Pagina 1 di 9 Pubblicata su Data Manager Online (http://www.datamanager.it) Home > Strong Authentication > BANCHE E SICUREZZA BANCHE E SICUREZZA Da redazionedmo Creata il 22/09/2011-11:07am Immagine: La sicurezza negli istituti di credito deve essere integrata e di sistema. Questo vuol dire rispondere a una richiesta che impone di acquisire una complessa visione d'insieme tenendo conto di tutte le criticità: la filiale, la tutela del dipendente, gli interlocutori esterni, l autenticazione sicura, le minacce ai sistemi di pagamento e la difesa del patrimonio informativo di Piero Bucci La sicurezza nei servizi bancari e finanziari è sempre di più un aspetto strategico e, nell attuale contesto competitivo, può incidere efficacemente sul core business. La banca si trova a dover conciliare esigenze di protezione, riservatezza e sicurezza con quelle opposte di apertura e velocità. Gestire i rischi e la sicurezza in ottica integrata e di sistema vuol dire rispondere a una richiesta che impone di acquisire una complessa visione d'insieme tenendo conto di tutte le criticità: la filiale, la tutela del dipendente, gli interlocutori esterni, l autenticazione sicura, le minacce ai sistemi di pagamento e la difesa del patrimonio informativo. Per affrontare il tema, analizzare le conseguenze e le possibili soluzioni, i principali attori della sicurezza in banca si sono ritrovati a Roma, prima dell estate, per il convegno Banche e Sicurezza 2011. L evento, organizzato dall ABI Associazione Bancaria Italiana (www.abi.it [1]), Ossif Osservatorio in materia di sicurezza (www.ossif.it [2]) e ABI Lab (www.abilab.it [3]), ha delineato lo stato dell'arte e ha fatto il punto sulle più innovative metodologie e tecnologie per la sicurezza. Principali tendenze Dai risultati emersi durante le due giornate e dalla parallela indagine compiuta da Data Manager, con il diretto coinvolgimento dei fornitori, scaturiscono le principali conclusioni che vengono sintetizzate di seguito. Le banche sono il principale spender nel mercato italiano della sicurezza. Da sole rappresentano circa il 30%, con una spesa complessiva annua di 1,27 miliardi di euro, e hanno un peso equivalente all insieme dei settori GDO, PAL, infrastrutture e trasporti.
Pagina 2 di 9 La voce principale di spesa è rappresentata dalla sicurezza fisica, in particolare dai servizi di vigilanza e gestione contante. Giovanni Pirovano, vice presidente ABI, sottolinea che in Italia, nonostante la lotta al contante intrapresa, circolano ancora 145 miliardi di euro in banconote e quasi 4 miliardi in monete, per un totale di 2.570 miliardi di pezzi. Gli strumenti diversi dal contante vengono impiegati solo in 64 operazioni procapite all anno contro le 255 della Francia e 176 dei Paesi dell Eurozona. Secondo i dati raccolti dall Ossif, le rapine sono diminuite. Nel 2010 sono state 1.423 con un calo del 18,4% rispetto alle 1.744 compiute nel 2009. La diminuzione conferma il trend positivo già registrato alla fine dello scorso anno e riguarda anche il cosiddetto indice di rischio, cioè il numero di rapine ogni 100 sportelli, che è passato da 5,1 a 4,1. Roberto Lorini, executive vice president di Value Team (www.valueteam.com [4]), società di proprietà della giapponese NTT Data, insiste sulla valenza strategica della sicurezza, affermando come «nell attuale contesto competitivo essa rappresenti un valore perché consente: la riduzione dei rischi operativi, la preservazione dai danni d immagine e reputazionali, la riduzione dei fenomeni frodatori e criminali, l aderenza alle normative e l abilitazione di nuovi servizi». I principali driver evolutivi, secondo Lorini, sono: le direttive di sistema della Banca d Italia e Banca Centrale Europea (BCE) per l efficienza, qualità e sicurezza della banca; la Payment Service Directive (Psd) per l apertura del mercato delle transazioni anche ad attori non bancari, con l obiettivo di favorire la concorrenza; le indicazioni del Garante della Privacy con misure e accorgimenti verso gli amministratori di sistema e con le linee guida in materia di circolazione-tracciamento delle operazioni bancarie ; il Codice Amministrazione Digitale (Cad) 2.0: con la spinta verso processi dematerializzati e paperless e l apertura verso strumenti di firma remota e, più in generale, con la cosiddetta Open Data PA. Lorini mette poi a fuoco l evoluzione tecnologica in atto e in particolare: l accesso in mobilità e i social network, l evoluzione dei servizi al cliente, l esecuzione di contratti da remoto, la dematerializzazione dei processi e la filiale paperless, la connessione di dispositivi intelligenti alla rete IP (Internet delle cose), le minacce sempre più evolute alla sicurezza e, infine, il Cloud computing. Le aree di presidio della sicurezza sono quindi oggi molto vaste e caratterizzate da nuovi trend evolutivi riepilogati brevemente nella Figura. Proprio per questo Value Team ritiene necessario un nuovo framework di riferimento per una visione integrata e di sistema dei problemi e della governance della sicurezza che sia in grado di gestire la crescente complessità e in cui assume rilevanza fondamentale la capacità di sviluppare una visione d insieme. Il rischio informatico Se, da una parte, stanno diminuendo gli atti criminali tradizionali, dall altra però si sta registrando un incremento e uno spostamento dell attenzione verso i crimini informatici, meno rischiosi e più remunerativi. A differenza di qualche anno fa, infatti, gli attacchi sono spinti da finalità economiche e desiderio di rapido guadagno. Phishing, spyware, adware, spam, attacchi DDoS, cavalli di troia che arrivano a impossessarsi dei Pc colpiti e a creare le cosiddette bot-net, sono le minacce più attuali. In quest area sono nate vere e proprie organizzazioni criminali estese che sono in grado di offrire a chiunque, dietro compenso, tutto ciò che serve per un attacco, compreso l anonimato, oppure veri e propri attacchi su commissione. Prospera inoltre il traffico e la vendita di identità digitali e informazioni economiche. Oltre a queste, altre minacce si stanno diffondendo e sono in grado di propagarsi attraverso applicazioni peer-to-peer, instant messaging o IP telephony. Marco Ugolini, pre sales manager di Kaspersky Lab Italia (www.kaspersky.com/it [5]), sottolinea come «i maggiori punti deboli per la sicurezza si possono oggi identificare nei sistemi di home banking attraverso app per mobile. Questo perché, a parità di rischio, per i flussi interni è possibile stabilire un modus operandi che faccia
Pagina 3 di 9 fronte al grosso delle minacce, mentre se analizziamo l accesso a un conto da uno smartphone riscontriamo molte situazioni di possibile attacco malware a scopo di lucro». Il contesto di sicurezza di questi canali comunicativi, infatti, per quanto blindato da tecnologie di crittazione delle comunicazioni o altri accorgimenti, non è affatto immune da possibili attacchi, e i recenti codici malware (droiddream, ikee.b e il poc di soundminer) sono solo la punta dell'iceberg. «Chi si occupa di servizi finanziari prosegue Ugolini - deve pensare, oltre che a proteggere la propria rete da attacchi interni ed esterni, anche di prevenire eventuali tentativi di hijack degli apparati su cui i