Banche e sicurezza Data Manager Online NEWS RIVISTA TOP 100 WHITE PAPERS EVENTI DALLE AZIENDE ABBONAMENT



Documenti analoghi
Stato dell arte e prospettive della collaborazione banche forze dell ordine

leaders in engineering excellence

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

La Giornata della Sicurezza 2014

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

Politica per la Sicurezza

1- Corso di IT Strategy

MANUALE DELLA QUALITÀ Pag. 1 di 6

Export Development Export Development

EXECUTIVE SUMMARY 4 1 INTRODUZIONE ERRORE. IL SEGNALIBRO NON È DEFINITO. 1.1 La metodologia descrittiva Errore. Il segnalibro non è definito.

Assessorato allo Sviluppo Economico Direzione Cultura Turismo e Sport Servizio Promozione Economica e Turistica

LA NATURA, LA NOSTRA ENERGIA

CRITICITA, PRIORITA E PUNTI DI FORZA NELL AVVIO DELLA GESTIONE ASSOCIATA DEL PERSONALE a cura di Andrea Pellegrino

Global Assicurazioni Garanzia di successo per i Partner

ABI Energia Competence Center ABI Lab su energia e ambiente. Gli ambiti di ricerca in ABI Energia

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio

La giornata della sicurezza: focus intersettoriale

SOLUZIONI INFORMATICHE PER LO STUDIO LEGALE

Guadagnare, lavorare e innovare: il ruolo del riciclo nella green economy

La Guida per l Organizzazione degli Studi professionali

Sicurezza, Rischio e Business Continuity Quali sinergie?

La gestione e la prevenzione delle frodi esterne

I FATTORI CRITICI DI SUCCESSO NEGLI ACCORDI TRA BANCHE E RETI DISTRIBUTIVE DI MUTUI IMMOBILIARI

5.1.1 Politica per la sicurezza delle informazioni

Tempi certi di disponibilità delle somme versate con assegno. Guida pratica

Banche e Sicurezza 2015

L esperienza ICBPI. Mario Monitillo. Direzione Sicurezza e Compliance ICT

Trasparenza e Tracciabilità

BONIFICARE I SITI NUCLEARI E METTERE IN SICUREZZA TUTTI I RIFIUTI RADIOATTIVI: UNA PRIORITÀ PER L ITALIA

DALLA PARTE DEGLI ALTRI OPERATORI ECONOMICI. La nostra risposta alle esigenze della tua attività.

Milano, 21 marzo Azioni ambientali di UBI BANCA e CDP

La sede operativa è a Modena ed il bacino d utenza ricomprende, oltre all Emilia-Romagna, le regioni limitrofe (Veneto, Lombardia, Marche).

Cloud Service Broker

BANCHE E SICUREZZA 2015 SCHEMA DELLE SESSIONI SICUREZZA FISICA SICUREZZA INFORMATICA FRODI

Il Security Manager in Banca. Ing. Anthony C. Wright Business Continuity Banca Nazionale del Lavoro

ANTONELLA LAVAGNINO COMUNICAZIONE & MARKETING

INFO FINAX S.p.A. Spunti di riflessione per il Convegno Banche e Sicurezza ABI

Appendice 2 Piano di business preliminare

FILIPPO MARIA CAILOTTO SOLDI DAGLI SPONSOR

EasyCloud400. Il tuo AS/400. Come vuoi, quanto vuoi. Telecomunicazioni per l Emilia Romagna. Società del Gruppo Hera

Credex LA PIATTAFORMA PER LA GESTIONE DELLA CATENA ESTESA DEL VALORE DEL RECUPERO CREDITI. ABI Consumer Credit Roma, 27 marzo 2003

VIDEOSORVEGLIANZA E CERTIFICAZIONE

POLITICA DI COESIONE

Sicuramente

Fraud Management assicurativo: processi e modelli operativi

Carta dei Servizi Articolo 1 Soluzioni HR Servizi al tuo Servizio.

Centro di competenze qualificate in ambito servizi di valutazione immobiliare

DALLA PARTE DEGLI ALTRI OPERATORI ECONOMICI. La nostra risposta alle esigenze della tua attività.

