Audit in ambito CRM: Rischi Operativi vs Compliance Linee Guida

Transcript

1 Audit in ambito CRM: Rischi Operativi vs Compliance Linee Guida Roberto Apollonio Internal Audit Dept 3 Italia Milano, 12 Novembre

2 3 Italia: Azionisti e Risultati 3 Italia ha come principale azionista il Gruppo Hutchison Whampoa (HWL), una delle più importanti Società quotate alla Borsa di Hong Kong (5 core business, oltre dipendenti in 57 Paesi con un fatturato di 40 mld $ nel 2007, e 19 milioni di clienti UMTS nel mondo), oltre ad alcuni investitori Italiani: 97.2 % HWL 2.6 % NHS Investments 0.2 % GEMINA 8,45 milioni di clienti UMTS (20 Agosto 2008) clienti DVB-H (TV Digitale Mobile) a Giugno 2008 Fatturato 2007: 2,1 miliardi di euro All avanguardia nello sviluppo delle tecnologie mobili 3G grazie al lancio dell HSDPA e HSUPA page 2 2

3 Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 3 3

4 Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 4 4

5 Scenario: Normativa vs Business Customer Relationship Management L'errore più comune in cui ci si imbatte quando si parla di Customer Relationship Management (CRM) è quello di equiparare tale concetto a quello di un software. Il CRM non è una semplice questione di marketing né di sistemi informatici, bensì si avvale, in maniera sempre più massiccia, di strumenti informatici o comunque automatizzati, per implementare la gestione del cliente. Il CRM è un concetto strettamente legato alla strategia, alla comunicazione, all'integrazione tra i processi aziendali, alle persone ed alla cultura, che pone il cliente al centro dell'attenzione sia nel caso del business-to-business sia in quello del business-toconsumer. Le applicazioni CRM servono a tenersi in contatto con la clientela, a inserire le loro informazioni nel database e a fornire loro modalità per interagire in modo che tali interazioni possano essere registrate e analizzate. page 5 5

6 Scenario: Normativa vs Business Call Center Per Call Center o servizi chiamate s'intende l'insieme dei dispositivi, dei sistemi informatici e delle risorse umane atti a gestire, in modo ottimizzato, le chiamate telefoniche da e verso un'azienda o, verosimilmente, da e verso la propria clientela. L'attività di un Call Center può essere svolta da operatori specializzati e/o risponditori automatici interattivi IVR al fine di offrire informazioni, attivare servizi, fornire assistenza, offrire servizi di prenotazione, consentire acquisti e organizzare campagne promozionali. Contact Center Il Contact Center rappresenta il canale di comunicazione diretto tra azienda e mondo esterno e uno strumento privilegiato di gestione del cliente assumendo una rilevanza strategica nel contribuire a determinare il livello di customer satisfaction e fidelizzazione impattando sull andamento del business. Per essere efficace il Contact Center deve garantire facilità di accesso, servizi personalizzati, tempi di risposta rapidi e qualità delle informazioni. page 6 6

7 Scenario: Normativa vs Business Aree di gestione/trattamento dei dati del cliente Gestione dati del cliente su sistemi e database aziendali: Dati anagrafici Portafoglio prodotti e servizi Coordinate bancarie Eventuale gestione in-house di numeri di carta di credito Traffico telefonico Traffico telematico Supporto implementazione politiche commerciali effettuate sulla base di monitoraggio ed analisi su scelte e comportamenti di acquisto, utilizzo di prodotti e servizi per valorizzare e fidelizzare la clientela. Ricerche di mercato basate su analisi ed elaborazione statistica dei dati, acquisiti anche attraverso interviste e questionari, finalizzata alla commercializzazione di prodotti e servizi. Il cliente quale driver del business page 7 7

8 Scenario: Normativa vs Business Principali Rischi per il Business Le dinamiche di rapido sviluppo del business si traducono, il più delle volte, in assenza di adeguati livelli di controllo che possano assicurare la corretta conduzione dello stesso business. Non è raro imbattersi in situazioni a rischio quali ad esempio: Accesso non autorizzato ad applicazioni e dati riservati Utilizzo improprio dei dati del cliente, ad esempio: Dati di carta di credito Tabulati di traffico telefonico e/o telematico Frodi interne Impossibilità di tracciare le attività Mancata applicazione di misure tecniche ed organizzative richieste per assicurare la compliance alla normativa di legge vigente il rischio è il mio mestiere page 8 8