recenti sistemi di accesso all'home banking sono installati: un bunker con una porta blindata che si apre con un semplice passepartout è insicuro esattamente come una tenda canadese». Kaspersky Lab diffonde periodicamente un report sullo sviluppo del mobile malware, una sfera di competenza del cybercrime che è destinata a svilupparsi di pari passo con la crescente usabilità degli apparati che ne sono il target principale. Inoltre, ha anche sviluppato un portale di early alert, il portale Iris, orientato a distribuire comunicati informativi finalizzati a ridurre il gap temporale fra l'insorgere di nuovi attacchi rivolti all'ambiente bancario e l'approntamento delle contromisure adeguate. Gli fa eco Domenico Fusco, direttore vendite Italia di Panda Security (www.pandasecurity.com [6]). «Sono sempre più numerosi gli utenti che si affidano a servizi di home banking per la gestione dei propri conti bancari ed effettuano transazioni online per realizzare acquisti e prenotazioni direttamente su Internet». Dotarsi di soluzioni efficaci per la prevenzione da malware, frodi e attacchi di phishing per il furto d identità diventa quindi fodamentale per fornire ai clienti la massima sicurezza e garantire servizi online a prova di cyber criminali». «Il Cloud computing prosegue Fusco - sta prendendo sempre più piede, declinato nei diversi modelli di servizio, piattaforme e infrastrutture, e Panda Security propone Panda Cloud Protection che offre protezione antispam e antimalware per tutte le email aziendali; firewall e antimalware per la difesa di Pc, laptop e server». La soluzione in the Cloud di Panda permette di concentrarsi sul business, ricollocare costi e risorse, senza la necessità di infrastrutture aggiuntive dedicate. Inoltre, per quanto riguarda gli ambienti virtualizzati VMware, Panda Virtual GateDefender Performa protegge il perimetro aziendale garantendo un risparmio economico maggiore rispetto alle soluzioni tradizionali hardware distribuite. Panda Virtual GateDefender Performa blocca le attività su Web non produttive o potenzialmente pericolose, utilizzando una Cloud ibrida di sicurezza nel perimetro, incrementando così le capacità di protezione e riducendo al minimo il consumo di risorse. Riccardo Origlia, area sviluppo commerciale di Cedacri (www.cedacri.it [7]), informa che «Cedacri ha focalizzato la propria attenzione sul tema della firma biometrica e del monitoraggio delle frodi su carte di credito e carte di debito». La firma biometrica, utilizzando parametri di riconoscimento quali ritmo, velocità, pressione ecc., rappresenta sicuramente un elemento di garanzia d identità dell utente. «È stato attivato un servizio di Risk Management continua Origlia - per la gestione dei fenomeni fraudolenti, quali utilizzo di carte rubate o smarrite, contraffatte fisicamente o virtualmente, che comprende sia le attività analitiche di monitoraggio sulle transazioni sia le attività di supporto alla banca al fine di individuare e definire congiuntamente tutte le modalità operative di gestione delle situazioni di frode». Nell offerta di servizi in outsourcing, Cedacri ha costruito un modello di sicurezza integrata a tutela delle sedi, della continuità del servizio e dei dati dei clienti. In ambito sicurezza fisica delle filiali Cedacri ha predisposto un sistema di controllo e di gestione centralizzata, capace di coniugare soluzioni di sicurezza fisica (allarmi e videosorveglianza), unito alle componenti di monitoraggio delle postazioni di lavoro e degli Atm, che consente una gestione più efficiente e uniforme delle tecnologie di filiale e conseguente risparmio di costi.