WE-BANK GREEN. Quanto la banca condiziona l'attività dei propri clienti sui temi ecologici? MARTEDì 16 GIUGNO 2009

Welcome Banche e sicurezza 2006 Roma, 6 giugno Information Asset Management. Andrea Foschi. Copyright 2006 COMPLETENCE by CRIF e IMPERIALI

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Tabaccai dal contante al contactless. Nuovi scenari. Roma, 28 maggio 2012

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Direzione Centrale Sistemi Informativi

Audit & Sicurezza Informatica. Linee di servizio

Grazie a Ipanema, Coopservice assicura le prestazioni delle applicazioni SAP & HR, aumentando la produttivita del 12%

Gestione diretta: I programmi comunitari

Project Cycle Management La programmazione della fase di progettazione esecutiva. La condivisione dell idea progettuale.

LA GIORNATA DELLA SICUREZZA 2013 Roma Palazzo Altieri. relatore: Ivo Braga, Vice President Sales

Indagine Internazionale ING

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

LA CONVERGENZA DEI SERVIZI DI CASSA DELLE BANCHE CENTRALI E NELLE OPERAZIONI DI RICIRCOLO DEL CONTANTE

CHI SIAMO. Viale Assunta Cernusco s/n Milano

ObjectWay Group. Winning Software Solutions. ObjectWay Financial Suite: la soluzione flessibile e innovativa per la consulenza finanziaria

Innovatori per tradizione

15 Rapporto Nazionale sulla Formazione

Quel che ogni azienda deve sapere sul finanziamento*

Dal dato alla Business Information!

L analisi del fenomeno delle frodi informatiche nel settore bancario italiano

RISCHIO INQUINAMENTO & SOLUZIONI ASSICURATIVE

Iniziative di CSR a favore delle imprese iscritte all Elenco Fornitori della Provincia di Milano

Software per Helpdesk

Le difficoltà del passaggio dalla funzione di Ispettorato a Internal Audit Convegno Nazionale AIEA - 19 maggio 2004

In mostra l innovazione tecnologica che evolve e soddisfa una gamma sempre più ampia di bisogni

consulenza e soluzioni applicative al servizio dei Confidi

Presidenza del Consiglio dei Ministri

CHI SIAMO. BeOn è una società di consulenza italiana ad alta specializzazione in ambito di valutazione, sviluppo e formazione delle risorse umane.

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

A cura di Giorgio Mezzasalma

CONSIGLIO NAZIONALE DEGLI ATTUARI

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

Sicurezza informatica in azienda: solo un problema di costi?

POAT. Europa per i Cittadini. Presentare una proposta di progetto. Comune di Agrigento Giovedì 14 Maggio 2015

Alla c.a. Sindaco/Presidente Segretario Generale Dirigente competente

Progetto di Information Security

COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING

Copyright IKS srl

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

Report di valutazione studiolegalebraggio.it

Finanza on line in Italia: il rapporto KPMG. L e-banking PIACE SEMPRE DI PIU AGLI ITALIANI. 7,8 milioni di conti on line di cui 2,5 attivi;

IL FONDO ITALIANO D INVESTIMENTO

Prefettura Ufficio Territoriale del Governo di Savona

visto il trattato sul funzionamento dell Unione europea,

Il Ministero dello Sviluppo Economico Il Ministro dello Sviluppo Economico

Osservatorio Sicurezza Carte Valori. L uso fraudolento di assegni bancari, circolari e di traenza

profilo dna team clienti

Imparare è un esperienza, tutto il resto è solo informazione Albert Einstein

IT Cloud Service. Semplice - accessibile - sicuro - economico

Transcript:

Pagina 1 di 8 Cerca nel sito: NEWS RIVISTA TOP 100 WHITE PAPERS EVENTI DALLE AZIENDE ABBONAMENT Datamanager» Ottobre-2012» Banche e sicurezza Banche e sicurezza 16/10/2012 a cura di Piero Bucci Mi piace 0 Invia inshare0 1 0 DataManager su Segui +264 La sicurezza assume un importanza strategica nell attività finanziaria. Si profilano all orizzonte importanti e crescenti rischi che vanno sotto il nome di APT, cioè attacchi prolungati nel tempo e focalizzati su specifici obiettivi. Il successivo livello di escalation può essere una seria minaccia per il sistema bancario e finanziario. Occorre passare dalla infosecurity alla cybersecurity

Pagina 2 di 8 La sicurezza nei servizi finanziari è sempre più strategica e incide direttamente sul core business della banca. Le criticità della singola filiale, la tutela del dipendente e del cliente, le esigenze dei partner, l autenticazione robusta, la prevenzione rispetto alle crescenti minacce, la certezza dei sistemi di incasso e pagamento, la difesa del patrimonio informativo sono solo alcuni dei principali aspetti cui dare risposte certe. L evoluzione tecnologica rende il contesto operativo estremamente complesso. In particolare, l accesso in mobilità e i social network, i nuovi servizi, l esecuzione di contratti da remoto, la dematerializzazione dei processi, la filiale paperless, la connessione di dispositivi intelligenti alla rete IP (Internet delle cose), le minacce sempre più evolute e - infine - il cloud computing rappresentano gli aspetti più sfidanti di questa evoluzione. In tale quadro, la banca si trova a dover conciliare le esigenze di protezione, riservatezza e sicurezza con quelle di apertura al cliente e velocità dei flussi informativi e dispositivi. Per affrontare e dibattere il tema, i principali attori della sicurezza in banca e nella finanza si sono incontrati a Roma, poco prima dell estate, per l annuale summit Banche e Sicurezza 2012. L evento, organizzato e ospitato dall ABI - Associazione Bancaria Italiana - (www.abi.it), in collaborazione con l OSSIF - Osservatorio in materia di sicurezza (www.ossif.it) e ABI Lab (www.abilab.it), rappresenta l occasione più importante e qualificata per fare il punto sullo stato dell arte, sulle prospettive future e sulle più innovative metodologie e tecnologie per la sicurezza nella finanza. L incontro annuale è unico nel suo genere, sia per la visione privilegiata sul settore, sia per il coinvolgimento istituzionale. L'obiettivo, anche quest anno, è stato quello di rispondere alle questioni inerenti alla tutela del patrimonio aziendale, con particolare attenzione agli eventi di natura accidentale e non, potenzialmente in grado di colpire le risorse umane, finanziarie, informatiche e strumentali della banca. Data Manager era presente e - anche alla luce dei successivi rapporti e ricerche emessi dagli organi istituzionali - è ora in grado di sintetizzare compiutamente per il lettore le questioni principali. Le banche sono il principale spender nel mercato italiano della sicurezza e - da sole - rappresentano circa il 30%, con una spesa complessiva annua di oltre 1,4 miliardi di euro. La voce principale di spesa è rappresentata dalla sicurezza fisica, in particolare dai servizi di vigilanza e gestione contante. Le banche investono, infatti, ogni anno oltre 750 milioni di euro per rendere le proprie filiali più sorvegliate e sicure. SICUREZZA FISICA Secondo i dati raccolti dall OSSIF (in collaborazione con il ministero dell Interno, Poste Italiane, ConfCommercio, Federdistribuzione, FederFarma, Federazione italiana tabaccai e Assovalori) e presentati da Marco Iaconis, dirigente ABI e coordinatore OSSIF, le rapine in banca sono diminuite in un anno di quasi il 23%. Dal 2008 a oggi, i colpi in banca si sono dimezzati ed è diminuito di oltre il 15% il numero dei furti alle apparecchiature ATM. In calo del 20,1%, il cosiddetto indice di rischio - cioè il numero di rapine ogni cento sportelli in Italia - che è passato da 4,1 a 3,3 - il valore più basso registrato negli ultimi venti anni. Diminuisce anche il bottino medio per rapina, sotto i 23mila euro: si tratta dell ammontare più basso mai registrato. Il vicepresidente dell ABI, Giovanni Pirovano ha osservato che tali risultati sono dovuti alla sempre più stretta collaborazione tra banche, istituzioni e forze dell ordine. In occasione del summit, tra ABI e prefetture, è stato firmato un protocollo d intesa con importanti novità, che contribuiranno a rendere ancora più sicuri gli sportelli. Pirovano ha sottolineato che in Italia circolano ancora troppe banconote e contante nei pagamenti e questa è una fonte considerevole di rischio. Gli strumenti di pagamento diversi dal contante, più sicuri, sono impiegati solo in 65 operazioni procapite l anno, contro le 255 della Francia e le 176 della media nei Paesi dell Eurozona. RISCHIO INFORMATICO «Il canale Internet banking è utilizzato da un numero di utenti in continua crescita, di pari passo con l incremento della tipologia e della varietà di servizi offerti dalle banche» - ha sottolineato Romano Stasi, segretario generale ABI Lab ABI Lab stima un numero di account retail abilitati, superiore ai 20 milioni, di cui 13,4 attivi. A fronte di un maggiore ricorso al canale Internet e mobile e all escalation delle minacce, aumentano inevitabilmente i potenziali rischi connessi all utilizzo, derivanti dagli attacchi informatici. Per quanto riguarda la clientela retail, a seguito di attacco e sottrazione di

Pagina 3 di 8 credenziali, l effettiva perdita di denaro si registra, attualmente, in percentuali molto basse: un caso ogni 500mila accessi all home banking. In questo caso, l efficacia delle azioni di contrasto e blocco stimata è pari al 95,3% dei tentativi di frode. Si è registrata, però, una crescente attenzione da parte dei criminali verso la clientela corporate, in termini di numerosità di tentativi fraudolenti, probabilmente per la possibilità di sottrarre somme di denaro più ingenti. Tuttavia, al momento, a fronte di un incremento nella perdita di credenziali registrata in questo caso, l efficacia dell azione di contrasto è pari al 97% dei tentativi di frode, con un incremento del 13% rispetto l anno precedente. La perdita di denaro, a seguito di attacco fraudolento, si è verificata, infatti, in un caso su un milione di accessi. Stasi ha presentato anche l annuale rapporto Sicurezza e frodi informatiche in banca, cui hanno collaborato oltre 40 banche tra le principali e una decina di partner tecnologici specializzati. Quest anno, il rapporto pone in risalto il fenomeno crescente del furto di identità e le modalità di compimento degli attacchi. Queste ultime, in particolare, sono diventate sempre più complesse, con la tendenza dei cyber criminali a concentrarsi maggiormente su target mirati. Dall analisi, emerge che i principali strumenti tecnologici, ad oggi adottati dalle banche, sono volti al monitoraggio delle transazioni anomale (65% del segmento retail e 77% del segmento corporate), mentre è in aumento rispetto al passato l uso di soluzioni per il monitoraggio del Web e per l analisi automatica dei log di accesso all Internet banking. La garanzia di elevati livelli di sicurezza è assicurata anche dall adozione e dal continuo miglioramento di strumenti di strong authentication. Nel mobile banking, per il momento, non è stato registrato alcun fenomeno di perdita di credenziali, ma ciò, probabilmente, è dovuto all uso ancora relativamente contenuto. RAPPORTO CLUSIT 2012 Secondo l annuale rapporto Clusit (www.clusit.it) sulla sicurezza ICT in Italia, presentato a Roma lo scorso giugno, durante il Security Summit 2012, i furti d identità digitale denunciati in Italia sono stati 4mila e 707 e le carte clonate 19mila e 356, a fronte di altrettante denunce presentate alla polizia postale. A livello globale, la somma più alta rubata dal cybercrime con una singola azione, da un singolo conto bancario ammonta a 14,8 milioni di dollari. L intrusione dei cyber criminali nella rete di una primaria banca americana ha consentito il furto di 360mila profili utente contenenti informazioni personali e finanziarie, costringendo l istituto a riemettere centinaia di migliaia di carte di credito e a sostenere notevoli spese di bonifica. In un altro incidente, una banca sudafricana ha subito perdite per oltre 40 milioni di euro a seguito di una rapina virtuale realizzata accedendo abusivamente ai sistemi informatici. Secondo il Clusit, il nostro Paese ha ancora parecchia strada da percorrere, come ha dimostrato, nel recente passato, il modo in cui è stata gestita la violazione dei dispositivi di autenticazione RSA Security per i servizi online. Nonostante la situazione oltreoceano fosse all attenzione del Senato, nulla di simile è accaduto in Italia. Anche a fronte di una ridotta probabilità di vedere un correntista italiano compromesso - secondo il Clusit - ci si sarebbe attesi maggiore trasparenza e migliore attenzione verso la sensibilizzazione dei clienti. L appetibilità della moneta elettronica e dello sfruttamento fraudolento dell home banking rispetto alla carta moneta è ormai un assunto riscontrabile. Le dimensioni del fenomeno, e soprattutto il carattere internazionale assunto dalla criminalità nel settore, fanno propendere per una vera e propria dimensione sistemica degli attacchi che può arrivare a rallentare - se non a minare - lo sviluppo economico di un intero Paese. Di conseguenza, nel prossimo futuro, le banche potrebbero essere il bersaglio principale di attività di spionaggio, di violazione dei sistemi informativi e di azioni di hacktivism. LA CYBERSEC Si profilano, infatti, all orizzonte importanti e crescenti rischi per la banca, che vanno sotto il nome di APT (Advanced Persistent Threat), cioè attacchi prolungati nel tempo e focalizzati su specifici obiettivi. I malfattori non sono più rappresentati dal singolo hacker dilettante, ma da vere e proprie organizzazioni criminali, che stanno abbandonando la rapina e la frode tradizionale per dedicarsi alla frode informatica. Nelle varie fasi dell APT, che possono anche durare anni, sono utilizzate tecniche e tools di hacking tradizionali, ma anche realizzati tools dedicati, in sostanza, si tratta di vere e proprie azioni di spionaggio via Internet e tradizionali. Dell argomento, ha parlato diffusamente, proprio in relazione alla finanza e alle banche, Paolo Campobasso, già group chief security officer di Unicredit e ora senior

