato."
In un settore che cambia velocemente anche i parametri per il recruiting e l'Head Hunting stanno vivendo la rivoluzione.
Porta innovazione nelle tue strategie:
