Definizione informazioni di sicurezza attiva

Transcript

Informational Risk and Security Governance
CeTIF TECHNOLOGY OUTLOOK
Documento riservato - © CeTIF 2007
Pagina 1 di 39
AUTORI:
Pubblicato nel novembre 2007
Copyright © CeTIF. Diritti Riservati.
Ogni utilizzo o riproduzione anche parziale
del presente documento non è consentita
senza previa autorizzazione degli autori.
Si ringraziano Alcatel-Lucent, Net Solving, Visiant Security e Value Team - VP Tech per la
collaborazione prestata nella fase di impostazione dei contenuti e per aver messo a
disposizione le proprie competenze in materia di gestione del rischio informatico
DISCLAIMER:
CeTIF assicura che il presente documento è stato realizzato con la massima cura e con tutta la
professionalità acquisita nel corso della sua lunga attività. Tuttavia, stante la pluralità delle fonti
d’informazione e nonostante il meticoloso impegno da parte di CeTIF affinché le informazioni
contenute siano esatte al momento della pubblicazione, né CeTIF né i suoi collaboratori
possono promettere o garantire (anche nei confronti di terzi) esplicitamente o implicitamente
l'esattezza, l'affidabilità o la completezza di tali informazioni. CeTIF, pertanto, declina qualsiasi
responsabilità per eventuali danni, di qualsiasi tipo, che possano derivare dall'uso delle
informazioni contenute nel presente rapporto.
Si evidenzia, inoltre, che il presente rapporto potrebbe contenere proiezioni future o altre
dichiarazioni in chiave prospettica, circostanza che comporta rischi e incertezze. Si avvisano
pertanto i lettori che tali affermazioni sono solamente previsioni e potrebbero quindi discostarsi
in modo considerevole dagli effettivi riscontri ed eventi futuri.
CeTIF declina fin d’ora qualsiasi responsabilità e garanzia in relazione a tali proiezioni.
Pagina 2 di 39
INDICE
Executive Summary ...................................................................................................4
Introduzione ...............................................................................................................6
1. Rischi informatici e Sicurezza ...............................................................................7
1.1 - Natura e rilevanza del rischio informatico ....................................................... 7
1.2 - Evoluzione delle pratiche di governo del rischio informatico ......................... 8
1.3 - Modelli avanzati per la gestione del rischio informatico ................................. 9
1.4 - Dettaglio dei risultati del tavolo di ricerca (indagine Delphi)........................ 12
2. Soluzioni tecnologiche per il Governo della Sicurezza .......................................14
2.1 - Soluzioni tecnologiche a supporto dei processi di governo della Sicurezza.. 14
2.2 - Soluzioni tecnologiche di sicurezza logica .................................................... 17
2.3 - Soluzioni tecnologiche di sicurezza fisica ..................................................... 18
3. “Informational Risk and Security Governance” Technology Outlook Model.....19
3.1 - Metodologia di analisi.................................................................................... 19
3.2 – “Informational Risk and Security Governance” Technology Outlook Map . 20
3.3 - “Informational Risk and Security Governance” Innovation Cycle ................ 22
3.4 - “Informational Risk and Security Governance” Process Impact Analysis .... 24
4. Informational Risk and Security Governance 4 “C” Analysis.............................26
4.1 - Context........................................................................................................... 26
4.2 - Criteria ........................................................................................................... 28
4.3 - Cost ................................................................................................................ 30
4.4 - Coverage ........................................................................................................ 31
Pagina 3 di 39
Executive Summary
Risulta oggi fondamentale affrontare il tema del rischio informatico in un’ottica unitaria,
tenendo cioè conto sia dei rischi di natura diretta sia di quelli di natura indiretta e
inquadrandolo nell’ambito più generale del rischio d’impresa. Una gestione unitaria del
rischio informatico, che tenga conto tanto dei rischi che hanno origine nella tecnologia (ad
esempio, violazione e furto di informazioni, perdita e indisponibilità di dati, frodi
informatiche ecc.) quanto quelli che, avendo origine nei processi operativi, si trasmettono
ai sistemi informatici in virtù della loro automazione (ad esempio, il rischio di non
conformità delle applicazioni alla normativa o alle procedure in vigore), nonché delle
conseguenze di natura reputazionale che da questi rischi possono derivare, oltre a essere
di importanza fondamentale nel quadro della vigilanza prudenziale alla quale sono
soggetti gli intermediari finanziari, consente di migliorare l’efficacia del processo di
governo del rischio e di abbatterne, al contempo, i costi complessivi grazie ad un utilizzo
più efficiente di tutte le risorse coinvolte.
Sulla base di tale approccio, le istituzioni finanziarie adottano tecnologie abilitanti al
perseguimento degli obiettivi di presidio del rischio informatico e di governo della
sicurezza. Tali tecnologie sono state raggruppate in classi omogenee per finalità e
funzionalità e quindi ulteriormente suddivise sulla base dei processi supportati e degli
ambiti di utilizzo in banca: Soluzioni tecnologiche a supporto dei processi di governo della
Sicurezza, Soluzioni tecnologiche di Sicurezza Logica, Soluzioni tecnologiche di Sicurezza
Fisica.
In seguito all’applicazione della metodologia Technology Outlook Model sono emerse le
seguenti evidenze:
•
l’analisi svolta evidenzia un apprezzabile impatto diretto sull’infrastruttura
tecnologica, dovuto principalmente alle conseguenze facilmente ipotizzabili nel
contesto dei sistemi per la sicurezza. Per quel che riguarda, invece, i sistemi di
elaborazione, i sistemi di comunicazione e i sistemi di gestione dati, si ritiene che
la tecnologia in esame abbia ripercussioni di modesta entità. Gli effetti
sull’infrastruttura (sistemi di sviluppo, gestione e applicativi) e sull’architettura
applicativa sono più evidenti, soprattutto a causa delle potenziali modifiche indotte
nel processo di sviluppo e gestione delle applicazioni. Per quanto concerne le
caratteristiche di erogazione dei servizi applicativi, gli effetti delle tecnologie di
riferimento sono rilevanti sulla disponibilità dei servizi stessi. Infine, relativamente
ai contenuti, si evidenziano effetti positivi, soprattutto in termini di erogazione da
parte dell’IT, e di gestione, mentre non sono individuabili impatti evidenti in
termini di creazione ne’ di fruizione da parte dell’utenza;
•
fra i fattori esterni che potranno influire sui processi di adozione e diffusione delle
tecnologie per la gestione del rischio informatico e della sicurezza, si segnala,
quale forte abilitatore, la normativa interna ed esterna che, sollecitando continui
Pagina 4 di 39
cambiamenti, è unanimemente considerata un driver per lo sviluppo dei progetti
legati alle tecnologie in oggetto; inoltre, si riscontrano effetti abilitatori dovuti a
fattori socio-culturali relativi alla necessità di preservare l’immagine della banca.
Lo sviluppo delle nuove tecnologie, infine, rende prevedibili effetti abilitatori di
media intensità sia per quanto concerne le misure di sicurezza passiva e attiva, sia
per quel che riguarda i sistemi di governance del rischio;
•
i sistemi di supporto alla governance della sicurezza possono essere collocati in
una fase finale di sviluppo. Relativamente al tasso di penetrazione, si deve rilevare
un medio livello di diffusione. Per quanto riguarda le tecnologie di sicurezza
logica, il posizionamento nello stadio intermedio della fase di consolidamento sta
ad indicare una pressoché completa copertura delle realizzazioni produttive. Il
livello di diffusione delle tecnologie per la gestione della sicurezza logica risulta
altresì di entità elevata. Relativamente alle tecnologie innovative per la sicurezza
fisica, il posizionamento nello stadio iniziale della fase di consolidamento denota
un’ampia copertura delle realizzazioni produttive. Il livello di diffusione di
quest’ultime risulta altresì di entità medio-alta, registrando anche in questo caso
un crescente interesse, dovuto in particolare a sollecitazioni ambientali;
•
l’analisi ha rilevato alcune evoluzioni di rilievo nell’ambito dei processi
direzionali, in particolare nella gestione del rischio, che trae significativi benefici
grazie al miglioramento delle possibilità di monitoraggio e controllo, che
favoriscono l’evoluzione delle pratiche di governo del rischio informatico verso un
approccio integrato di gestione dei rischi d’impresa (enterprise risk management).
I processi di operation (incassi e pagamenti, credito, finanza, servizi tipici) invece,
non sono interessati da impatti apprezzabili, in termini di modifiche migliorative o
evolutive. Al contrario, i processi di marketing, commerciali e di servizio al cliente
(all’interno dei quali sono la gestione dei canali di contatto, il customer service e
lo sviluppo e gestione dei piani di marketing a essere stata segnalati come oggetto
di cambiamento), si rivelano coinvolti dall’adozione dei sistemi per la gestione
della sicurezza e del rischio informatico. Sufficientemente marcato è infine
l’impatto sui processi di supporto, all’interno dei quali organizzazione e gestione
ICT, gestione delle risorse umane e, come ovvio, gestione della sicurezza, sono i
principali ambiti all’interno dei quali si riflette il vantaggio nell’adozione dei