Pagina 4 di 8 vice president and group chief security officer di Finmeccanica (www.finmeccanica.it). Campobasso ha simulato un APT proprio a una grande banca, fermandosi un attimo prima dell ultimo click e fornendo, così, un esempio realistico di attacco complesso. Il rischio APT nella finanza è confermato anche dall autorevole Global Risks Report 2012 del World Economic Forum (www.weforum.org) che, analizzando le 50 principali minacce globali dei prossimi 10 anni e classificandole per impatto e probabilità, pone - al primo posto della sezione rischi tecnologici - il cybercrime. Il successivo livello di escalation può, quindi, essere una seria minaccia per il sistema bancario e finanziario di un Paese come l Italia. Non bisogna, infatti, dimenticare che gli obiettivi di gruppi, anche piccoli ma ben organizzati, con una copertura istituzionale da parte di eventuali Paesi ostili, non sono solo i singoli conti dei clienti, ma anche le informazioni strategiche di una singola banca o di grandi manovre finanziarie, economiche e industriali. In sostanza, si sta passando dalla infosecurity alla cybersecurity. Veri e propri clan internazionali si nascondono dietro la maggior parte degli attacchi informatici. Ma anche la mafia evolvendo: ha fatto un upgrade delle proprie competenze e ha cominciato a rubare e a far transitare soldi attraverso i sistemi informatici, usando le stesse regole del sistema. D altronde, come risulta evidente dai dati presentati, la tradizionale rapina non paga più ed è divenuta troppo rischiosa. Secondo uno studio della London's Metropolitan University, l 80% della criminalità online è legata oggi a bande organizzate a livello internazionale. Nel mondo, secondo i dati forniti dalla Commissione europea, ogni giorno, oltre un milione di persone sono vittime della criminalità informatica. Ragion per cui, la stessa ha proposto di istituire un centro contro il cybercrime, al fine di proteggere i cittadini e le imprese europee da queste crescenti minacce. I maggiori esperti UE ritengono, infatti, che i Paesi più esposti siano proprio quelli occidentali, perché hanno infrastrutture critiche vulnerabili. E quando si parla di infrastrutture critiche nella finanza, viene immediatamente alla mente il sistema dei pagamenti al dettaglio e all ingrosso, con il relativo rischio sistemico a livello continentale. Insomma - all orizzonte - scenario della cybersecurity, con cui le banche e il sistema bancario dovranno fare i conti. Tutto ciò è confermato anche dall ultimo rapporto dell osservatorio dell Istituto Affari Internazionali (IAI www.iai.it Cybersecurity: Europa e Italia. L interesse del cybercrime è particolarmente elevato per le frodi bancarie, il furto di identità e di informazioni (ad esempio, spionaggio industriale) e simili che, pur rappresentando casi forse poco eclatanti, arrecano danni ingenti. L accresciuta rilevanza della cybersecurity è testimoniata anche dalle relazioni annuali del Sistema di Informazione la Sicurezza della Repubblica (l insieme delle istituzioni e agenzie nazionali preposte alle attività di intelligence). La cybersecurity, considerata marginale fino a qualche anno fa, è - oggi - inserita a pieno titolo tra le sfide crescenti. stesso governo considera la minaccia cyber, non più come mero problema di criminalità, ma come questione di sicurezza nazionale. Cruciale in tal senso è la protezione delle infrastrutture critiche informatizzate (CIIP) che, o sono infrastrutture critiche di per sé o servono all operatività di altre infrastrutture critiche. A livello operativo, la polizia di Stato ha ora competenze anche in materia di protezione delle infrastrutture per l informazione critiche, che vanno ad aggiungersi a quelle relative al cybercrime, nel senso più stretto del termine. Dal 2009, la polizia postale gestisce, infatti, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), il cui compito è la prevenzione e la repressione dei crimini informatici di matrice comune, organizzata o terroristica, che hanno per obiettivo le infrastrutture informatizzate di natura critica e di rilevanza nazionale. La scelta italiana di investire risorse sul cybercrime appare, quindi, opportuna se non obbligata, perché si tratta di contrastare attività criminose che arrecano ingenti danni patrimoniali e che rappresentano - statisticamente - la gran parte degli eventi aggressivi cyber. CONTROMISURE Al fine di massimizzare le azioni di contrasto e prevenzione, il rapporto Sicurezza e frodi informatiche in banca ABI Lab mette in luce un altro elemento di riflessione: è sempre più importante e strategico dotarsi di strumenti evoluti e continuamente aggiornati, in grado di effettuare un presidio costante degli accessi, delle operazioni e della Rete. Alle