9 Scenario: Normativa vs Business Quadro normativo di riferimento comunitario Direttiva 2002/58/CE del 12 luglio 2002 relativa alla vita privata e alle comunicazioni elettroniche Direttiva 2002/65/CE relativa alla commercializzazione a distanza di servizi finanziari ai consumatori Direttiva 2000/31/46/CE del 2 giugno 2000 relativa al commercio elettronico Direttiva 97/7/CE del 20 maggio 1997 relativa alla protezione dei consumatori in materia di contratti a distanza Direttiva 95/46/CE del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati Quadro normativo di riferimento nazionale Il Codice in materia di protezione dei dati personali (D. Lgs. N. 196/2003) o Articoli da 1 a 45, 61, da 121 a 133, da 140 a 186; o Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B) page 9 9

10 Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 10 10

11 Protezione dei dati Raccolta di dati personali dei clienti Dati anagrafici Recapiti telefonici e telematici Informazioni su: le attività svolte dal cliente Il nucleo familiare Gusti e preferenze Raccolta dati presso terzi Liste elettorali Elenchi telefonici Albi professionali Registri ed elenchi pubblici Elenchi di categoria Liste ed elenchi forniti da privati page 11 11

12 Protezione dei dati Regole generali per la configurazione dei sistemi e programmi informatici (Privacy Compliance) Principi del Codice secondo i quali le società titolari dei trattamenti dei dati sono tenute a: Attenersi ai principi e ai limiti stabiliti da Codice in materia di protezione dei dati personali. Ridurre al minimo indispensabile le informazioni raccolte, le modalità e le operazioni eseguibili, l ambito di circolazione dei dati e dei tempi di loro conservazione Ridurre al minimo l utilizzo di dati informativi dei clienti Assicurare il trattamento dei dati personali pertinenti alle sole finalità perseguite Utilizzare tecniche di cifratura per la conservazione dei dati Assicurare la tracciabilità delle operazioni condotte sui dati Privacy vs Business page 12 12

13 Protezione dei dati Regole generali per la configurazione dei sistemi e programmi informatici (Business Oriented) Il cliente è l elemento cardine del business di un azienda e come tale va protetto intervenendo e rafforzando la sicurezza nelle aree aziendali che gestiscono e utilizzano i dati del cliente: Analisi di mercato Dati del cliente business oriented Banche dati di diversa natura riconducibili direttamente o indirettamente al cliente Leve di fidelizzazione del cliente Business page 13 13

14 Protezione dei dati Obiettivi e controlli Objects Modalità di trattamento delle diverse tipologie di dati Utilizzo dati clienti secondo normativa in materia Esistenza di tecniche di cifratura e/o anonimizzazione Modalità e tempi di conservazione dei dati Tecniche utilizzate per la cancellazione dei dati Check List Classificazione del dato Misure a protezione dei dati in aderenza alla loro classificazione (i.e. cifratura, profilazione utente, protezione dei sistemi e della rete) Modalità di archiviazione dei dati, ripristino e conservazione (backup, restore, retention) Procedure operative per la distruzione dei dati Tracciamento degli accessi ai dati Reporting page 14 14

15 Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 15 15

16 Credenziali di accesso Quanto definito dal CODICE Art. 4.Definizioni 3. Ai fini del presente codice si intende, altresì, per: c) "autenticazione informatica", l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità; d) "credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica; e) "parola chiave", componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica; f) "profilo di autorizzazione", l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti; g) "sistema di autorizzazione", l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente. page 16 16

17 Credenziali di accesso Quanto richiesto dal CODICE Art. 34. Trattamenti con strumenti elettronici Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; Quanto richiesto per il Business Il trattamento di dati aziendali sia consentito secondo il criterio del need-toknow, in aderenza alle modalità previste dalla procedura di classificazione dei dati assicurando le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione. page 17 17

18 Credenziali di accesso Obiettivi e controlli Objects Check List Processo formale per la gestione delle credenziali di accesso Accesso controllato ai sistemi/applicazioni/dati Review periodica delle credenziali di accesso, dei profili utente del sistema delle autorizzazioni Ove necessario, utilizzo di strumenti di strong authentication Monitoring e reportistica Procedura gestione user accounts e profili utenze Regole gestione password di accesso Piani di formazione Evidenze di tentativi di violazione all accesso Strumenti di monitoring, produzione e condivisione di reportistica Modalità di utilizzo e gestione di dispositivi di strong authentication page 18 18

19 Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 19 19

20 Tracciamento delle operazioni Perché La necessità del tracciamento delle operazioni condotte su sistemi, applicazioni e dati, ove necessaria per il business e per la normativa, è fondamentale per le seguenti ragioni: 1. Ricostruire a posteriori la sequenza delle azioni condotte; 2. Conservare traccia di chi ha condotto le attività; 3. Porre in relazione azioni condotte su unità differenti; 4. Rilevare eventuali tentativi di accesso non autorizzati; 5. Rilevare accessi anomali se pur per account autorizzati; 6. Reportizzare accessi e utilizzo delle risorse; 7. Individuare situazioni di reale o potenziale frode; Business & Privacy page 20 20