sistemi in oggetto.
Pagina 5 di 39
Introduzione
Le tecnologie dell’informazione e della comunicazione (ICT) contribuiscono allo
sviluppo delle imprese favorendone l’innovazione. Innovare significa creare nuovi
prodotti o servizi e nuovi processi, con l’obiettivo di ottenere una differenziazione
competitiva, ma anche intervenire sui processi esistenti per migliorarne l’efficienza e
comporta, oltre all’introduzione di nuove tecnologie, anche una trasformazione
dell’impresa in chiave organizzativa, di impatto tanto sui processi che sulle persone,
per ciò che concerne ruoli, responsabilità e competenze. Il processo di innovazione
tecnologica è influenzato da fattori interni ed esterni all’azienda, che ne condizionano
i risultati in termini sia di rapporto tra benefici potenziali e benefici reali sia di tempo
necessario alla loro realizzazione e richiede pertanto l’adozione, da parte dell’impresa,
di specifiche pratiche di governo del processo e di attente politiche di gestione del
conseguente cambiamento organizzativo.
E’ in questo contesto che si colloca il CeTIF Innovation Center, un laboratorio di
ricerca permanente promosso dal Centro di Ricerca su Tecnologie, Innovazione e
servizi Finanziari dell’Università Cattolica del Sacro Cuore per dare spazio alle
tecnologie innovative e alle loro applicazioni nel settore finanziario, analizzandole da
una duplice prospettiva: accademica, in cui è indagato il ruolo dell’evoluzione
tecnologica nel settore bancario attraverso contributi di docenti e ricercatori
universitari e operativa, mediante interventi di esperti provenienti dal settore bancario
e da quello delle aziende tecnologiche. I risultati dell’attività di ricerca condotta da
CeTIF nell’ambito del laboratorio vengono sintetizzati nel Technology Outlook, un
documento di analisi indipendente che consente di posizionare la tecnologia
innovativa in esame nell’ambito di un framework di riferimento normalizzato,
orientato ad evidenziarne le caratteristiche intrinseche, a mettere in luce i fattori
esterni alla banca, che ne possano accelerare o frenare l’adozione, a determinarne il
posizionamento nell’ambito del cosiddetto ciclo di innovazione tecnologica, a
stimarne l’impatto potenziale in base a criteri di efficienza, efficacia e rischiosità,
valutando l’ampiezza e l’intensità di tale impatto sui processi bancari, a identificare,
infine, scenari e criteri di adozione in relazione al contesto bancario e alle
caratteristiche dell’offerta.
Nell’ambito del Technology Outlook con il termine di tecnologia innovativa si
intende tanto uno specifico componente (o categoria di componenti) dell’infrastruttura
tecnologica o applicativa ICT quanto una modalità di concepire l’architettura del
sistema informativo nel suo complesso (o parte di esso), che rappresenti un fattore
abilitante per il processo di innovazione della banca. In altri termini, una tecnologia è
definita innovativa non tanto sulla base di un criterio “anagrafico” bensì in relazione
alla sua capacità di “abilitare” l’innovazione nel settore bancario e solo in quanto tale
è oggetto di indagine da parte del CeTIF Innovation Center.
Pagina 6 di 39
1. Rischi informatici e Sicurezza
1.1 - Natura e rilevanza del rischio informatico
Come è stato recentemente osservato dalla Banca d’Italia1, la mutazione in corso nella
composizione dei rischi bancari ha visto proporzionalmente ridursi quelli derivanti dalla
detenzione di un portafoglio di crediti e aumentare quelli operativi, legali e di reputazione
legati alla partecipazione delle banche ai diversi segmenti dell’attività di intermediazione
(istruttoria ed erogazione di crediti, strutturazione di strumenti finanziari complessi,
organizzazione di veicoli di investimento collettivo, servizi di negoziazione, collocamento
e consulenza).
Tradizionalmente incluso nel novero dei rischi operativi, il rischio informatico può essere
definito, in termini molto generali, come
“il rischio di danni economici e di reputazione derivanti dall’uso della
tecnologia2, intendendosi con ciò tanto i rischi impliciti nella tecnologia
(rischi diretti) quanto i rischi che derivano dall’automazione, attraverso l’uso
della tecnologia, di processi operativi aziendali (rischi indiretti)”
I rischi informatici diretti concorrono a determinare i requisiti patrimoniali stabiliti dalle
regole di Basilea II. Il corretto bilanciamento dei rischi inclusi nel capitolo dei requisiti è
elemento fondamentale del nuovo schema regolamentare “sensibile al rischio”. Tuttavia,
tali requisiti sono solo una parte degli strumenti prudenziali per il contenimento dei rischi
informatici. Dal momento, infatti, che esistono dei rischi indiretti, riconducibili a fattispecie
di rischio di natura regolamentare (non conformità alla normativa vigente) e reputazionale
(derivanti a loro volta da eventi di non conformità o da rischi di natura diretta) altrettanto
importanti risultano i requisiti organizzativi imposti alle banche dalle Autorità di vigilanza
quali, ad esempio, quelli relativi alla compliance o conformità alle norme.
Mentre i requisiti patrimoniali agiscono rendendo tanto più onerosa l’intermediazione
quanto maggiori sono i rischi che essa determina, i requisiti organizzativi agiscono
introducendo comportamenti degli intermediari considerati idonei a minimizzare le cause di
rischio.
Già le regole di Basilea II prevedono, accanto ai requisiti patrimoniali minimi proporzionali
ai rischi (il cosiddetto primo pilastro), un secondo pilastro costituito dall’obbligo, per
l’intermediario, di valutare l’esistenza di altri rischi non presi in considerazione nei requisiti
minimi, l’adeguatezza dell’apparato dei controlli nel fronteggiare tutte le tipologie di
1
Giovanni Carosio, Vice Direttore Generale della Banca d’Italia, La Funzione di Compliance tra Basilea II e
MiFID, intervento al III Incontro Compliance AICOM – Dexia Crediop, Roma, 21 settembre 2007.
2
Information & Communication Technology.
Pagina 7 di 39
rischio, l’eventuale necessità di mantenere un capitale superiore ai minimi per coprire il
“rischio residuale”.
Sotto questo profilo, risulta oggi fondamentale affrontare il tema del rischio informatico in
un’ottica unitaria, tenendo cioè conto sia dei rischi di natura diretta sia di quelli di natura
indiretta e inquadrandolo nell’ambito più generale del rischio d’impresa.
1.2 - Evoluzione delle pratiche di governo del rischio informatico
La gestione dei rischi connessi con l’utilizzo della tecnologia (ICT) passa attraverso diversi
stadi evolutivi (figura 1) che, nel loro insieme, definiscono un maturity model.
Figura 1 – Information risk governance maturity model
Fonte: CeTIF
X Nel passaggio dal primo (System Security Governance) al secondo stadio
(Information Security Governance), oltre alle problematiche di protezione delle risorse
usate per acquisire, memorizzare, elaborare e comunicare le informazioni assumono
rilevanza quelle relative all’integrità, disponibilità e confidenzialità (riservatezza)
dell’informazione. Pur avendo ancora un forte connotato operativo, tale stadio si
caratterizza per un maggior livello di integrazione dell’unità organizzativa preposta alla
gestione della sicurezza informatica con altre componenti dell’organizzazione quali, ad
esempio, la sicurezza fisica e le unità di business.
Y Il passaggio dal secondo al terzo stadio (Information Risk Governance) è invece
caratterizzato dalla necessità di sviluppare una visione unitaria del rischio informatico,
prendendo in considerazione sia i rischi di natura diretta sia quelli di natura indiretta,
attraverso un processo di convergenza (le cui caratteristiche verranno meglio specificate
nel seguito del documento) tra le unità organizzative che, a diverso titolo e con diversi
Pagina 8 di 39
gradi di responsabilità, presidiano queste specifiche tipologie di rischio. Inoltre, il
cambiamento di focus della gestione da “sicurezza” a “rischio”, oltre a conferire all’attività
una maggiore valenza strategica, implica lo sviluppo di capacità di misurazione (risk
assessment) e gestione (risk management) del rischio coerenti con le metodologie e gli
approcci utilizzati nell’ambito dell’impresa o, in alternativa, un maggior grado di
interazione con le altre unità organizzative preposte alla gestione dei rischi.
Z Il passaggio, infine, all’ultimo stadio (enterprise risk governance), caratterizzato da
una visione integrata dei rischi d’impresa e, come tale, di portata strategica elevata, oltre
alla convergenza tra le diverse unità preposte alla gestione del rischio informatico (propria
del livello precedente), richiede lo sviluppo di forti interrelazioni, in un’ottica di
integrazione organizzativa, tra tutte le entità che si occupano di temi legati al presidio del
rischio (gli organi di governo, le funzioni appartenenti al sistema dei controlli interni,
l’organizzazione ecc.) e l’adozione di un modello (framework) unificato di enterprise risk
management.
1.3 - Modelli avanzati per la gestione del rischio informatico (sintesi dei risultati del
tavolo di ricerca)
Una gestione unitaria del rischio informatico, che tenga conto tanto dei rischi che hanno
origine nella tecnologia (ad esempio, violazione e furto di informazioni, perdita e
indisponibilità di dati, frodi informatiche ecc.) quanto quelli che, avendo origine nei
processi operativi, si trasmettono ai sistemi informatici in virtù della loro automazione (ad
esempio, il rischio di non conformità delle applicazioni alla normativa o alle procedure in
vigore), nonché delle conseguenze di natura reputazionale che da questi rischi possono
derivare, oltre a essere di importanza fondamentale nel quadro della vigilanza prudenziale