Pagina 5 di 8 soluzioni tecnologiche si affiancano le iniziative interne, volte ad accrescere il livello di conoscenza e familiarità dei dipendenti con i fenomeni fraudolenti. Si tratta di azioni di formazione destinate al personale di filiale, strutture di help desk, operatori di call center. L attività informativa verso la clientela è effettuata attraverso tutti i principali canali e strumenti di comunicazione. Visto che l anello debole della sicurezza è sempre la persona, quest anno ABI ha invitato Isabella Corradini, presidente di Themis ed esperta di psicologia del lavoro e ICT, per approfondire gli aspetti psicologici e comportamentali sia in relazione all utilizzo dei sistemi di gestione della finanza, sia del social engineering. Per quanto riguarda l organizzazione e la tecnologia, Paolo Campobasso di Finmeccanica ha illustrato, a grandi linee, quali sono le regole per difendersi meglio. Secondo Campobasso, le azioni principali da mettere in campo all interno della banca sono: accurato risk assessment che contempli anche il rischio APT; adozione di sistemi di cifratura e data loss prevention (DLP); continuo pathcing dei sistemi operativi; adozione di framework di sicurezza nello sviluppo software; segmentazione delle reti e separazione delle funzioni aziendali; adozione di sistemi di strong authentication; monitoraggio del traffico entrante e uscente; analisi anomalie utilizzo dei sistemi informativi; costituzione del CIRT (Computer Incident Response Team); attività di cyber-intelligence al fine di predire possibili minacce. L adeguata verifica della clientela è un aspetto rilevante dell azione preventiva di contrasto. Essa richiede l identificazione e l autenticazione dei dati acquisiti e la verifica nei confronti del beneficiario sostanziale titolare effettivo, quando il cliente è una persona giuridica o effettua un operazione per conto di altri soggetti. Il presidio migliore per la prevenzione del rischio è quello dell autenticazione forte a due fattori. L ABI e la CIPA (Convenzione Interbancaria per i Problemi dell Automazione) hanno emesso, a fine luglio scorso, l annuale Rilevazione sullo stato dell automazione del sistema creditizio che fotografa i fenomeni descritti anche in termini di utilizzo dell ICT, di investimenti, di progetti e priorità dell intero sistema bancario. La rilevazione pone particolare attenzione ai profili tecnologici e di sicurezza e approfondisce in modo specifico il tema dello sviluppo applicativo. Tre gruppi bancari su quattro applicano un framework di sicurezza nel processo di produzione del software, mentre metà dei gruppi lo impiega sistematicamente e un gruppo su quattro vi ricorre in base all ambito applicativo di riferimento. Mediamente, il framework di sicurezza include tutte le fasi del ciclo di vita del software, con l unica eccezione dell end-of-life, la cui gestione risente del modello organizzativo dell IT. LA SICUREZZA INTEGRATA E DI SISTEMA Il valore strategico della sicurezza nell attuale contesto competitivo è fuor di dubbio, ma gestire i rischi in ottica di sicurezza integrata vuol dire rispondere a una richiesta precisa e pressante che impone di acquisire una complessa visione d'insieme e di fare le scelte giuste. Occorre pianificare e implementare l organizzazione di sicurezza, come previsto anche dalla normativa PCI (Payment Card Industry), che sia in grado di far girare il sistema in modo adeguato per raggiungere insieme sia gli obiettivi di business, sia quelli di sicurezza. A tal fine, è fondamentale rivedere il modello di approccio trasformandolo come elemento centrale di una strategia maggiormente focalizzata. In questo senso, la governance della sicurezza deve essere inserita all interno di un processo direzionale. Lo scenario delineato configura la sicurezza come un attività sempre più trasversale, che coinvolge all interno della banca strutture differenti e personale non sempre consapevole delle necessarie accortezze. Anche la pervasività della tecnologia suggerisce un approccio integrato, secondo una gestione per processi in grado di coinvolgere in maniera trasversale tutte le strutture interessate: sicurezza logica, business continuity, sicurezza fisica, business intelligence. Occorre, in sostanza, avere una visione di sistema, collaborando strettamente con il sistema bancario per la soluzione di problematiche che riguardano talvolta la stabilità dell intero sistema finanziario. Le azioni da porre in essere devono configurarsi secondo una dimensione interna (sicurezza integrata) ed esterna alla banca in grado di coinvolgere anche le istituzioni della sicurezza nazionale ed europea (sicurezza di sistema). Secondo Giovanni Napoli, pre-sales manager EMEA South di RSA, azienda di EMC (italy.emc.com), la migliore risposta alla gestione della sicurezza della banca è l adozione della metodologia basata sul security management maturity model. Come tutti i modelli maturity model, l approccio si basa sul raggiungimento graduale di livelli di maturità interni, in questo caso quattro, attraverso la misurazione della propria situazione attuale e la conseguente adozione di strumenti e processi che eliminino i punti di debolezza. I livelli in ordine crescente sono: threat defense compliance and defense in depth ; risk based security ; business oriented. È quindi evidente che - oggi - il tema della