Pagina 4 di 9 Secondo Romano Stasi, segretario generale ABI Lab, «l elevato livello di sofisticazione tecnologica e organizzativa che oggi caratterizza il crimine informatico, consente ai frodatori di gestire una numerosità crescente di attacchi, condotti attraverso i principali canali di comunicazione tra banca e cliente». I meccanismi di coordinamento sviluppati a livello internazionale nella conduzione delle attività fraudolente, consentono di condurre attacchi mirati a specifici target di clientela. Le attività di contrasto delle banche al crimine informatico si sono concretizzate nell adozione di un approccio strutturato, con l obiettivo di sviluppare una capacità di monitoraggio e prevenzione trasversale rispetto al singolo contesto funzionale. ABI Lab ha condotto, in collaborazione con le banche, un monitoraggio delle frodi informatiche da cui è risultato che il fenomeno della perdita delle credenziali di accesso al canale di Internet banking si conferma anche per il 2010 a un elevato livello di diffusione, sia per quanto riguarda il segmento retail che per quello corporate. Tutto ciò rende opportuna la strutturazione a livello di sistema, di un attività continuativa di monitoraggio, prevenzione e contrasto con la partecipazione delle banche, delle istituzioni, delle Forze dell Ordine e dei cittadini. Si manifesta anche la necessità di dover ricercare evidenze informatiche che possano costituire adeguata tutela dei diritti o ragioni delle parti in ogni sede processuale. Si sta quindi affermando la disciplina della digital forensics che si pone proprio l obiettivo di «definire corrette metodologie atte a preservare, identificare e studiare le informazioni contenute nei sistemi, al fine di evidenziare l esistenza di prove utilizzabili in sede processuale». Autenticazione forte e Pci Anna Maria Tarantola, vice direttore generale della Banca d Italia, sostiene che «l adeguata verifica della clientela è un aspetto rilevante dell azione preventiva di contrasto». Essa richiede l identificazione e l autenticazione dei dati acquisiti e la verifica nei confronti del beneficiario sostanziale titolare effettivo dice la norma, quando il cliente è una persona giuridica o effettua un operazione per conto di altri soggetti. Il presidio migliore per la prevenzione del rischio è quello dell autenticazione a due fattori, basata, per esempio, su smart card contenenti certificati digitali e codice Pin o su token e Pin. Fernando Catullo, amministratore delegato di Intesi Group (www.intesigroup.com [8]), a questo proposito, afferma che «i responsabili ICT di banche e istituti finanziari stanno prendendo coscienza del fatto che un modello di sicurezza centrato esclusivamente sulla protezione del canale, oggi, non è più sufficiente. Occorre invece integrare il modello con soluzioni che vadano a verificare, non solo l identità di chi chiede l accesso all informazione, ma anche a proteggere il dato in se stesso, a prescindere dall ambiente in cui è archiviato o consultato». Intesi Group ha dedicato massimo impegno alla realizzazione di prodotti in grado di rendere crittografia e firma digitale tecnologie facilmente integrabili e immediatamente fruibili da parte di banche e istituti finanziari. Proprio questo impegno ha portato l azienda a ottenere, prima e unica al mondo, un importante certificazione di conformità per il proprio sistema di firma remota: la certificazione di IdenTrust, società leader a livello internazionale nella validazione delle soluzioni per l'identità, le cui attestazioni sono riconosciute da istituzioni finanziarie, enti statali e aziende in tutto il mondo. La diffusione di modelli SaaS e il rapido cambiamento nelle modalità di accesso ai servizi finanziari costringono a ripensare i modelli di security privilegiando tecnologie semplici e versatili e schemi organizzativi flessibili. «L eterno trade-off fra sicurezza e usabilità diventa ancora più complesso da valutare con la proliferazione di nuove metodologie di accesso», afferma Federico Rosso, vice presidente di Sata Hi-Tech Services (Techne Security - www.technesecurity.it [9]- è l unico distributore in Italia). «Nella difficoltà di controllare l endpoint prosegue Rosso - occorre focalizzarsi sulla robustezza del processo di autenticazione e sulla tracciabilità delle operazioni». Per questo le tecnologie di accesso ai servizi da parte dei clienti e alla rete aziendale da