alla quale sono soggetti gli intermediari finanziari, consente di migliorare l’efficacia del
processo di governo del rischio e di abbatterne, al contempo, i costi complessivi grazie ad
un utilizzo più efficiente di tutte le risorse coinvolte.
Il progetto di ricerca su Rischi Informatici e Sicurezza, condotto da CeTIF in
collaborazione con istituzioni finanziarie, aziende tecnologiche e di servizi, ha affrontato
questi temi sviluppandoli lungo le direttrici:
– Strategica: definizione di principi e linee guida per il governo del rischio
informatico;
– Organizzativa: definizione della struttura organizzativa (gerarchica e
funzionale), attribuzione di ruoli e responsabilità, classificazione e mappatura
dei processi operativi aziendali e delle risorse, definizione dei processi per il
governo del rischio e la gestione della sicurezza informatica;
– Infrastrutturale: identificazione e adozione di tecnologie abilitanti e soluzioni
per il governo del rischio e la gestione della sicurezza informatica.
Pagina 9 di 39
Tali direttrici, o dimensioni funzionali, sono state quindi incrociate (figura 2) con le fasi di
un processo ideale di risk management rappresentate da:
– Prevenzione: le attività poste in essere ex ante, con l’obiettivo di prevenire il
rischio informatico;
– Individuazione: le attività orientate alla tempestiva individuazione degli eventi
rischiosi, nel momento in cui questi si manifestano;
– Contrasto: le attività orientate a contrastare gli eventi rischiosi, nel momento
in cui questi si manifestano;
– Mitigazione: le attività poste in essere ex post per il contenimento o la
riduzione dei danni provocati dagli eventi rischiosi, una volta che questi si
sono manifestati.
Figura 2 – Risk management life cycle e dimensioni funzionali
Fonte: CeTIF
Si tratta di un’operazione fondamentale, che ha l’obiettivo di identificare e descrivere, in
chiave organizzativa e tecnologica, i punti di intersezione tra le dimensioni funzionali e le
diverse fasi del processo (rappresentati in figura).
Tuttavia, tale operazione rappresenta una condizione necessaria ma non ancora sufficiente.
Lo sviluppo di una visione unitaria del rischio informatico richiede, come è stato già
evidenziato, un elevato grado di convergenza tra le diverse funzioni / unità organizzative
che, a diverso titolo e con diversi gradi di responsabilità, presidiano i rischi diretti (cioè
quelli impliciti nella tecnologia), tipicamente appartenenti all’area della sicurezza
informatica (o sicurezza logica) e i rischi indiretti (cioè quelli che hanno origine
nell’operatività aziendale), tipicamente appartenenti ad altre aree aziendali (unità di
Pagina 10 di 39
business, operational risk management, internal audit, compliance, organizzazione,
sicurezza fisica, ecc.).
Per convergenza non si intende necessariamente la costituzione di una nuova o diversa
funzione / unità organizzativa di tipo monolitico, che racchiuda in sé tutte o gran parte
delle competenze e capacità necessarie a gestire le due tipologie di rischio in questione.
Ci si riferisce3 piuttosto ad un approccio orientato alla
“identificazione dei rischi informatici (diretti e indiretti) e delle
interdipendenze tra questi, le unità di business, i processi operativi aziendali e
conseguente sviluppo di processi gestionali e soluzioni che consentano di
affrontare tali rischi e le relative interdipendenze”
Il successo di un’organizzazione nell’implementazione delle proprie strategie si basa,
tipicamente, sull’utilizzo di una serie di leve di tipo operativo, generalmente riconducibili a
tre diverse categorie:
Strategia
– risk management: valutazione dei rischi ai quali risulta esposta l’impresa e del
loro impatto sul business, conseguente determinazione delle strategie da porre
in essere per garantirne l’operatività con livelli di rischio accettabili;
– governance: definizione della struttura di relazioni e processi atta a stabilire i
necessari livelli di autorità e responsabilità.
Processi
– definizione del budget: processo di pianificazione finanziaria preventiva
(entrate e uscite);
– definizione di standard & linee guida: documentazione delle modalità (regole)
per l’implementazione dei processi operativi aziendali;
– integrazione: fusione o interrelazione di funzioni e processi appartenenti a
componenti diverse dell’impresa;
– sviluppo di business case: analisi strutturata della situazione corrente
dell’impresa in relazione ad una determinata problematica e descrizione delle
azioni da porre in essere per affrontarla con successo.
Risorse umane
– ruoli e responsabilità: documentazione formale delle responsabilità assegnate
ad ogni ruolo nell’ambito dell’organizzazione;
– leadership: autorità di dirigere o indirizzare le attività dell’impresa;
3
Elaborazione CeTIF da ASIS International, 2005
Pagina 11 di 39
– conoscenza del business: comprensione di strategia, obiettivi e assetto
organizzativo dell’impresa in relazione al contesto (mercato).
Nelle evidenze del progetto di ricerca condotto da CeTIF, il processo di convergenza tra
funzioni / unità organizzative coinvolte nella gestione del rischio informatico richiede,
come elemento imprescindibile, anche un cambiamento di focus nell’utilizzo delle citate
leve operative (figura 3).
Figura 3 – Cambiamento di focus nell’utilizzo di leve operative
Fonte: elaborazione CeTIF da ASIS / ISSA / ISACA, 2005
1.4 - Dettaglio dei risultati del tavolo di ricerca (indagine Delphi)
Con riferimento ai temi della visione unificata del rischio informatico e delle interrelazioni
tra le diverse strutture implicate (convergenza), il tavolo di lavoro ha espresso un elevato
grado di condivisione per una serie di affermazioni (research statement) che si riportano in
forma dettagliata per le dimensioni strategica e organizzativa (la dimensione
infrastrutturale verrà analizzata nel seguito del rapporto di ricerca).
Principi di governo del rischio informatico (dimensione strategia):
– a causa della pervasività dell’IT nei processi operativi bancari, la gestione del
rischio informatico dovrebbe rientrare, a tendere, in una visione integrata di
gestione del rischio d’impresa;
– la definizione delle politiche per la gestione del rischio informatico si deve
riferire agli obiettivi strategici dell’impresa. Sebbene spesso esprimano priorità
Pagina 12 di 39
diverse, anche le aree di business, più frequentemente rispetto al passato,
dimostrano una maggiore consapevolezza verso queste problematiche.
Organizzazione per la gestione del rischio informatico (dimensione organizzazione):
– rischio informatico e rischio d'impresa vengono gestiti nell'ambito di unità
organizzative separate e autonome;
– pur essendo unità organizzative formalmente separate e autonome l’unità
responsabile della gestione del rischio informatico interagisce in modo
strutturato e continuativo con l’unità organizzativa (o entità) responsabile della
gestione del rischio d’impresa;
– dal momento che il rischio informatico è classificato nell’ambito dei rischi
operativi, la misurazione del grado di esposizione dell’impresa al rischio
informatico è effettuata dalla funzione di operational risk management. La
conseguente identificazione degli eventuali interventi correttivi applicabili ai
processi per la prevenzione e gestione degli incidenti, riguarda le figure
preposte al governo della sicurezza;
– il governo e la gestione del rischio informatico, specialmente per quanto
concerne l'individuazione del grado di esposizione al rischio, richiedono
l’integrazione di competenze IT e di business, realizzabile anche mediante la
definizione di nuovi ruoli e responsabilità.
Processi per la gestione del rischio informatico (dimensione organizzazione):
– la gestione del rischio informatico è un processo integrato, attraverso modalità
eterogenee, all’interno dei processi operativi aziendali;
– la gestione del rischio informatico focalizza sia i rischi che hanno origine
nell’ambito dei sistemi ICT (ad esempio, violazione o furto di informazioni,
perdita o indisponibilità di dati, frodi informatiche) sia quelli che derivano
dall’operatività aziendale (ad esempio, non conformità a norme di legge o
procedure aziendali);
– i processi di governo del rischio informatico prevedono lo scambio strutturato
e formalizzato di flussi informativi con le altre unità organizzative coinvolte;
– nella gestione del rischio informatico assumono rilievo tanto i processi quanto
la cultura aziendale e la tecnologia;
– il processo di verifica ex ante dei requisiti di conformità (in relazione al rischio
informatico) delle soluzioni applicative e tecnologiche
trasversalmente diverse unità organizzative oltre alla sicurezza.
coinvolge
Pagina 13 di 39
2. Soluzioni tecnologiche per il Governo della Sicurezza
Sulla base dell’approccio descritto nella prima sezione del presente documento, le
istituzioni finanziarie adottano tecnologie abilitanti al perseguimento degli obiettivi di
presidio del rischio informatico e di governo della sicurezza. La trattazione prosegue
dunque con l’inquadramento teorico delle soluzioni tecnologiche a presidio del rischio
informatico, considerato nella sua accezione più estesa. Tali tecnologie sono state
raggruppate in classi omogenee per finalità e funzionalità e quindi ulteriormente suddivise
sulla base dei processi supportati e degli ambiti di utilizzo in banca. La suddivisione
ottenuta, approfondita nei paragrafi che seguono, è la seguente4:
1. Soluzioni tecnologiche a supporto dei processi di governo della Sicurezza:
•
Gestione del rischio informatico;
•
Gestione dei progetti di sicurezza;
•
Monitoraggio e controllo;
•
Collaborazione, comunicazione e formazione.
2. Soluzioni tecnologiche di Sicurezza Logica:
•
Gestione e il controllo degli accessi logici alle risorse IT;
•
Sicurezza della rete e dei sistemi;