Pagina 6 di 8 sicurezza costituisce una questione di competenza dell alta direzione, in quanto richiede necessariamente di conciliare l efficacia della prevenzione e delle contromisure con l ottimizzazione delle risorse da impiegare. Andrea Agosti, vicepresidente di NTT Data (emea.nttdata.com) ha tracciato l evoluzione dei nuovi modelli di business con cui affrontare il cambiamento in considerazione delle nuove minacce e in conformità alle nuove norme. Il settore finanziario, infatti, è uno dei settori dell'economia con il maggiore livello di regolamentazione, in particolare in tema di controlli. A tal fine, è fondamentale rivedere il modello di approccio alla gestione della sicurezza in banca, trasformandolo come elemento centrale di una strategia di sicurezza maggiormente focalizzata. IL CIRCOLO VIRTUOSO DELLA SICUREZZA In sintesi, l attivazione del circolo virtuoso più sicurezza uguale più qualità dell offerta e maggiore fiducia della clientela assume importanza strategica nell attività finanziaria, che sul trattamento delle informazioni e sulla costruzione di un rapporto di fiducia con i clienti fonda la propria operatività. Si profilano all orizzonte importanti e crescenti rischi per la banca che vanno sotto il nome di APT, cioè attacchi prolungati nel tempo e focalizzati su specifici obiettivi, come risultato del processo di evoluzione e sofisticazione sia degli attacchi, sia dei cybercriminali. Questi, infatti, non sono più rappresentati dal singolo hacker dilettante ma da vere e proprie organizzazioni criminali che stanno abbandonando la rapina e la frode tradizionale per dedicarsi alla frode informatica e al cyber attach. In sostanza, si sta passando dalla infosecurity alla cybersecurity. Nelle banche quindi è in atto un mutamento radicale nella concezione della sicurezza: la realizzazione del modello di sicurezza integrata e di sistema. Tale nuovo approccio consente di concentrare la responsabilità delle varie direzioni in un unico punto di raccordo e di gestione al più alto livello manageriale e di gestire il fenomeno anche all esterno con i necessari raccordi con il sistema bancario, ma anche con il sistema di sicurezza nazionale ed europeo. Il partner di Symbolic, leader nelle soluzioni per la firma elettronica, ha aggiornato la propria gamma di soluzioni nshield HSM e ha ottenuto anche una importante approvazione di OCSI, che si aggiunge a numerosi altri riconoscimenti internazionali di Camillo Lucariello La firma digitale rappresenta un elemento di assoluta criticità per qualsiasi transazione online che debba avere il crisma dell'ufficialità. Così Thales - attore di primo piano nel mercato della security, con l'aiuto del partner Symbolic (www.symbolic.it) - ha deciso di intraprendere anche in Italia un percorso che l'ha portata, tra le altre cose, a ottenere un'importante certificazione. Data Manager ha intervistato Mark Knight, director del product management di Thales e-security (www.thales-esecurity.com). Data Manager: Thales ha una forte reputazione legata alla sua offerta nel campo della e-security, specialmente per quanto riguarda la firma digitale e remota. Quali sono i punti forti dell offerta? Mark Knight: I prodotti Thales vengono usati in molte parti del mondo, da oltre due decenni, allo scopo di rendere sicure applicazioni critiche di firma elettronica, on line banking, trasferimento fondi e fatturazione. Thales nshield HSM (Hardware Security Module) è una soluzione di primissimo livello che si contraddistingue per: (1) la gestione e il controllo di chiavi crittografiche all interno di un perimetro sicuro certificato, che impedisce il furto e l uso improprio delle stesse; (2) la flessibilità d uso grazie all astrazione del Security World, che semplifica la definizione delle policy e