Pagina 5 di 9 parte degli utenti remoti, mediante dispositivi sicuri e integrati con ambienti virtuali hardenizzati e non influenzati dall endpoint, unitamente ai sistemi evoluti e sicuri di log management saranno molto importanti. Apulia Previdenza, Pramerica Life, Arca Vita, Fast - Financial Administration Solutions & Technologies, Cedecra Informatica Bancaria sono alcuni fra i clienti che hanno scelto Sata Hts come partner per la gestione integrata di tutti i log generati da molteplici sistemi e applicazioni per le compliance nazionali e di settore. La normativa Pci (Payment Card Industry) ha imposto standard che ora sono obbligatori per tutta l attività finanziaria. Ciò che è diventato fondamentale non è più la sola compliance alle norme: ossia non basta adottare una tecnologia che metta in sicurezza la struttura in base ai parametri Pci. Occorre anche la pianificazione e l implementazione di un organizzazione della struttura stessa, per metterla in grado di far girare il sistema in modo adeguato a raggiungere gli obiettivi di business e sicurezza a protezione propria e del cliente. Fino a poco tempo fa, i livelli di sicurezza venivano forniti dai firewall, posizionati all interno dell infrastruttura in base ai livelli organizzativi. Oggi invece le banche stanno portando le applicazioni in ambito Soa, per cui la protezione deve essere fatta a livello Xml e non più genericamente per il protocollo Http, con conseguenti nuove esigenze di protezione. Su questo punto interviene Gastone Nencini, senior technical manager South Europe di Trend Micro (www.trendmicro.it) [10]. «Oltre al fenomeno del phishing sui dati di home banking e carte di credito, oggi la maggior parte di attacchi che hanno successo sono portati attraverso siti Web all interno dei quali vengono inserite linee di codice che reindirizzano l utente su altri siti fraudolenti e scaricano sul Pc software maligni che inviano agli hacker i dati digitati. In considerazione di tali minacce, del mutato scenario e della maggiore organizzazione dei criminali online, i player che utilizzano o sono coinvolti nei pagamenti online dovrebbero adottare le linee guida indicate dallo standard Pci». La Pci va, infatti, ad analizzare proprio questo tipo di problematiche, creando delle regole volte a ridurre al minimo i rischi. La certificazione Pci garantisce quindi più alti standard di sicurezza nel trattamento dei dati e nelle transazioni online. Naturalmente le linee guida della Pci trovano la massima protezione e un ottimale completamento con l utilizzo di adeguate e aggiornate tecnologie di sicurezza che possano tutelare l utente da intrusioni e malware. «Trend Micro utilizza un approccio maggiormente proattivo rispetto ai tradizionali sistemi di sicurezza continua Nencini -, demandando ai propri data center tutte le funzioni di controllo e aggiornamento. In questo modo l utente viene immediatamente informato, appena i ricercatori scoprono le minacce. In questa maniera non è più necessario che il cliente scarichi l aggiornamento ed effettui la distribuzione su tutti i propri computer». Raggiungere e mantenere la conformità Pci e una protezione completa richiede una valutazione costante del potenziale impatto delle minacce in evoluzione, del comportamento dei dipendenti e delle innovazioni a livello aziendale e tecnologico. Per questo Trend Micro offre soluzioni mirate per affrontare le principali problematiche di oggi legate alla Pci. È importante, per esempio, avvalersi di un servizio di Vulnerability Assessment che automatizzi la gestione della vulnerabilità e la conformità normativa su tutta l azienda, garantendo rilevamento di rete e mappatura, assegnazione di priorità alle risorse, documentazione sulla valutazione delle vulnerabilità e rilevamento delle soluzioni in base al rischio aziendale. Fabrizio Croce, regional manager Semea di WatchGuard Technologies (www.watchguard.com [11]) aggiunge che «le principali attività e impatti si hanno nella prevenzione frodi, nel contrasto al fenomeno del phishing e nel monitoraggio. Diventa quindi importante dotarsi sia degli strumenti di blocco delle intrusioni in tempo reale, sia di strumenti di Data Loss Prevention (Dlp), e avere una piena consapevolezza del network tramite l utilizzo di reportistica e monitor in tempo reale». La Pci-Dss da proprio indicazioni precise dei modelli di sicurezza da perseguire. Attenzione andrà