•
Availability e e gestione incidenti informatici;
•
Disaster recovery.
3. Soluzioni tecnologiche di Sicurezza Fisica:
•
Gestione degli accessi fisici alle risorse IT;
•
Controllo degli accessi fisici alle risorse IT.
2.1 - Soluzioni tecnologiche a supporto dei processi di governo della Sicurezza
Gestione del rischio informatico
Le soluzioni tecnologiche a supporto della gestione del rischio informatico trovano
applicazione nei processi di Pianificazione e Indirizzo della Sicurezza Informatica,
ovvero l’insieme delle attività finalizzate all’indirizzo strategico, alla produzione della
normativa e degli standard tecnologici di sicurezza e, appunto, alla gestione del rischio
informatico.
Le soluzioni tecnologiche a cui si fa riferimento supportano la valutazione del grado di
vulnerabilità dei sistemi aziendali e la conseguente pianificazione, comprensiva della
gestione del budget e degli interventi progettuali da avviare per l’abbattimento del livello di
rischio informatico complessivo.
4
L’elenco non si pone l’obiettivo di essere esaustivo, ma piuttosto di offrire una visione logica delle soluzioni
tecnologiche per la gestione del rischio informatico e della governance della sicurezza. La classificazione è
pertanto funzionale allo sviluppo della presente trattazione.
Pagina 14 di 39
La tecnologia deve essere in grado anche di raccogliere e gestire le diverse tipologie di
richieste, rendendole confrontabili e consentendone una prioritizzazione rispetto ai criteri di
scelta e alle regole stabilite dalla banca. Per questo motivo è importante che la richiesta
possa essere mappata in modo univoco, attraverso l’inserimento in un unico sistema che
possa tracciare l’intera gamma di proposte e richieste di progetti (tattici, strategici, di
compliance) e richiamarne le caratteristiche utili a supportare le valutazioni ad essi relative.
Tra le principali attività che tali soluzioni si propongono di supportare è possibile
evidenziare:
•
identificazione e classificazione degli asset;
•
identificazione e valutazione minacce e vulnerabilità;
•
valutazione impatti e identificazione del profilo di rischio informatico;
•
analisi proposte progettuali delle varie U.O.;
•
definizione del portafoglio interventi;
•
allocazione del budget.
Gestione dei progetti di sicurezza
Le soluzioni tecnologiche a supporto della gestione dei progetti trovano applicazione nei
processi di Progettazione e Implementazione delle Misure di Sicurezza Informatica,
ovvero l’insieme di attività finalizzate alla regolare attuazione dei progetti inerenti la
Sicurezza Informatica, volti ad implementare misure di sicurezza di carattere tecnologico
(sistemi dedicati alla sicurezza e attivazione di requisiti di sicurezza sul parco
applicazioni/sistemi aziendali) ed organizzativo (emanazione procedure e attribuzione di
nuovi compiti e responsabilità,…).
Si fa riferimento a tecnologie in grado di supportare la gestione l’insieme dei progetti di
sicurezza in essere (iniziative nuove, ma anche in fase di realizzazione) in tempo reale,
aggiornando risorse, budget, costi, benefici sia in forma aggregata (intero portafoglio), sia
in dettaglio. Un’importante caratteristica delle tecnologie in oggetto è quella di poter offrire
analisi e simulazioni di scenario, in una prospettiva previsionale rispetto a criteri
liberamente gestiti dall’utente (per esempio, simulare gli effetti di una diminuzione delle
risorse impiegate per allinearsi al budget). Questo per garantire non soltanto i migliori
strumenti informativi su cui poter basare le proprie valutazioni, ma anche validi elementi
per gestire i rischi, migliorare la qualità degli output prodotti, governare i costi, ecc.
Monitoraggio e controllo
Le soluzioni tecnologiche per il Monitoraggio e Controllo della Sicurezza Informatica
supportano l’insieme di attività finalizzate a verificare l’efficacia e l’adeguatezza nel tempo
delle misure di sicurezza realizzate (es. analisi dei log, vulnerability assessment,…) e a
controllare la conformità delle tecnologie e delle modalità operative all’impianto normativo
Pagina 15 di 39
e agli standard di sicurezza adottati dalla Banca. Il supporto alle attività si concretizza
dunque nel perseguimento di due obiettivi tra loro correlati e sinergici:
1. Monitoraggio dell’Efficacia delle Misure di Sicurezza
•
pianificazione delle attività di monitoraggio;
•
analisi dei dati e delle performance;
•
test e simulazioni (es. vulnerability assessment, simulazione del piano di
disaster recovery);
•
produzione e distribuzione della reportistica.
2. Controllo della conformità a normative e standard:
•
Pianificazione interventi di controllo;
•
verifica delle modalità operative e controllo di conformità all’impianto
normativo e agli standard tecnologici di sicurezza;
•
analisi dei risultati;
•
formulazione degli esiti dei controlli (anche sotto forma di reportistica).
Collaborazione, comunicazione e formazione
Per una maggiore completezza e coerenza della trattazione, è utile citare l’insieme di
soluzioni tecnologiche di supporto alla collaborazione, comunicazione e formazione,
nonostante la loro applicazione risulti trasversale all’organizzazione bancaria e non certo
verticale rispetto all’oggetto della presente analisi. In particolare si intende in tale contesto
sottolineare l’importanza del supporto di esse all’insieme di attività finalizzate
all’innalzamento del livello complessivo di consapevolezza e di preparazione delle risorse
umane sulle tematiche di sicurezza informatica (es: identificazione delle esigenze di
comunicazione/formazione, definizione degli obiettivi, dei contenuti e dei destinatari della
comunicazione/formazione; realizzazione degli interventi di comunicazione/formazione,
rilevazione del livello di sensibilizzazione raggiunto).
La diffusione nel continuo di un’adeguata cultura aziendale della sicurezza è un'attività
fondamentale per la messa in atto di qualsiasi pratica di governo e gestione del rischio
informatico. Parallelamente, è necessario creare e supportare nel continuo un’adeguata
cultura operativa, attraverso la quale le risorse possano evitare comportamenti
potenzialmente pericolosi e, talvolta, dannosi.
Si aggiunga a questo che i processi di governo del rischio informatico prevedono lo
scambio strutturato e formalizzato di flussi informativi con le altre unità organizzative
coinvolte.
Le tecnologie innovative in materia di collaborazione e comunicazione mirano dunque ad
assecondare cambiamenti organizzativi e annullare le distanze tra le risorse coinvolte nei
processi aziendali, sia da un punto di vista fisico, sia di livello gerarchico (es: tecnologie di
convergenza, strumenti web di seconda generazione, ecc.). Le attività di formazione,
Pagina 16 di 39
sempre più caratterizzate dai principi sopra descritti, si avvalgono inoltre di tecnologie
innovative che garantiscono una modalità evoluta di formazione a distanza (sfruttando la
compresenza di formati audio video e dati sullo stesso canale, anche integrati in
applicazioni di enhanced collaboration).
2.2 - Soluzioni tecnologiche di sicurezza logica
In questo ambito rientrano le soluzioni tecnologiche finalizzate all’attuazione continuativa
del livello di presidio individuato e predisposto a tutela delle risorse IT. Le misure di
sicurezza logica possono essere suddivise in quattro macro categorie (domini) che
rispecchiano la specificità delle diverse soluzioni tecnologiche, delle funzionalità e della
modalità di gestione.
Tecnologie per la gestione e il controllo degli accessi alle risorse IT
Le soluzioni tecnologiche in oggetto sono finalizzate ad assicurare la sicurezza logica di
dati e risorse IT, garantendone l'integrità, la disponibilità, e la riservatezza attraverso la
definizione e la gestione dei profili autorizzativi di accesso / operatività, l’abilitazione di
utenze, l’assegnazione di meccanismi di autenticazione e crittografia.
Tecnologie per la sicurezza della rete e dei sistemi
Le soluzioni tecnologiche in oggetto sono finalizzate a garantire la sicurezza delle
infrastrutture tecnologiche e applicative che supportano l’operatività della banca. Sono
pertanto adottate a protezione di rete, sistemi e applicazioni (es. IDS, Router, Firewall,
Antivirus, VPN, VLAN, RACF, EUA/SSO., SOC,… ).
Tecnologie di availability e gestione incidenti informatici
Le soluzioni tecnologiche in oggetto sono finalizzate alla gestione operativa di incidenti di
sicurezza e alla gestione di stati di allerta e crisi informatiche (es. attacchi di virus o di
hacker, frodi informatiche,…). L’obiettivo è quello di garantire la disponibilità dei servizi
agli utenti interni ed esterni alla banca.
Tecnologie di Disaster Recovery 5
5
In caso di evento che determini l’interruzione dell’operatività ordinaria, assume particolare importanza la
presenza in azienda di un business continuity plan che contempli tutte le attività volte ad assicurare la
prosecuzione dei processi di business considerati critici. Esso è costituito dall’insieme dei piani di continuità
sviluppati per ogni singola funzione interessata e prevede processi organizzativi di ripristino differenziati in
funzione della gravità degli eventi presi in considerazione e del grado di importanza/essenzialità dei processi.
La gestione delle emergenze e degli incidenti dovuti a cause di forza maggiore ed eventi catastrofici non può
prescindere da strumenti tecnologici che consentano all’organizzazione non solo di mantenere un livello di
operatività minimo, ma sopratutto di non perdere informazioni e dati vitali per l’attività di business.
Nell’economia della presente trattazione, si è reputato più corretto fare riferimento all’ambito esclusivamente
tecnologico (disaster recovery) piuttosto che alle soluzioni di carattere maggiormente organizzativo.
