DNB adotta un approccio proattivo alla gestione del rischio

Necessità di tutelare i servizi finanziari
Le banche forniscono servizi così fondamentali da dover fare tutto ciò che è in loro potere per eliminare o ridurre l'esposizione al rischio. Il mancato funzionamento dei sistemi bancari può avere un effetto devastante su singoli clienti, imprese o interi paesi.

Che si tratti di garantire il tempo di attività del dipartimento IT, di controllare i partner commerciali di terze parti o di proteggersi dai cyber-attacchi esterni, la necessità di identificare e mitigare le vulnerabilità è una sfida ardua. Questo è certamente il caso di DNB che, con una spesa IT annuale di oltre 500 milioni di euro, conta circa 50 responsabili del servizio che gestiscono quasi 1.000 applicazioni IT, data center e infrastrutture cloud.

Nel mondo dei servizi finanziari, così altamente regolamentato, DNB deve inoltre proteggere le sue 11 licenze di prodotti bancari e finanziari dimostrando la loro conformità agli organismi di controllo come Schrems II, Basilea III e NIST.

"Se subissimo una violazione della sicurezza e un'intrusione nei dati, sarebbe deleterio per la nostra reputazione. Potremmo perdere le nostre licenze, ricevere multe incredibilmente elevate e i clienti potrebbero rivolgersi altrove", afferma Anne Kristine Næss, Enterprise Architect per la piattaforma ServiceNow di DNB.

La gestione del rischio è una delle priorità di DNB, ma la banca si è resa conto che non era possibile far fronte manualmente a un lavoro così complesso utilizzando fogli di calcolo Excel. Richiedeva troppo tempo e quando i dati diventavano disponibili, erano spesso obsoleti.

L'accordo normativo di Basilea III e i requisiti di capitale relativi alla posizione di rischio di DNB implicano che la banca deve anche mettere da parte grandi somme ogni anno come precauzione in caso di problemi. La banca voleva un maggiore controllo del suo rischio e poter ridurre la sua posizione di rischio per contenere i requisiti di capitale, permettendosi di poter investire questo denaro in attività più redditizie come la creazione di nuovi prodotti e funzionalità digitali, che potessero soddisfare le aspettative sempre crescenti dei clienti.

Mitigazione dei rischi basata su dati attuali
"Necessitavamo di uno strumento con una gerarchia in modo da poter fornire risultati che fossero di interesse per diversi framework", racconta Kristine. Avevamo anche bisogno di provare che le policy venissero rispettate, il che richiedeva una gestione compiti che permettesse alle persone di raccogliere dati in tempo reale, vedere cosa stesse succedendo e intervenire.

"Non siamo riusciti a eliminare completamente Excel, ma ora gli utenti capiscono che è meglio affidarsi ai dati in ServiceNow piuttosto che affidarsi ai loro fogli di calcolo."

Già fruitore di molte altre soluzioni ServiceNow, DNB ha implementato ServiceNow Integrated Risk Management per gestire il rischio sia per i servizi interni che per le minacce provenienti da terzi.

Il modulo Software Asset Management (SAM) e Vulnerability Response vengono utilizzati per tenere traccia delle vulnerabilità relative alle risorse software che potrebbero raggiungere il termine del ciclo di vita o che richiedono patch e aggiornamenti. In questo modo DNB può garantire che le informazioni contenute nel proprio Configuration Management Database (CMDB) siano corrette e che i responsabili del servizio dispongano di dati inconfutabili per supportare i finanziamenti per patch e altre attività che rendono i servizi sicuri.

ServiceNow Security Incident Response semplifica l'identificazione degli incidenti critici e fornisce strumenti di workflow e automazione che velocizzano eventuali risoluzioni. Ciò consente alla banca di imparare da ciò che ha causato problemi in passato e di migliorare la sua posizione in termini di rischio.

"Vorrei anche menzionare il modulo DevOps e l'imminente configurazione DevOps dove è possibile controllare gli incrementi di codice prima che vengano distribuiti e vadano in produzione", dice Kristine. "Ciò soddisfa policy di rischio come quella del NIST e permette a più team di lavorare secondo le best practice DevOps, oltre a fornire a noi un audit trail."

Maggiore consapevolezza della vulnerabilità al rischio
DNB vanta ora un framework di membri centralizzati del team di rischio a coordinare i processi: esperti di rischio e sicurezza all'interno dell'IT centralizzato e responsabili di gestione del rischio in tutto il ramo commerciale dell'organizzazione.

Supportata dalla tecnologia ServiceNow, DNB ha implementato un processo di mitigazione del rischio grazie a diverse nuove policy e controlli pensati per mantenere la banca al sicuro, rendendo i responsabili del servizio più consapevoli dei rischi e in grado di assumersi più responsabilità. Si concentrano sull'acquisizione tempestiva dei dati in tempo reale, il che consente al personale di valutare correttamente i rischi attuali e di stabilire le priorità per ciò che deve essere mitigato. Offrono inoltre valutazioni automatizzate dei rischi in cui i responsabili del servizio rispondono a domande per affrontare i rischi attualmente incontrati, la mitigazione che stanno per avviare e i risultati finali. Se hanno successo, il pericolo di rischio può rientrare.

"Il nostro lavoro ha sicuramente ridotto il rischio per la banca e la prova è il numero di aspetti che abbiamo considerato per ridurre la probabilità che succeda qualcosa di spiacevole", aggiunge Kristine. "Attualmente la nostra situazione operativa è decisamente migliore di quella precedente. Questo perché siamo molto attenti a ciò che mettiamo in produzione e riconosciamo che il rischio significa cambiare mentalità e non è solo qualcosa da segnalare. Questo, insieme alla nostra capacità di mantenere un buon processo di gestione del rischio, ha già portato a una notevole riduzione dei vincoli di capitale per l'anno fiscale in corso.

"Ora i tempi di inattività dei nostri servizi essenziali si sono ridotti e registriamo pochissimi problemi e, volendo continuare su questa strada, entra in gioco ServiceNow Integrated Risk Management, perché ci permette di non abbassare gli standard. Vogliamo aumentare la soddisfazione dei clienti e al contempo azzerare i tempi di inattività, l'impatto sui servizi e le violazioni della sicurezza. ServiceNow ci sta aiutando a far sì che ciò accada."