Pagina 6 di 9 posta, per esempio, alle transazioni finanziarie eseguite tramite i Pos anche portatili rendendo sicuro il protocollo Https. «Riguardo le tecnologie di sicurezza logica continua Croce - è diventato molto importante affiancare ai classici sistemi di Antivirus, Intrusion Prevention, Antispam, WebFiltering, dispositivi che abbiano un controllo della sicurezza a livello 7 tramite proxy applicativi e controllo e blocco applicativo». Ormai le vulnerabilità informatiche sono da tempo salite a colpire direttamente le applicazioni a livello 7 quindi apparati con il semplice packet filtering banalmente non possono intervenire. Altro punto importante è l'utilizzo della tecnologia Dlp per bloccare l'uscita di informazioni riservate tramite email o Web che potrebbero portare a severi problemi di tipo legale alla banca. WatchGuard lavora su questo con primari istituti bancari, come per esempio ING Direct che utilizza le tecnologie di Email Security, Antispam e Dlp. In Italia le soluzioni WatchGuard sono state fornite a una banca in Friuli Venezia Giulia che ha deciso di convertire il suo sistema di sicurezza a WatchGuard tramite due appliance Utm di nuova generazione operanti a livello 7 per la sicurezza perimetrale e due appliance Email Security, Dlp e Web Security, specificatamente studiate per proteggere i server di posta sia in ingresso che in uscita da qualsiasi minaccia e con un forte sistema di Web filtering. Giuliano Bertoletti, pre-sales engineer, technological dept. di Symbolic (www.symbolic.it [12]) precisa che «nella sicurezza in banca una tecnologia sempre presente è la crittografia. Essa viene spesso sostenuta da dispositivi hardware specifici per la protezione delle chiavi (Hsm). Gli scenari sono tuttavia più complessi ed entrano in gioco anche: firewall, Ids, antivirus, strumenti di backup ecc.». È sempre necessario però fare una valutazione dei rischi, capire da cosa ci si vuole difendere, simulare scenari e infine realizzare l infrastruttura di sicurezza. Occorre considerare che non ci sono solo gli attacchi mirati dei nostri nemici da cui difendersi; anche la semplice sostituzione di un dispositivo con uno più nuovo richiede grande attenzione e pianificazione per evitare disservizi. La sicurezza integrata e di sistema Lo scenario delineato configura la sicurezza come un attività sempre più trasversale, che coinvolge all interno della banca strutture differenti e personale non sempre consapevole delle necessarie accortezze. Anche la pervasività della tecnologia suggerisce un approccio integrato, secondo una gestione per processi che coinvolga in maniera trasversale tutte le strutture interessate: Sicurezza Logica, Business Continuity, Sicurezza Fisica, Business Intelligence. È d accordo Paolo Campobasso, group chief security officer di Unicredit (www.unicredit.it [13]). «Quando si parla di sicurezza in banca occorre avere una visione sia integrata che di sistema, collaborando strettamente con l intero sistema bancario per la soluzione di problematiche che riguardano talvolta la stabilità dell intero sistema finanziario». Detto in altri termini, i nuovi scenari delineati escludono che la sicurezza in banca possa essere gestita in modo isolato dal singolo istituto, ancorché di rilevanti dimensioni. Le azioni da porre in essere devono pertanto configurarsi secondo una dimensione interna (sicurezza integrata) ed esterna alla banca (sicurezza di sistema). A livello strategico è da sempre centrale l idea di gestire i rischi in un'ottica integrata e di sistema, che vuol dire una complessa visione d'insieme in stretta collaborazione con l intero sistema bancario. È quindi evidente che oggi il tema della sicurezza costituisce una questione di competenza dell alta direzione in quanto richiede necessariamente di conciliare l efficacia della prevenzione e delle contromisure con l ottimizzazione delle risorse da impiegare. Il modello organizzativo di riferimento, come già indicato dalle principali best practices (Iso 27001, Cobit, Itil, Isf), è sempre più verticalizzato, con una funzione che consenta di concentrare la responsabilità in un unica direzione, retta dal chief security officer (Cso).