Pagina 17 di 39
Le soluzioni tecnologiche in oggetto sono utilizzate a tutela del verificarsi di eventi
disastrosi che comportino la necessità di attivare un CED secondario (a fronte della
indisponibilità del CED primario) e di procedere quindi con il suo successivo ripristino.
2.3 - Soluzioni tecnologiche di sicurezza fisica
Con il termine “soluzioni tecnologiche di sicurezza fisica” si intende l’insieme delle
tecnologie per la tutela delle risorse IT e dei dati stessi dai rischi che caratterizzano
l’ambiente fisico in cui le infrastrutture sono ubicate (es: furti e danneggiamenti, abuso di
privilegi di accesso alle strutture IT, ecc.). L’innovazione in tale ambito persegue una
sempre maggiore sovrapposizione con le tecnologie di sicurezza logica, informatizzando i
tradizionali sistemi (videosorveglianza, chiavi di accesso, ecc.) e integrandoli con
funzionalità precedentemente inesplorate.
A seguito vengono indicatre e descritte brevemente le principali categorie all’interno delle
quali racchiudere le soluzioni tecnologiche di sicurezza fisica.
Sistemi per la gestione degli accessi fisici alle risorse IT
Tali tecnologie supportano le diverse esigenze di accesso fisico alle risorse, possibilmente
applicando la policy del “minimo privilegio”, dell’affidabilità dei singoli e delle
responsabilità, anche contrattuali, delle società di appartenenza, nonché della necessità di
riservare comunque alcune attività al personale della banca.
Un’importante caratteristica delle soluzioni innovative in tale ambito è il sempre più basso
livello di invasività verso le abitudini operative delle persone, utilizzando sistemi sempre
più automatizzati e che sfruttano le potenzialità delle tecnologie innovative
(riconoscimento biometrico, GPS, sistemi a radiofrequenza, ecc.).
Sistemi per il controllo e il monitoraggio degli accessi fisici alle risorse IT
Anche in questo caso l’automatizzazione e l’informatizzazione delle tecnologie tradizionali
gioca un ruolo fondamentale. In particolare è possibile applicare i concetti alla base della
convergenza (docuementi, audio e video trasmessi attraverso protocolli IP) per esplorare
nuove soluzioni anche organizzative. I sistemi di videosorveglianza dotati di picture
scanning and filtering consentono un controllo centralizzato degli accessi fisici (e di
eventuali modifiche) alle risorse IT, dove le anomalie, rilevate sulla base delle regole
definite dall’utente, vengono segnalate automaticamente attraverso allarmi e descrizioni
puntuali dell’anomalia stessa (mancanza di un determinato oggetto, presenza di un oggetto
non conforme alle regole, modifica della situazione preesistente, ecc.). Tali sistemi
possono, per esempio, rilevare e segnalare in modo automatico il furto di un laptop o la
modifica alla struttura di un ATM (inserimento di uno skimmer). Nella realtà dei fatti,
l’applicazione di tali tecnologie trarrà la sua efficacia dalle intuizioni dei progettisti e dalla
capacità di allinearne le funzionalità alle esigenze della banca.
Pagina 18 di 39
3. “Informational Risk and Security Governance” Technology Outlook Model
3.1 - Metodologia di analisi
Come abbiamo evidenziato in apertura, il Technology Outlook Model si basa su una
metodologia sviluppata da CeTIF e consente di posizionare le soluzioni per la governance
del rischio informatico in un framework di riferimento normalizzato, orientato a:
1. evidenziarne le caratteristiche tecnologiche intrinseche e mettere in luce i fattori
esterni alla banca, che ne possano accelerare o frenare l’adozione (Technology
Outlook Map);
2. determinarne il posizionamento nell’ambito del cosiddetto ciclo di innovazione
tecnologica (Technology Innovation Cycle);
3. stimarne l’impatto potenziale in base a criteri di efficienza, efficacia e rischiosità,
valutando l’ampiezza e l’intensità di tale impatto sui processi di governo della
sicurezza (Process Impact Analysis);
4. identificare scenari e criteri di adozione in relazione al contesto bancario e alle
caratteristiche dell’offerta (4C - Context, Criteria, Cost, Coverage).
Nei paragrafi che seguono sono esposti, in sintesi, i risultati delle analisi effettuate
mediante l’applicazione del modello.
Pagina 19 di 39
3.2 – “Informational Risk and Security Governance” Technology Outlook Map
Nella Technology Outlook Map la tecnologia in esame viene analizzata con l’obiettivo di
determinarne l’impatto potenziale su quattro variabili interne: infrastruttura tecnologica,
infrastruttura applicativa (sistemi di sviluppo, sistemi di gestione, sistemi applicativi) o
architettura applicativa nel suo complesso, caratteristiche di erogazione dei servizi
applicativi (applicazioni) da parte della struttura ICT (intesa come l’insieme di
infrastrutture tecnologiche, organizzazione e processi) e contenuti, cioè l’insieme delle
informazioni a supporto dei processi di business della banca. Vengono inoltre presi in
considerazione alcuni fattori esterni alla banca (variabili esterne) che possono fungere da
abilitatori (enabler) o inibitori (inhibitor) nei confronti del processo di diffusione della
tecnologia: normativa, mercato, fattori socio-culturali, evoluzione tecnologica.
Inhibitor
Normativa
Enabler
Infrastruttura
Evoluzione Tecnologica
Mercato
Inhibitor
Applicazioni
Enabler
Enabler
Inhibitor
Contenuti
Servizi
Enabler
Fattori
Socio-Culturali
Inhibitor
Fonte: CeTIF 2007
L’analisi svolta evidenzia un apprezzabile impatto diretto sull’infrastruttura
tecnologica, dovuto principalmente alle conseguenze facilmente ipotizzabili nel
contesto dei sistemi per la sicurezza; in tale ambito, infatti, sono prevedibili
modifiche, sostituzioni o acquisizioni di componenti infrastrutturali, con l’obiettivo di
un generale miglioramento delle caratteristiche evolutivo/funzionali, che potrebbero
comportare ripercussioni anche su altre componenti infrastrutturali.
Per quel che riguarda, invece, i sistemi di elaborazione, i sistemi di comunicazione e i
sistemi di gestione dati, si ritiene che la tecnologia in esame abbia ripercussioni di
Pagina 20 di 39
modesta entità, dovute soprattutto a necessità di aggiornamento o miglioramento
funzionale di componenti esistenti.
Gli effetti sull’infrastruttura (sistemi di sviluppo, gestione e applicativi) e
sull’architettura applicativa sono più evidenti, soprattutto a causa delle potenziali
modifiche indotte nel processo di sviluppo e gestione delle applicazioni, seppur con
benefici limitati in termini di efficienza e di efficacia. L’ampiezza di tale impatto è
considerata elevata, dato l’alto numero di applicazioni che sono interessate
dall’adozione di misure per la gestione del rischio informatico e della sicurezza.
Per quanto concerne le caratteristiche di erogazione dei servizi applicativi gli effetti
delle tecnologie di riferimento sono rilevanti sulla disponibilità dei servizi stessi, per i
quali sono prevedibili significativi miglioramenti atti a garantire la continuità
nell’erogazione e una migliore rispondenza ai business requirement (efficacia).
Infine, relativamente ai contenuti, visti come l’insieme delle informazioni a supporto
dei processi di business della banca, si evidenziano effetti positivi, soprattutto in
termini di erogazione da parte dell’IT e di gestione, mentre non sono individuabili
impatti evidenti in termini di creazione ne’ di fruizione da parte dell’utenza.
Fra i fattori esterni che potranno influire sui processi di adozione e diffusione delle
tecnologie per la gestione del rischio informatico e della sicurezza, si segnala, quale
forte abilitatore, la normativa interna ed esterna che, sollecitando continui
cambiamenti, è unanimemente considerata un driver per lo sviluppo dei progetti legati
alle tecnologie in oggetto; inoltre, si riscontrano effetti abilitatori dovuti a fattori
socio-culturali (in tale ambito non si manifestano fenomeni imitativi nei confronti dei
cosiddetti “early adopter” e “technology innovator” quanto, piuttosto, la necessità di
preservare l’immagine della banca). Lo sviluppo delle nuove tecnologie, infine, rende
prevedibili effetti abilitatori di media intensità sia per quel che concerne le misure di
sicurezza passiva e attiva, sia per ciò che riguarda i sistemi di governance del rischio.
Pagina 21 di 39
3.3 - “Informational Risk and Security Governance” Technology Innovation Cycle
I grafici del Technology Innovation Cycle evidenziano rispettivamente il posizionamento
delle tecnologie in esame nell’ambito del ciclo di innovazione tecnologica delle banche
italiane che l’hanno adottata e il suo stadio di diffusione nell’ambito del mercato bancario
(italiano).
Si è ritenuto opportuno considerare separatamente le tecnologie a supporto della
governance della sicurezza, quelle per la sicurezza fisica e quelle di supporto alla sicurezza
logica.
Grafico 1 – Banche Utilizzatrici
Grafico 2 – Mercato Bancario
Fonte: CeTIF 2007
I sistemi di supporto alla governance della sicurezza possono essere collocati in una fase
finale di sviluppo poiché, se è vero che in numerosi casi si sono realizzati sistemi di
misurazione e controllo, sono poche le realtà nelle quali è avvenuto il pieno sfruttamento
delle potenzialità di queste tecnologie.
Relativamente al tasso di penetrazione, si deve rilevare un medio livello di diffusione,
divenendo sempre più sentita la necessità di dotarsi di strumenti che consentano il supporto
adeguato alle sempre più complesse attività di gestione, monitoraggio, controllo,
comunicazione, formazione e collaborazione.
Fonte: CeTIF 2007
Pagina 22 di 39
Per quanto riguarda le tecnologie di sicurezza logica, il posizionamento nello stadio
intermedio della fase di consolidamento sta ad indicare una pressoché completa copertura