21 Tracciamento delle operazioni Quanto richiesto dal CODICE dovrà essere tenuta preventivamente traccia in un apposito "registro degli accessi" dell'evento, nonché delle motivazioni che lo hanno determinato, con una successiva descrizione sintetica delle operazioni svolte, anche mediante l'utilizzo di sistemi elettronici; tale registro deve essere custodito dal fornitore presso le sedi di elaborazione e messo a disposizione del Garante nel caso di ispezioni o controlli, unitamente a un elenco nominativo dei soggetti abilitati all'accesso ai diversi sistemi di elaborazione con funzioni di amministratore di sistema, che deve essere formato e aggiornato costantemente dal fornitore Quanto richiesto per il Business Dati company confidential, business related e altre tipologie di dati riservati impongono l adozione di tecniche di tracciamento degli accessi e delle attività condotte sui sistemi, applicazioni e dati alla stessa stregua di quanto previsto da normative sul trattamento di dati riservati e/o sensibili. page 21 21

22 Tracciamento delle operazioni Obiettivi e controlli Objects Accessi e modifiche a dati di business e privacy oriented siano tracciati adeguatamente Archiviazione secondo quanto previsto da normativa e necessità di business Integrità e confidenzialità dei log Check List Successful e unsuccessful logons Traccia (log) delle attività rilevanti condotte su sistemi, applicazioni e dati e loro archiviazione Modifiche dei profili di accesso per utenze e loro autorizzazioni Gestione di black-list per utenze, postazioni, subnet Gestione di tentativi ripetuti di accesso page 22 22

23 Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 23 23

24 Monitoring e Reporting Monitoring Una generica definizione del processo di monitoring recita:.. to be aware of the state of a system.. Essere dunque a conoscenza dello stato dei sistemi, delle applicazioni e dei dati: monitorare, quanto rilevante, al fine di rilevare eventuali situazioni a rischio (i.e., performance dei sistemi, service continuity, accesso alle risorse) Reporting Il Reporting è il processo di accesso, formattazione e distribuzione dei dati all interno e all esterno dell organizzazione attraverso il quale vengono indirizzate sia le informazioni storiche e prospettiche necessarie ad orientare giornalmente il processo decisionale sia le evidenze di eventuali situazioni a rischio e/o attività anomale. Business & Privacy page 24 24

25 Monitoring e Reporting Quanto richiesto dal CODICE Sistema di autorizzazione I profili di autorizzazione, sono individuati e configurati in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento Altre misure di sicurezza I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici. dovrà essere tenuta preventivamente traccia in un apposito "registro degli accessi" dell'evento, nonché delle motivazioni che lo hanno determinato, con una successiva descrizione sintetica delle operazioni svolte, anche mediante l'utilizzo di sistemi elettronici; Quanto richiesto per il Business Monitoring e reporting costituiscono nel loro insieme uno strumento di controllo sulla corretta conduzione delle attività svolte nell ambito dell area in esame. Le banche dati dei clienti gestite dalla società contengono, oltre ai dati riservati/sensibili secondo legge, anche dati business confidential o in alcuni casi coordinate finanziare degli stessi clienti che devono essere protette. page 25 25

26 Monitoring e Reporting Obiettivi e controlli Objects Processo di monitoring e reporting finalizzato al rispetto di normative di legge e obiettivi di controllo interno Rilevazione di control exceptions, successiva loro analisi, identificazione e rimozione delle root causes. Servizi in outsourcing: verifica sullo stato dei controlli interni e compliance alle normative di legge Check List Procedure/Processi/tools di monitoring & reporting (i.e. accesso, modifica, archiviazione, cancellazione, distruzione) Processo di gestione delle exceptions con particolare focus sulle azioni d follow-up (i.e. tentativi di accesso falliti, mancato tracciamento delle operazioni, gestione backup non conforme alle normative di legge) Verifica corretta applicazione delle normative di legge Condivisione di report con il management page 26 26