Pagina 7 di 9 È di questo avviso anche Andrea Bellinzaghi, technical manager di Check Point Italia (www.checkpoint.com [14]). «Sempre più vengono valutate soluzioni integrate con l esistente e vengono scelti produttori che siano in grado di coprire vari ambiti e richieste con prodotti gestiti centralmente che possano diminuire lo sforzo e le risorse necessarie». La crescente regolamentazione del settore, infatti, abbinata alla forte pressione verso l efficienza, fa sì che sempre più spesso le organizzazioni si orientino verso modelli di sicurezza gestiti, dove un operatore specializzato si faccia carico dell intera gestione, operativa e amministrativa, dei processi di sicurezza. Questo può avvenire in modalità on-premise, as-a-service o, sempre più spesso, mista. Check Point ha soluzioni di sicurezza a 360 gradi, ma è particolarmente qualificata nella cifratura dei device mobili e di tutti quei dispositivi che contengono informazioni riservate (laptop, desktop, Atm) e nell implementazione di soluzioni di Dlp. Imanuel Baharier, direttore generale di VeriFone Italia (www.verifone.it [15]) ritiene che «la definizione sicurezza integrata e di sistema dimostri proprio la necessità che tutti gli attori del settore collaborino tra di loro per raggiungere risultati concreti». Non si tratta tanto di proteggere la propria area di azione o di limitare i danni degli attacchi, ma è decisamente più urgente muoversi in maniera coordinata per far sì che sin dall inizio della filiera siano chiari i processi di sicurezza, in grado di garantire a banche e utenti un servizio protetto al massimo livello possibile. «Naturalmente non stiamo parlando di una situazione statica, ma di un processo in continua evoluzione continua Baharier -, che quindi richiede sforzi costanti e sempre più approfonditi». Il terminale è solo l ultimo elemento di questa catena, ma proprio per prevedere gli attacchi e curarne gli effetti VeriFone è molto attiva sia sotto il profilo della ricerca e sviluppo che operativo. Il primo passo è quello di costruire terminali in grado di proteggere i dati del card holder, ottenendo i requisiti più elevati a livello nazionale e internazionale. Proprio per questi motivi i terminali di ultima generazione VX Evolution, hanno ottenuto la certificazione Pci Pts 3.0. e VeriFone sta mettendo sul campo tutte le proprie risorse per raggiungere le successive omologazioni. Il circolo virtuoso L attivazione del circolo virtuoso «più sicurezza uguale più qualità dell offerta e maggiore fiducia della clientela» assume importanza strategica nell attività finanziaria, che fonda la propria operatività sul trattamento delle informazioni e sulla costruzione di un rapporto di fiducia con i clienti. La sicurezza, almeno in linea di principio, non è più considerata solo come voce di costo, ma come una vera e propria leva di business, e intorno a tale concetto si avviano a essere definite soluzioni, metodologie e strumenti operativi. Nelle banche è in atto un mutamento radicale nella concezione della sicurezza: la realizzazione del modello di sicurezza integrata e di sistema. Tale nuovo approccio consente di concentrare la responsabilità delle varie direzioni in un unico punto di raccordo e di gestione al più alto livello manageriale. La strategia e i punti di forza di un leader di mercato nel mondo della security e partner di Symbolic di Camillo Lucariello
Pagina 8 di 9 Il tema è a dir poco caldo: rendere sicuri identità, dati e transazioni, comunicazioni in rete attraverso sistemi in grado di offrire per esempio meccanismi di autenticazione forte oppure di garantire che le informazioni che vengono scambiate tra i data center di una grande azienda non possano essere lette da persone non autorizzate. È chiaro che si tratta di strumenti IT sofisticati e ad alta tecnologia, proposti da SafeNet (www.safenet-inc.com [16]), società specializzata in soluzioni di sicurezza che, secondo Orlando Arena, regional sales director Italy, «oggi è tra i primi pure security player a livello mondiale». In Italia, SafeNet ha stretto da tempo una partnership di distribuzione con Symbolic (www.symbolic.it [12]), uno dei principali Vad (Value-added