delle realizzazioni produttive, grazie allo sfruttamento delle potenzialità derivanti
dall’applicazione di tali sistemi ai processi bancari, nonostante la loro numerosità e
complessità.
Il livello di diffusione delle tecnologie per la gestione della sicurezza logica risulta altresì
di entità elevata, registrando soprattutto negli ultimi anni, un crescente interesse,
continuamente stimolato dalle sollecitazioni ambientali e normative.
Fonte: CeTIF 2007
Relativamente alle tecnologie innovative per la sicurezza fisica, il posizionamento nello
stadio iniziale della fase di consolidamento denota un’ampia copertura delle realizzazioni
produttive, nonostante non si sia tuttora realizzato il pieno sfruttamento delle potenzialità
derivanti dall’applicazione delle nuove tecnologie (ad esempio quelle di riconoscimento).
Il livello di diffusione di quest’ultime risulta altresì di entità medio-alta, registrando anche
in questo caso un crescente interesse, dovuto in particolare a sollecitazioni ambientali.
Pagina 23 di 39
3.4 - “Informational Risk and Security Governance” Process Impact Analysis
Viene ora approfondito il potenziale impatto delle soluzioni per la gestione del rischio
informatico e della sicurezza sui principali processi bancari, classificati secondo le
seguenti categorie:
• processi direzionali;
• processi di operation;
• processi di marketing, commerciali e di servizio alla clientela;
• processi di supporto.
Direzionali
Operations
Supporto
Mkt, Comm, Svc
Fonte: CeTIF 2007
L’analisi ha rilevato alcune significative evoluzioni nell’ambito dei processi
direzionali, in particolare nella gestione del rischio, che trae significativi benefici
grazie al miglioramento delle possibilità di monitoraggio e controllo che favoriscono
l’evoluzione delle pratiche di governo del rischio informatico verso un approccio
integrato di gestione dei rischi d’impresa (enterprise risk management), Anche se con
minor rilevanza, le tecnologie in oggetto evidenziano ripercussioni anche sulla
gestione dei controlli interni e sulla gestione della compliance.
I processi di operation (incassi e pagamenti, credito, finanza, servizi tipici) invece,
non sono interessati da impatti apprezzabili, in termini di modifiche migliorative o
evolutive.
Pagina 24 di 39
Al contrario, i processi di marketing, commerciali e di servizio al cliente (all’interno
dei quali sono la gestione dei canali di contatto, il customer service e lo sviluppo e
gestione dei piani di marketing a essere stata segnalati come oggetto di cambiamento),
si rivelano coinvolti dall’adozione dei sistemi per la gestione della sicurezza e del
rischio informatico..
Sufficientemente marcato è infine l’impatto sui processi di supporto, all’interno dei
quali organizzazione e gestione ICT, gestione delle risorse umane e, come ovvio,
gestione della sicurezza, sono i principali ambiti all’interno dei quali si riflette il
vantaggio nell’adozione dei sistemi in oggetto.
Pagina 25 di 39
4. Informational Risk and Security Governance 4 “C” Analysis
La presente sezione ha l’obiettivo di analizzare le opportunità e i benefici potenzialmente
collegati all’adozione di sistemi per la gestione dei rischio informatico e della sicurezza
attraverso la descrizione delle seguenti variabili:
•
il contesto di adozione e i relativi driver (context);
•
i criteri di adozione (criteria);
•
il rapporto costi-benefici (cost-benefit);
•
le tipologie di offerta in ambito sicurezza da parte dei vendor (coverage).
4.1 - Context
Figura 4 – Allargamento del “perimetro di sicurezza”
Fonte: CeTIF 2006
Il contesto di adozione di soluzioni di Governance della Sicurezza è stato descritto
ampiamente nella prima sezione del presente rapporto. E’ utile in questa sede approfondire
alcuni aspetti relativi alla crescente complessità che il settore bancario sperimenta in
seguito all’evoluzione del contesto e delle caratteristiche della domanda.
Negli ultimi anni si è assistito a una ridefinzione delle politiche bancarie, volte a conferire
al cliente un ruolo di centralità strategica. In particolare, ciò ha significato – in ottica di
realizzo dell’efficacia commerciale e della customer satisfaction - anche dare alla clientela
la possibilità di accesso ai prodotti/servizi bancari tramite una molteplicità di canali. Lo
sviluppo, tra questi, dell’internet banking e, più in generale, di modalità di self-banking, ha
costretto alla rivisitazione del rapporto fiduciario intrattenuto con il cliente, per molti versi
mutato e necessitante di una gestione differente e molto più complessa.
Pagina 26 di 39
L’apertura di un conto corrente, la visita in filiale per un deposito, un prelievo o una
modifica nel portafoglio titoli sottendono un rapporto di fiducia tra cliente e banca
direttamente controllabile da quest’ultima.
L’aumento nel numero dei prodotti e dei servizi offerti, come ad esempio l’internet
banking o il trading online, ha creato però una maggiore complessità dal punto di vista
della gestione del comportamento del cliente, il quale possiede non solo un numero più
elevato di opzioni e modalità differenti per ottenere servizi informativi o dispositivi, ma di
fatto si sostituisce alla figura dello sportellista, operando in autonomia. Quanto affermato
implica che il perimetro dei rapporti banca-cliente si allarghi al presidio di una serie di
attività svolte dal cliente stesso, che esulano la gestione corretta e puntuale dei dati da parte
dell’organizzazione bancaria. Il cliente dunque rimane tale anche dopo aver abbandonato
gli spazi fisici o virtuali della banca.
Sono oggi configurabili in banca un perimetro interno, ove rientrano tutte le attività
governate dalle politiche di sicurezza, e uno esterno, ossia tutte le attività al di fuori del
controllo diretto della stessa e riconducibili a comportamenti autonomi del cliente.
Le tradizionali soluzioni di sicurezza informatica rappresentano lo strumento a difesa del
perimetro interno e stanno assumendo, come anticipato precedentemente, un peso sempre
maggiore dal punto di vista strategico.
Per quanto riguarda invece il perimetro esterno, le soluzioni tecnologiche di sicurezza
informatica sono senza dubbio utili a tutelare i soggetti coinvolti, ma spesso si rivelano
insufficienti di fronte a una serie di minacce che coinvolgono aspetti maggiormente legati
al livello di maturità e consapevolezza dell’utente verso l’utilizzo dei prodotti e dei servizi
bancari. Vi sono infatti una serie di comportamenti del cliente che, pur non essendo
direttamente gestibili dalla banca (per esempio, un uso responsabile della carta di credito o
dello sportello bancomat), vanno a minacciare il rapporto di fiducia che è alla base delle
politiche di customer-satisfaction. Si pensi per esempio alle numerose frodi verificatesi nel
corso del recente passato: la clonazione di carte di credito o tessere bancomat, attacchi di
phishing e pharming hanno coinvolto un consistente numero di utenti che, per cause più o
meno imputabili a un comportamento poco responsabile da parte del cliente, hanno colpito
numerosi istituti di credito senza che essi stessi potessero provvedere ad arginare il
fenomeno. Inoltre, la percezione del cliente che ha subito la frode è che la banca stessa
debba porsi a garanzia del torto subito: in tal senso l’organizzazione subisce danni notevoli
per quanto riguarda il marchio e la reputazione aziendale, senza contare il fatto che il
gruppo di clienti frodati diventa poco incline all’utilizzo dei servizi virtuali che la banca
offre.
Quanto affermato rende evidente la necessità di tutela del rapporto con il cliente tramite
atteggiamenti proattivi, quali attività informative ed educative, con l’obiettivo di limitare i
comportamenti irresponsabili o scorretti dello stesso.
Pagina 27 di 39
4.2 - Criteria
In relazione ai criteri di adozione dei sistemi di governo della sicurezza, nella prima parte
della presente analisi si è inteso mettere in evidenza come la gestione del rischio
informatico sia una tematica di profonde implicazioni organizzative e non di esclusiva
competenza dei sistemi informativi.
La Sicurezza Informatica è dunque una realtà complessa che richiede l’utilizzo di risorse e
competenze specifiche. Gli istituti di credito sono infatti chiamati a un uso responsabile e
consapevole delle risorse ICT che permetta di gestire i rischi IT e sfruttare
contemporaneamente le opportunità che il mercato offre, massimizzando i benefici
garantiti da un approccio di governo alla gestione della Sicurezza.
I principali criteri di adozione attraverso cui valorizzare le soluzioni tecnologiche di
Sicurezza sono pertanto sintetizzabili in quattro punti fondamentali:
Definizione delle Metodologie, di Standard e di Linee Guida
Il governo della Sicurezza sottintende l’esistenza di linee guida e la valutazione di una serie
di priorità nell’affrontare i rischi che si presentano all’organizzazione con sempre maggiore
frequenza. Particolare attenzione è da dedicarsi all’allineamento al business e alle
normative, con riguardo alla sensibilizzazione di queste tematiche a tutti i livelli
dell’organizzazione: si gettano cioè le basi per la Business Survivability, ovvero la
condivisione tra tutte le realtà aziendali degli obiettivi di Sicurezza in una prospettiva di
miglioramento delle performance, in un’ottica sia proattiva, sia reattiva:
•
Prevenzione e Mitigazione dei danni causati da incidenti/crisi: impedire o ridurre
ragionevolmente il verificarsi di comportamenti scorretti, fraudolenti o criminali
(ottica proattiva);
•
Gestione degli incidenti/crisi: ricreare, nel minor tempo e al minor costo possibili,
le condizioni di normale svolgimento delle attività aziendali, allorquando una
minaccia abbia già superato le misure preventive di Sicurezza fisica, logica e
organizzativa (ottica reattiva).