Pagina 7 di 8 permette di ridurre i costi di gestione; (3) la componentistica di qualità che garantisce alta affidabilità ed elevate prestazioni hardware. Qual è la situazione in Italia rispetto alle certificazioni e alle norme necessarie per la firma qualificata? I governi e le organizzazioni commerciali devono affrontare la duplice sfida di aumentare l efficienza e combattere le minacce informatiche sempre più impegnative. In questo scenario, la capacità di fornire firme elettroniche sicure - usate per autenticare e proteggere fatture e documenti - gioca un ruolo sempre più importante nelle infrastrutture critiche sia in Italia, sia nel resto del mondo. La famiglia di HSM nshield di Thales è in regola con le attuali norme italiane per l'emissione di firme elettroniche avanzate, compreso il decreto più recente, datato 20 luglio 2012. Thales ha avviato la procedura di assessment della conformità HSM, in anticipo rispetto alla scadenza OCSI (Organismo di Certificazione della Sicurezza Informatica del ministero dello Sviluppo economico) del primo novembre 2011. Thales ha inoltre ricevuto un pronunciamento positivo dall OCSI, il quale ha approvato il target di sicurezza common criteria dell nshield (www.ocsi.isticom.it). Quali sono i passaggi che Thales sta facendo, con l'aiuto di Symbolic, per adeguarsi al contesto normativo? Quale vendor leader di soluzioni per la gestione di chiavi IT, Thales continua a lavorare a stretto contatto con le autorità italiane per assicurare ai propri clienti i livelli di sicurezza, compliance, disponibilità ed efficienza più elevati, seguendo la continua evoluzione degli standard e delle leggi. Symbolic è il nostro principale distributore in Italia e gioca un ruolo fondamentale nell'aiutarci a sviluppare in loco il mercato HSM della firma digitale. Symbolic ha moltissima esperienza, che utilizza per aiutare i nostri comuni clienti a implementare soluzioni di firma digitale sicure, efficienti e aderenti alle norme italiane. I prodotti Thales - nshield Connect e nshield Solo - sono già certificati con numerose normative internazionali, compresi i Common Criteria EAL4+, FIPS 140-2 level 3 e ICP-Brazil. La gamma attuale nshield è stata inoltre sottoposta all'ocsi per la verifica della sua aderenza alle leggi sulla firma elettronica italiana ed europea. Voto medio: Nessun voto finora Aggiungi un commento contenuto dai tuoi preferiti PieroBucci Elimina questo Iscriviti a: Questo argomentoiscriviti a: Contenuti del tipo RivistaIscriviti a: Contenuti di Tags: ABI ABI Lab APT banca CIPA Clusit Cyberattach cybercrime Cybersec Cybersecurity dell ordine frodi informatiche Infosecurity Internet Banking mobile banking OSSIF rischio informatico security management maturity model Security summit Servizi servizi finanziari sicurezza sicurezza fisica sicurezza ICT sicurezza logica E-Finance Sicurezza Data Manager - 20149 Milano - Via L.B. Alberti, 10 tel. ++39 02 33101836 - fax ++39 02 3450749 - email:info@datamanager.it Copyright 2012. Fratelli Pini Editori S.r.l. PI: 11803500153 - Cap. Soc. Euro 42.000,00 i.v. - Cod. Fisc. N. Iscr. CCIAA di Milano 00368320131 - Rea N. MI/824378 - Tutti i diritti riservati

Pagina 8 di 8

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back