distributor) specializzati nel mondo della security. Un'offerta completa «Ci posizioniamo come The Data Protection Company - spiega Arena -. In particolare, non ci limitiamo a proteggere i dati quando vengono scambiati attraverso le reti e i sistemi di comunicazione aziendali, ma anche quando sono memorizzati da qualche parte nell'infrastruttura, At rest, a riposo, come in un database o in un sistema di storage». SafeNet rende disponibili anche soluzioni di sicurezza dedicate al Cloud computing, volte per esempio a garantire la separazione dei dati di organizzazioni diverse presenti su un infrastruttura condivisa. Oggi, per proteggere le identità, il tradizionale meccanismo di sicurezza basato su User Id e password non è più sufficiente. «Occorre adottare dei meccanismi di strong authentication, autenticazione forte, come la Otp (One-time password) utilizzata da molte banche per i clienti dell online banking, che consiste nell'assegnare all'utente una password temporanea, valida per una singola connessione». Oltre a questi sistemi standard, SafeNet mette a disposizione dei propri clienti anche altri tipi di dispositivi di strong authentication, basati su certificati digitali. «Soprattutto nei contesti più complessi, è importante che l'azienda possa profilare gli utenti, per esempio clienti retail o corporate per una banca, in modo da determinare le singole esigenze di sicurezza e implementare il dispositivo più adatto». In questo modo, i clienti possono scegliere anche il dispositivo meno costoso rispetto all'impiego che ne dovranno fare. «SafeNet ha un portafoglio molto ampio di soluzioni di autenticazione forte, che siamo in grado di gestire centralmente da un'unica console, offrendo alle aziende una grande flessibilità nella scelta di soluzioni adeguate all'evoluzione delle proprie esigenze». Occorre aggiungere anche un altro punto importante, che distingue l'offerta di SafeNet da quella della concorrenza: «Noi offriamo all'azienda cliente la possibilità di controllare la generazione dei propri segreti, cioè dei dati utilizzati dagli algoritmi che verificano l identità degli utenti». Queste informazioni molto sensibili possono poi essere messe al sicuro dall azienda cliente in un dispositivo HSM (Hardware Security Module) di SafeNet, in cui sono registrate le chiavi private di cifratura e che è protetto sia fisicamente (case molto robusto e a prova di apertura) che logicamente. «Il messaggio che vorremmo trasmettere è che le soluzioni di autenticazione forte che garantiscono effettivamente gli utenti esistono e danno una protezione molto elevata». Com'è nata la partnership con Symbolic? «Le tecnologie che proponiamo sono abbastanza complesse, per cui è assolutamente importante che chi le va a proporre sia un partner qualificato - conclude Arena -. Symbolic, da questo punto di vista, è per noi una garanzia, per la conoscenza delle soluzioni e la capacità di implementarle e adattarle in vari contesti. Questo è un po' il motivo per cui da molti anni facciamo business assieme». Con successo, a quanto pare. Pubblicato su Datamanager [17], Settembre 2011 [18] Articolo precedenteerp: sempre di più e tanto altro [19] Next story: Il battito cardiaco della rete [20] Editor Choiche Home:
Pagina 9 di 9 off Hardware security module One-time password Servizi sicurezza Strong Authentication E-Finance Sicurezza URL di origine: http://www.datamanager.it/rivista/strong-authentication/banche-e-sicurezza Links: [1] http://www.abi.it [2] http://www.ossif.it [3] http://www.abilab.it [4] http://www.valueteam.com [5] http://www.kaspersky.com/it [6] http://www.pandasecurity.com [7] http://www.cedacri.it [8] http://www.intesigroup.com [9] http://www.technesecurity.it [10] http://www.trendmicro.it [11] http://www.watchguard.com [12] http://www.symbolic.it [13] http://www.unicredit.it [14] http://www.checkpoint.com [15] http://www.verifone.it [16] http://www.safenet-inc.com [17] http://www.datamanager.it/epublish/1 [18] http://www.datamanager.it/epublish/1/18 [19] http://www.datamanager.it/rivista/erp/erp-sempre-di-pi-e-tanto-altro [20] http://www.datamanager.it/rivista/reti-ottiche/il-battito-cardiaco-della-rete