Definizione di ruoli e responsabilità nelle funzioni di Sicurezza Informatica
Come si diceva, le strutture organizzative dei gruppi bancari hanno subito numerose fusioni
e acquisizioni che hanno aumentato la complessità e il livello dimensionale delle banche
coinvolte. L’evolversi degli strumenti tecnologici e dei nuovi criteri applicativi hanno
portato a una maggior pervasività delle componenti IT all’interno dell’organizzazione,
integrate progressivamente all’interno dei Sistemi della struttura funzionale.
In questo contesto, il ruolo e le competenze che le figure preposte alla ICT Security devono
possedere, le responsabilità che devono assumere e le risorse di cui devono avvalersi
nell’esercizio delle proprie funzioni possono svilupparsi su due direttrici: accentramento
per quanto riguarda le funzioni di Security Governance e decentramento per quanto
concerne la Security Management and Administration.
Pagina 28 di 39
In tal senso è auspicabile l’attribuzione della responsabilità della gestione della Sicurezza
ad una serie di figure dedicate, facenti capo ad un Chief Security Officer.
Misurazione delle performance della Sicurezza Informatica
La misura delle performance delle politiche di Sicurezza Informatica è un’attività
importante in un’ottica di governance della Sicurezza. KPI, metodi di benchmarking,
cruscotti di monitoraggio hanno l’obiettivo di misurare costantemente l’allineamento tra
politiche di Sicurezza Informatica e politiche di business e ICT.
Diffusione della Cultura della Sicurezza
Creazione del contesto in cui calare le attività di Sicurezza relativamente al grado di
percezione della problematica e alla sensibilità in merito ad un comportamento
responsabile (cultura operativa), sia nel perimetro interno, sia nel perimetro esterno alla
banca.
Pagina 29 di 39
4.3 - Cost
L’accresciuta rilevanza della Sicurezza Informatica da un punto di vista strategico è
testimoniata anche dai dati raccolti da CIPA. La spesa per la sicurezza informatica è
infatti in continuo aumento, attestandosi mediamente nel 2006 al 3,1% dei costi IT
complessivi, rispettando le previsioni effettuate nel 2005.
La suddivisione per classi dimensionali si caratterizza per livelli ancora più elevati
(valori medi tra il 3,4% e il 4%) dichiarati dalle banche maggiori e dalle banche a
“vocazione telematica”. Il budget formulato per il 2007 prevede un ulteriore
innalzamento del livello medio di spesa (circa il 3,4% dei costi IT).
Figura 5 – Spesa per la sicurezza informatica
Fonte: CIPA 2007
Se da una parte è innegabile che l’adozione di soluzioni di sicurezza si caratterizzi per un
alto impatto in termini economici, è altrettanto condivisa l’impossibilità di giustificare tale
spesa sulla base di indicatori quali, per esempio, il ritorno sugli investimenti. Tale
problematica, riconducibile alla più generale controversia relativa al contributo dell’IT ai
risultati di business, trova difficilmente una soluzione, portando a classificare la spesa in
sicurezza come “necessaria” a evitare perdite e/o costi collaterali che potrebbero rilevarsi
ancora più onerosi.
Sebbene nel recente periodo si siano intrapresi numerosi progetti orientati a valutare
l’impatto strategico delle soluzioni di sicurezza (es: riduzione del capitale di vigilanza,
valorizzazione del brand e mitigazione del rischio di immagine, impatto sulla customer
satisfaction, ecc.), l’analisi effettuata sottolinea come la percezione del valore della
sicurezza dipenda in modo determinante da valutazioni soggettive e dal livello di
sensibilità del top management alle problematiche in oggetto.
Pagina 30 di 39
4.4 - Coverage
La copertura da parte dei vendor in ambito di gestione del rischio informatico e di
governance della sicurezza è molto ampia ed eterogenea. Si concretizza principalmente in
due ambiti di offerta: lo sviluppo, anche dal punto di vista di adeguate metodologie, di un
modello di governance della sicurezza (e dei relativi processi e soluzioni a supporto) e lo
sviluppo di un “ambiente più propriamente tecnologico” di impatto sui sistemi (cioè
relativo alle infrastrutture, architetture e alle applicazioni); tali ambiti presentano in realtà
sinergiche correlazioni. Nel paragrafo che segue vengono analizzati alcuni ambiti di
copertura da parte dei vendor, all’interno dei quali si sono concretizzate le maggiori
innovazioni tecnologiche.
4.4.1 - Strumenti di Monitoraggio e Controllo della Sicurezza Informatica
(a cura di Visiant Security)
Non è possibile prescindere, parlando di monitoraggio e controllo, da un approccio
metodologico che garantisca una armonica ed organica gestione dei rischi della sicurezza
informatica.
La realizzazione di un sistema di gestione della sicurezza delle informazioni, nonché il
rispetto delle normative vigenti, Basilea 2, ISO 27001, Decreto Legge 196/03 per il
trattamento dei dati personali, etc.., presuppongono che l’organizzazione adotti un criterio
metodologico, ed abbia in tal senso chiaramente definito l’ambito di gestione del rischio
stesso, nonché il rischio residuo ritenuto accettabile, che si traduce sui sistemi IT in una
matrice di compliance: un insieme di interventi tecnici, procedurali ed organizzativi,
applicabili fin dalla progettazione delle applicazioni, che corrispondono agli ambiti nei
quali l’organizzazione decide di gestire il rischio, e sui quali misurare il grado di sicurezza
e l’aderenza alle normative. Tale matrice è suddivisa in sottoinsiemi in base al livello di
gravità definito nella metodologia stessa: tale livello deve essere determinato per ogni
applicazione o per ogni sottoambito di infrastruttura, mediante una attività di analisi dei
vincoli fisici, logici, tecnologici, economici ed organizzativi. Per gestire tutte le attività di
monitoraggio e controllo è importante avere quindi uno strumento automatizzato che
permetta di registrare una descrizione logica dell’applicazione in termini di architettura,
funzionalità, flussi informativi e principali informazioni gestite nonché una descrizione
fisica completa. Lo strumento permetterà di selezionare, dalla matrice di compliance, gli
interventi più idonee in base al livello di gravità definito della metodologia.
Successivamente, sarà necessaria l’individuazione del modo e dei tempi di applicazione
degli interventi (Piano di Attuazione).
A questo punto diventa di fondamentale importanza l’attività di monitoraggio e controllo,
in base al livello di criticità della applicazione o del sistema, con l’ausilio di una serie di
attività che possono essere così riassunte brevemente:
Pagina 31 di 39
•
Security Audit:
Sulla base del Piano di Sicurezza e del Piano di Rientro, si
eseguono controlli mirati alla verifica dell’esistenza e
conformità delle contromisure, delle basi dati dichiarate, dei
trattamenti dei dati stessi.
•
Penetration Test:
Isolando una catena di applicazioni, si eseguono degli
attacchi inferenziali (Penetration Test) volti a misurare
l’efficacia e l’efficienza delle configurazioni/contromisure di
sicurezza
•
Verifica Norme:
in caso di cambiamenti od aggiornamenti degli standard di
sicurezza
Oltre a tali controlli sono previsti normali elementi di monitoraggio eseguiti dal team del
Security Operation Center.
Il risultato dei test effettuati e degli eventuali incidenti di sicurezza riscontrati alimenta lo
strumento sopra descritto di supporto alla definizione degli interventi, e determina le
eventuali modifiche da apportare alle applicazioni, ai sistemi o alla intera infrastruttura.
I vantaggi di uno strumento di questo genere sono:
•
una fotografia istantanea di tutta la propria infrastruttura in termini di normative,
standard tecnologici, procedurali ed organizzativi, ma anche di ogni singola
applicazione ed ogni singolo sistema;
•
la possibilità di evidenziare carenze strutturate all’interno della propria
infrastruttura e le eventuali indicazioni di security per migliorarla e per ottimizzare
il proprio sistema di gestione della sicurezza delle informazioni;
•
a fronte di determinati cambiamenti di normative, di tecnologie, di processo si ha
una immediata evidenza dell’impatto degli stessi all’interno della propria azienda;
•
l’automazione di un processo di questo tipo permette di minimizzare i tempi di
realizzazione di un piano di sicurezza inserendo solo le informazioni di natura
tecnologica che i responsabili dei sistemi aziendali conoscono, prescindendo
quindi da una specifica competenza in ambito di sicurezza.
L’approccio descritto permette quindi di spostare l’attenzione dalla metodologia, una volta
concepita ed elaborata, alle fasi operative, e quindi di monitoraggio e controllo, con il
vantaggio di concentrare gli sforzi organizzativi, procedurali ed economici a livello
aziendale in tutte quelle azioni, precedentemente descritte, di maggiore impatto
sull’infrastruttura IT e di miglioramento continuo.
Pagina 32 di 39
4.4.2 - Il Tableau De Bord per il controllo delle performance della Sicurezza
(a cura di Value Team - VP Tech)
Le problematiche relative alla sicurezza delle persone, degli asset materiali e immateriali,
dei valori, dei servizi ai clienti e della continuità dei processi aziendali hanno assunto nel
settore bancario una rilevanza strategica, sia in termini di contribuzione come costi e ricavi
ai risultati d’azienda sia in relazione alla strategia di gestione del rischio operativo. Nella
maggior parte degli Istituti Bancari di media-grande dimensione tale rilevanza ha condotto,
dal punto di vista organizzativo, alla creazione di una Direzione aziendale dedicata alle
tematiche di sicurezza, dotata di budget, visibilità, risorse e competenze distintivi e
autonomi, contribuendo alla formazione di una nuova generazione di manager della
