Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio



Documenti analoghi
Strong Authentication: il Secondo Fattore... è mobile! Securecall di Cariparma

navigosereno.it Banca e cliente: relazione SERENA Marco Buratti

SMS Banking. MAItaly s.r.l. Distribution: 2004, MAItaly s.r.l. All Rights Reserved. Date: 22/04/2004 Author: Davide De Marchi

Sistemi informativi secondo prospettive combinate

La gestione e la prevenzione delle frodi esterne

Problematiche correlate alla sicurezza informatica nel commercio elettronico

Canali e Core Banking

La sicurezza nel Web

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

INNOVAZIONE XNOTTA PER PORTALI TURISTICI

Internet Banking per le imprese. Guida all utilizzo sicuro

Domande e risposte su Avira ProActiv Community

Managed Security Service

La sicurezza nei servizi online di Poste Italiane. Roma, 8 maggio 2006

penetration test (ipotesi di sviluppo)

SOLUZIONE Web.Orders online

VIDEOSORVEGLIANZA E CERTIFICAZIONE

EXECUTIVE SUMMARY 4 1 INTRODUZIONE ERRORE. IL SEGNALIBRO NON È DEFINITO. 1.1 La metodologia descrittiva Errore. Il segnalibro non è definito.

EasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.

Protezione delle informazioni in SMart esolutions

La CASSAFORTE DIGITALE per

IBM Software Demos Lotus Expeditor and Lotus Forms

Proposta UNIF Progetto: Portale delle fonti di energia rinnovabile. Obiettivi

La soluzione software per Avvocati e Studi legali

Intranet e risorse umane. Un portale per: - Apprendere - Conoscere - Comunicare. - erogare Servizi in rete

Banche e Sicurezza 2015

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

SmartPay. rende facile l e-commerce

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti

La Governance bancaria e il cruscotto direzionale per la gestione della sicurezza integrata. Gianluigi Ferraris

IT Cloud Service. Semplice - accessibile - sicuro - economico

SISTEMA INFORMATIVO PER IL CONTROLLO DI GESTIONE

Mondialpol Service Group - Company Profile

Attività federale di marketing

Nuova Piattaforma Formazione a Distanza. Le regole di utilizzo

Società di formazione

Copyright IKS srl

master mi Scenari e posizionamento strategico nel territorio Sistemi gestionali avanzati per territori complessi Sergio Zucchetti

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Approccio a più livelli per la protezione dalle frodi per una banca virtuale. Sicurezza IT Roma, 13/05/2014

A. Nesti A.M. Fino. C. Villani REGISTRO DELLE MODIFICHE REVISIONE DESCRIZIONE EMISSIONE. Prima emissione 14/07/2014

Company Profile. Quarto trimestre 2014

SIRED Sistema informativo di raccolta ed elaborazione dati sul movimento turistico

per la sicurezza della vostra azienda Be ready for what s next! Kaspersky Open Space Security

I see you. fill in the blanks. created by

Collegamento remoto vending machines by do-dots

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Symantec Insight e SONAR

DEFENCE in DEPTH. Strategie di riduzione della superficie d attacco e dei rischi informatici

Sistemi informativi aziendali struttura e processi

ALLEGATO 1 FIGURE PROFESSIONALI DI FILIALE

THUN SMS on demand Manuale utente

ETA Energy Track & Audit È il nuovo strumento cloud sviluppato da Acotel in collaborazione con Bartucci di supporto alla realizzazione delle diagnosi

Nota informativa sulla Firma Grafometrica.