27 Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 27 27

28 Messa in sicurezza Hardening Un computer, sistema operativo più hardware, assolutamente sicuro non esiste. Non solo, la definizione stessa di sicurezza è relativa a cosa si vuole proteggere. In pratica più un sistema è sicuro, più è difficile il suo utilizzo poiché le procedure di sicurezza si scontrano spesso frontalmente con la fruibilità. Questo implica anche che la sicurezza costa e riduce la produttività. D altra parte, la sicurezza riduce i rischi. La morale di tutto ciò è che invece di partire da un sistema molto sicuro per renderlo anche utilizzabile, la prassi è di partire da un sistema facilmente utilizzabile e cercare di renderlo più sicuro. Questo processo è spesso indicato con il nome di Hardening del Sistema Operativo. Bisogna sottolineare che mettere in sicurezza qualche cosa che non è stato progettato con criteri di sicurezza è sempre un compito molto arduo e che la possibilità di fare degli errori nella fase di Hardening è molto grande. Quello che si può ottenere è un sistema ragionevolmente sicuro, in cui la maggior parte dei possibili punti di intrusione sono bloccati e vi sono ragionevoli meccanismi di verifica, controllo (inclusi identificazione, autorizzazione ed accounting), alerting, recovering e backup. Business & Privacy page 28 28

29 Messa in sicurezza Quanto richiesto dal CODICE Sistema di autorizzazione I profili di autorizzazione, sono individuati e configurati in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento Altre misure di sicurezza I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici. Quanto richiesto per il Business Applicare ai sistemi tecniche di hardening limitando il numero di servizi in ascolto, il numero di applicazioni installate e il modo in cui le applicazioni gestiscono dati in ingresso. Ridurre la superficie d attacco al sistema. Considerare le tecniche di hardening come un approccio sistematico da usare con qualunque server o applicazione business related. page 29 29

30 Messa in sicurezza Obiettivi e controlli Objects Check List Processo/procedure di hardening e loro applicazione Hardening quale step nello sviluppo delle applicazioni, dei sistemi e servizi Hardening delle infrastrutture di rete Aggiornamento dei S.O. e delle applicazioni Standard di hardening e compliance alla normativa Procedure/std di hardening Processo sviluppo delle applicazioni, dei sistemi e servizi Verifica messa in sicurezza di: sistemi, applicazioni, infrastrutture di rete, postazioni di lavoro Processo di aggiornamento dei S.O. e SW Reporting page 30 30

31 Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 31 31

32 Continuità del servizio Continuità del servizio (Business Continuity) Per business continuity si intende la capacità dell'azienda di continuare ad esercitare il proprio business a fronte di eventi catastrofici che possono colpirla. La pianificazione della continuità operativa e di servizio si chiama business continuity plan, e viene comunemente considerata come un processo globale che identifica i pericoli potenziali che minacciano l'organizzazione, e fornisce una struttura che consente di aumentare la resilienza e la capacità di risposta in maniera da salvaguardare gli interessi degli stakeholders, le attività produttive, l'immagine, riducendo i rischi e le conseguenze sul piano gestionale, amministrativo, legale. Il documento di business continuity ha un'impronta prettamente economica e consente, in caso di disastro, di stimare economicamente i danni e di pianificare la ripresa delle attività aziendali. Il Disaster Recovery Plan, che è mirato ai servizi informatici, è quindi un sottoinsieme del business continuity plan. Il Piano di continuità del business (BCP) contiene informazioni riguardo le azioni da intraprendere in caso di incidente, chi è coinvolto nell attività e come deve essere contattato. Business & Privacy page 32 32

33 Continuità del servizio Quanto richiesto dal CODICE Art. 31. Obblighi di sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Art. 34. Trattamenti con strumenti elettronici Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; Quanto richiesto per il Business Il cliente è il 1 driver del business: la continuità del servizio e la pronta disponibilità del dato sono cardini fondamentali dello stesso business. page 33 33

34 Continuità del servizio Obiettivi e controlli Objects Business Continuity Analysis Piano operativo per il ripristino del servizio Utilizzo di tool di sviluppo e manutenzione dei piani Coinvolgimento delle figure chiave Processo Business Continuity Management Check List Analisi, studi o altro attinente al tema BC Presenza di piani di Disaster Recovery Verifica di procedure di gestione crisi e piani operativi di ripristino del servizio Verifica della conoscenza delle procedure di ripristino da parte delle figure chiave dell organizzazione Business Continuity quale elemento/step di un processo di Business Continuity Management page 34 34

35 Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 35 35

36 Major Issues Major issues rilevate durante CRM audits Gestione user accounts e profili utente non conformi agli standard aziendali: condivisione user accounts, aggiornamento liste user accounts e profili utente Tracciamento delle attività: monitoring e reportistica non in linea con le richieste normative e di sicurezza std Hardening delle postazioni di lavoro Gestione archivi dati: backup, retention, cancellazione Interruzione del servizio a seguito di eventi dannosi Transazioni non tracciate e non autorizzate in maniera adeguata page 36 36

37 Il messaggio finale Il dilemma quotidiano Business vs Compliance Il desiderata del domani Business & Compliance page 37 37

38 Grazie per l attenzionel page 38 38