sicurezza, operanti con modalità tipicamente manageriali di gestione degli investimenti con
un’ottica di valutazione dei costi, dei rischi e dei benefici, in una logica di servizio e
supporto verso le altre funzioni della banca deputate alla creazione di valore (linee di
business, risk management) e alla fornitura di servizi (sistemi informativi, immobili, backoffice).
In tale contesto di rinnovata gestione manageriale della sicurezza si colloca il Tableau de
Bord della sicurezza, un cruscotto direzionale che consente una valutazione dei risultati
rispetto agli obiettivi mediante la rilevazione di Key Performance Indicator comprensibili,
significativi, comunicabili che consentano di soddisfare tre esigenze di informazione per il
management:
•
controllo dei livelli di servizio forniti (ed eventualmente contrattualizzati) verso il
resto della banca in relazione ad un set predefinito di servizi di sicurezza erogati;
•
controllo delle fattori critici di successo e dei risultati ottenuti all’interno della
sicurezza in relazione a standard definiti di performance;
•
controllo della contabilità analitica della sicurezza in termini di risorse utilizzate,
attività svolte, costi sostenuti, etc.
Il Tableau de Bord consente di soddisfare in tal modo l’esigenza di comunicazione verso il
management delle differenti direzioni della banca interessate alla sicurezza e, al contempo,
di soddisfare l’esigenze di conoscenza del management specifico della sicurezza la fine di
migliorare nel tempo il rapporto costi-benefici-rischi legati agli investimenti di sicurezza.
L’ideazione, la progettazione, la realizzazione e la manutenzione di un Tableau de Bord
della sicurezza seguono una impostazione metodologica che, partendo dalla
consapevolezza e dall’identificazione delle basi dati informatiche (strutturate e
documentali) disponibili all’interno della sicurezza, conduce alla progettazione di un
datawarehouse centrale sul quale convergere tutte le informazioni di interesse e sul quale
costruire, mediante tecniche di data mart e business intelligence, un sistema di calcolo,
navigazione e presentazione degli indicatori di prestazione che si vogliono misurare e
monitorare nel tempo.
Pagina 33 di 39
La figura riporta, a titolo di esempio, lo screenshot di un Tableau de Bord della Sicurezza.
Figura 6 – Tableau de Bord
Fonte: VP Tech 2007
In sintesi, la sicurezza è un fattore di attenzione (e preoccupazione) a tutti i livelli
direzionali della banca e che, quindi, richiede un preciso sistema di misurazione.
Impostare una governance della sicurezza significa prima di tutto definire un processo
che, per essere efficace, deve produrre informazioni significative e utilizzabili dal
management al fine di sviluppare una visione unitaria ed integrata sullo stato della
Sicurezza in azienda. Il Tableau de Bord può essere uno strumento che contribuisce al
conseguimento di risultati significativi se è progettato in funzione delle reali esigenze
aziendali.
4.4.3 – Sicurezza dei Sistemi (a cura di Net Solving)
Lo studio della sicurezza in tutti i suoi molteplici aspetti, oltre a basarsi su tecnologie
evolute e sul rispetto dei requisiti dettati dalle normative internazionali, pone al centro
l’implementazione di un processo strutturato secondo una logica di competenze e
responsabilità.
E’ proprio la sinergia di questi fattori, tecnologia, compliance e organizzazione che può
offrire i risultati attesi per l’implementazione di un servizio posto in sicurezza.
Conosciamo ed utilizziamo già oggi molte tecnologie a supporto della sicurezza Firewall,
Proxy, Password, Single Sign On, …. Queste da sole, pur garantendo ognuna il corretto e
conforme svolgimento delle proprie funzioni, non bastano ad adempiere a quelli che sono
considerati i requisiti essenziali di sicurezza per la gestione di Reti e Sistemi.
Pagina 34 di 39
Il processo da mettere in atto è più esteso e non deve coinvolgere soltanto le strutture IT,
chiamate in causa nelle scelte tecnologiche, ma estranee alle linee guida organizzative delle
quali saranno oggetto eventualmente come utenti.
Un modello largamente utilizzato in ambito interbancario vede la separazione netta dei tre
attori in campo:
•
Applicazioni
•
Apparati di sicurezza
•
Team di Sicurezza
Figura 6 – Architettura di Sicurezza
Fonte: Net Solving 2007
La tecnologia, ponendosi al centro delle due aree di competenza consente una separazione
di competenze funzionali:
• il team di sicurezza dispone degli strumenti necessari per garantire l’integrità e la
confidenzialità dei dati, anche attraverso l’utilizzo di tecniche di Splitting
Knowledge e Dual Control che per loro definizione si basano su un processo
organizzativo
• l’applicazione utilizza delle interfacce “sicure” per ottenere la disponibilità dei
dati.
In un contesto come quello indicato questi fattori garantiscono il corretto utilizzo degli
strumenti di pagamento (ad esempio Carte di Debito e di Credito su terminali ATM e POS
Pagina 35 di 39
fisici o virtuali) indipendentemente dal canale utilizzato per eseguire la transazione (reti e
sistemi differenti).
Stesso approccio, descritto nell’esempio precedente, potrebbe essere adottato nella
definizione di una politica di accesso tramite verifica delle impronte biometriche.
Ciò a dimostrare che non sono le singole componenti a garantire la sicurezza ma un
complesso di regole e tecnologie guidate da una politica di organizzazione e controllo.
4.4.4 - Soluzioni tecnologiche innovative per la sicurezza dell’accesso alle risorse IT
(a cura di Alcatel-Lucent)
Per rispondere alle esigenze di sicurezza che interessano con sempre maggiore intensità le
istituzioni finanziarie è opportuno adottare un approccio esteso e completo, che investa la
strategia globale, le attività rivolte all’interno della propria organizzazione, lo sviluppo di
soluzioni per gli utenti.
Ai fini della strategia sono fondamentali le collaborazioni con organizzazioni pubbliche e
imprenditoriali e la partecipazione alle attività degli organi internazionali di
standardizzazione e delle community per la sicurezza.
Figura 7 – Approccio alla sicurezza
Fonte: Alcatel-Lucent 2007
L’approccio globale verso la sicurezza deve pertanto essere alla base della progettazione e
sviluppo di tutte le soluzioni tecnologiche, al fine di assicurare piena conformità a tutti i
requisiti di sicurezza. A tale scopo sono di fondamentale importanza:
• la visione globale delle reti - convergenza fisso/mobile/satellite, sviluppo soluzioni
end-to-end, reti fornite con sistemi di supervisione e gestione;
• la sicurezza come parte integrante di tutte le soluzioni - intrinseca a livello di
apparati, reti e sistemi;
• il concetto di “ecosistema della sicurezza” - la visione di un ambiente multivendor,
basato su soluzioni standard e interoperabilità, in cui la sicurezza si trasforma in un
Pagina 36 di 39
processo proattivo, di continuo miglioramento, integrato nelle normali attività operative
ed economicamente sotto controllo;
• la gamma completa di soluzioni dedicate alla sicurezza — sistemi, servizi
professionali, centri operativi — per un ecosistema concreto e reale.
Nell’ambito di questo ultimo framework, si sono evidenziate importanti innovazioni nelle
tecnologie per la sicurezza dell’accesso fisico alle risorse IT, sempre più vicine ed integrate
con la sicurezza logica, come per esempio le soluzioni per il presidio di furti,
danneggiamenti e accessi non autorizzati ai laptop aziendali e ai dati in essi contenuti.
Al crescente numero di addetti che operano in mobilità corrisponde infatti un impiego
sempre più consistente di laptop da parte delle aziende, con gli inevitabili rischi che ciò
comporta. Ogni anno si verificano numerosi furti e smarrimenti di laptop aziendali, molti
dei quali contenenti informazioni riservate. Secondo una recente ricerca condotta dal
Ponemon Institute — un istituto di ricerca indipendente — l’81% delle aziende intervistate
hanno ammesso la perdita o il furto di almeno un laptop contenente dati sensibili nei 12
mesi precedenti.
Per rispondere a questa crescente preoccupazione delle imprese, sono stati sviluppati
sistemi di sicurezza innovativi che permettono alle aziende di gestire i laptop in dotazione
ai propri addetti in qualunque momento, luogo e persino quando il computer è spento. Tra i
più efficaci una piattaforma wireless 3G sicura e always-on che — mediante una semplice
scheda PCMCIA da inserire nei laptop — consente agli enti IT delle aziende di monitorare,
gestire e localizzare un PC portatile da remoto, ed eventualmente intervenire per la messa
in sicurezza di dati confidenziali nel malaugurato caso venga perso o rubato. Grazie a
download gestiti a distanza di patch e aggiornamenti software, interventi in tempo reale in
risposta a minacce per la sicurezza e maggiore semplicità per gli utenti finali, questa
soluzione migliora la produttività, la conformità alle norme di sicurezza IT e la continuità
di business delle aziende, i cui dipendenti sono sempre più spesso fuori sede. In tal modo,
tutti i PC portatili di un’azienda diventano parte di un'unica affidabile rete di sicurezza, a
prescindere da dove si trovano fisicamente.
Pagina 37 di 39
CeTIF
Università Cattolica del Sacro Cuore
Largo Gemelli, 1 - 20123 Milano
Tel. + 39 02 72342590
Fax. + 39 02 43980770
E-mail: [email protected]
www.cetif.it
Pagina 38 di 39
Pagina 39 di 39

Definizione informazioni di sicurezza attiva

Transcript

Documenti analoghi

Enzo Rocca Biografia È Vice Direttore Generale del Credito

Data Governance

Innovare le strategie di Customer Relationship Management in

Azione figura raccoglibile

master data management

Zucchetti S.p.A. - Informagiovani

Gian Pietro Camisa

ABI_Basilea 2016_CV Diego Travaini

Come cresce il Collateral Management

abbey national bank