SuisseGest CLOUD ERP PER LE AZIENDE SVIZZERE

SINPAWEB corso per Tecnico della programmazione e dello sviluppo di siti internet e pagine web co.reg matricola 2012LU1072

I FATTORI CRITICI DI SUCCESSO NEGLI ACCORDI TRA BANCHE E RETI DISTRIBUTIVE DI MUTUI IMMOBILIARI

ALLEGATO AL CONTRATTO DI FORNITURA DEL SERVIZIO LEGALMAIL

Portale Remote Sign Manuale Utente

GLI ACQUISTI ON-LINE: GESTIONE E SVILUPPO DELLE COLLEZIONI

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

GOW GESTIONE ORDINI WEB

LA DIMENSIONE TECNOLOGICA DELLA RELAZIONE BANCA CLIENTE. Dott. Paolo Mangione DIREZIONE COMMERCIAL BANKING

Politica per la Sicurezza

Il servizio di registrazione contabile. che consente di azzerare i tempi di registrazione delle fatture e dei relativi movimenti contabili

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

TESORERIA D IMPRESA ON LINE LA SOLUZIONE WEB PER LA GESTIONE FINANZIARIA

Servizio di Gestione Documentale per clienti corporate BPS, scenario attuale e strategie future

Stato dell arte e prospettive della collaborazione banche forze dell ordine

L A 1.B 2.C 3. per il governo dell IT in tempi di crisi. Allineamento al business Budget di spesa Compliance e sicurezza

Nota informativa sulla Firma Grafometrica.

ALLEGATO 2 FIGURE PROFESSIONALI DI FILIALE IMPRESE

I MODULI Q.A.T. PANORAMICA. La soluzione modulare di gestione del Sistema Qualità Aziendale

L amministratore di sistema. di Michele Iaselli

Documento n. 102/004. Nota informativa sulla Firma Grafometrica.

MINIGUIDA AI SERVIZI DI HOME BANKING

D&B Connect. Facile integrazione di informazioni sulle imprese in sistemi SAP

Riconoscibilità dei siti pubblici: i domini della Pa e le regole di.gov.it

Audit & Sicurezza Informatica. Linee di servizio

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

Security by example. Alessandro `jekil` Tanasi LUG Trieste. Alessandro Tanasi - alessandro@tanasi.

VULNERABILITY ASSESSMENT E PENETRATION TEST

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment

AD HOC OFFICE. La suite per l Office Automation di Ad Hoc REVOLUTION. Ad Hoc ENTERPRISE

Piano di Sviluppo Competenze

ABI Energia Competence Center ABI Lab su energia e ambiente. Gli ambiti di ricerca in ABI Energia

Allegato 1. Le tecniche di frode on-line

PROTOCOLLO DI AUTOREGOLAZIONE PER LA VENDITA DI ENERGIA ELETTRICA E DI GAS NATURALE FUORI DAI LOCALI COMMERCIALI

e-government La Posta Elettronica Certificata

ASSET BUILDING & MICROCREDITO INDIVIDUALE

Si tratta di un programma per la gestione della messaggistica ( , pec, posta interna, spedizione fax).

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

Meno rischi. Meno costi. Risultati migliori.

Abi - Dimensione cliente Servizi High Tech nella gestione HighTouch. 11 Aprile 2012

L autenticazione in rete e accesso ai servizi digitali. roberto palumbo

L Integrazione dei Processi di Gestione delle Risorse Umane

Cosa bisogna fare per aprire un negozio online? Perché un e-commerce

SICUREZZA INFORMATICA

monitoraggio aslromag.info analisi anno 2013

Transcript:

Servizio Organizzazione e Sistemi Informativi Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Marco Tempra Campione d Italia, 18 giugno 2012

Banca Popolare di Sondrio Fondata nel 1871, la Banca Popolare di Sondrio è una delle prime banche popolari italiane ispirate al movimento popolare cooperativo del credito. Capitale e riserve: ~ 1.600M Euro Soci: ~173.000 Dipendenti: ~2.550 (IT: ~100) Filiali: 300 Nel 1995 ha fondato BPS (Suisse) SA: 23 filiali Dati aggiornati dicembre 2011

Gestione sicurezza Nell ambito del governo della sicurezza l IT aziendale presidia la Riservatezza, Integrità e Disponibilità delle informazioni. La particolare criticità della sicurezza delle informazioni in ambito bancario si traduce in accorgimenti organizzativi e architetturali volti a garantire la solidità delle soluzioni informatiche (sistemi ridondanti, cluster, architetture in DR) Occorre anche prevenire la possibilità di attacchi alla sicurezza delle informazioni (protezione perimetrale, configurazione dei server, hardening, gestione accessi, crittografia.) Il fronte legato ai servizi online richiede alcune attenzioni specifiche

Minacce Internet Banking Sul fronte dei servizi online si aprono ulteriori problematiche: Furto di identità Possibili vulnerabilità applicative Sicurezza dei canali di trasmissione e protezione dei dati Client al di fuori del controllo del fornitore del servizio Utenti non sempre adeguatamente sensibili alle problematiche di sicurezza Quantità elevata di operazioni da controllare Necessità di gestione delle operazioni sempre più rapida Disponibilità H24 e da qualsiasi luogo

Tecniche di attacco sempre nuove Tool sofisticati per tecniche di attacco rivolte all utente finale, l anello debole della catena: Phishing (e varianti) Malware Attacchi man in the browser Attacchi man in the middle Esiste una vera e propria «catena del valore» del cybercrime, che permette a malviventi anche non esperti di usufruire di veri e propri servizi per la realizzazione dei tentativi di frode

Esempio:Phishing

Esempio: Man in the browser

Man in the browser, un caso reale

Una risposta strutturata La ISO27001 è stata adottata dalla banca come risposta strutturata alle esigenze di sicurezza: 2004: Prime attività di gap analisys Fine 2005: Certificazione BS7799 del servizio SCRIGNOInternet Banking Fine 2006: Adeguamento alla ISO27001 Inizio 2007: Estensione dell'ambito di certificazione a tutti i servizi del portale SCRIGNObps Inizio 2008: Estensione dell'ambito alla gestione della Server Farm Da allora viene periodicamente riconfermata da un ente di certificazione dopo un attento esame.

Come contenere i rischi? Incrementare ed automatizzare i livelli di controllo Governare la crescente complessità delle informazioni raccolte attraverso diversi sistemi di presidio della sicurezza e adottare meccanismi di correlazione tra eventi Mantenere un confronto costante con le informazioni di sistema Ridurre i tempi necessari per intercettare azioni anomale per poter intervenire con la tempestività necessaria Supportare chi fa la gestione della Sicurezza

SCRIGNOIdentiTel Un sistema di autenticazione forte a doppio fattore e con doppio canale di trasmissione dei codici di sicurezza Basato sull utilizzo congiunto del frontend web e del telefono cellulare Alcuni codici identificativi vengono inviati tramite cellulare e viaggiano se rete GSM (fonia), gli altri, inseriti sul browser, viaggiano sulla connessione internet SSL a 256bit Solo se l insieme completo dei codici identificativi risulta corretto e coerente, l autenticazione ha successo E difficile da raccontare ma semplicissimo all uso, e richiede solo di aver registrato il proprio telefono cellulare presso la propria agenzia.

Monitoraggio transazioni Caratteristiche di funzionamento: Il sistema accede ad una base dati internazionale (efraud database) per identificare eventuali sorgenti malevoli costruisce un profilo comportamentale dinamico dell utente e calcola un parametro di rischio per ogni azione svolta in funzione dello scostamento dal profilo attuale. sulla base del rischio stimato innesca delle contromisure specifiche che possono anche avviare processi di intervento da parte di attori in grado di valutare la situazione e supportare il cliente accentra in un unico contenitore tutte le informazioni raccolte In tutte queste azioni il sistema è in grado di apprendere dal suo stesso funzionamento

Antimalware Una soluzione che ha l obbiettivo di intercettare le tipologie di malware più diffuse. In caso di segnalazione positiva è in grado di bloccare immediatamente l operatività dell utente Traccia gli eventi per future analisi Innesca automaticamente processi che prevedono l intervento di di differenti attori, che svolgono attività prefissate e forniscono feedback al sistema e supporto all utente

Concludendo Le contromisure agiscono su molti livelli e sono integrate in un unico sistema organizzativo di gestione della sicurezza Eventuali controlli automatici hanno una stretta integrazione con processi interni Il tutto nell ambito di un sistema di gestione aderente alle policy definite da un Comitato sicurezza che coinvolge più funzioni aziendali. Policy e contromisure vengono regolarmente aggiornate in risposta a nuove tecniche di attacco e schemi di frode

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back