Definizione informazioni di sicurezza attiva
Transcript
Definizione informazioni di sicurezza attiva
Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK Documento riservato - © CeTIF 2007 Pagina 1 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK AUTORI: Pubblicato nel novembre 2007 Copyright © CeTIF. Diritti Riservati. Ogni utilizzo o riproduzione anche parziale del presente documento non è consentita senza previa autorizzazione degli autori. Si ringraziano Alcatel-Lucent, Net Solving, Visiant Security e Value Team - VP Tech per la collaborazione prestata nella fase di impostazione dei contenuti e per aver messo a disposizione le proprie competenze in materia di gestione del rischio informatico DISCLAIMER: CeTIF assicura che il presente documento è stato realizzato con la massima cura e con tutta la professionalità acquisita nel corso della sua lunga attività. Tuttavia, stante la pluralità delle fonti d’informazione e nonostante il meticoloso impegno da parte di CeTIF affinché le informazioni contenute siano esatte al momento della pubblicazione, né CeTIF né i suoi collaboratori possono promettere o garantire (anche nei confronti di terzi) esplicitamente o implicitamente l'esattezza, l'affidabilità o la completezza di tali informazioni. CeTIF, pertanto, declina qualsiasi responsabilità per eventuali danni, di qualsiasi tipo, che possano derivare dall'uso delle informazioni contenute nel presente rapporto. Si evidenzia, inoltre, che il presente rapporto potrebbe contenere proiezioni future o altre dichiarazioni in chiave prospettica, circostanza che comporta rischi e incertezze. Si avvisano pertanto i lettori che tali affermazioni sono solamente previsioni e potrebbero quindi discostarsi in modo considerevole dagli effettivi riscontri ed eventi futuri. CeTIF declina fin d’ora qualsiasi responsabilità e garanzia in relazione a tali proiezioni. Documento riservato - © CeTIF 2007 Pagina 2 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK INDICE Executive Summary ...................................................................................................4 Introduzione ...............................................................................................................6 1. Rischi informatici e Sicurezza ...............................................................................7 1.1 - Natura e rilevanza del rischio informatico ....................................................... 7 1.2 - Evoluzione delle pratiche di governo del rischio informatico ......................... 8 1.3 - Modelli avanzati per la gestione del rischio informatico ................................. 9 1.4 - Dettaglio dei risultati del tavolo di ricerca (indagine Delphi)........................ 12 2. Soluzioni tecnologiche per il Governo della Sicurezza .......................................14 2.1 - Soluzioni tecnologiche a supporto dei processi di governo della Sicurezza.. 14 2.2 - Soluzioni tecnologiche di sicurezza logica .................................................... 17 2.3 - Soluzioni tecnologiche di sicurezza fisica ..................................................... 18 3. “Informational Risk and Security Governance” Technology Outlook Model.....19 3.1 - Metodologia di analisi.................................................................................... 19 3.2 – “Informational Risk and Security Governance” Technology Outlook Map . 20 3.3 - “Informational Risk and Security Governance” Innovation Cycle ................ 22 3.4 - “Informational Risk and Security Governance” Process Impact Analysis .... 24 4. Informational Risk and Security Governance 4 “C” Analysis.............................26 4.1 - Context........................................................................................................... 26 4.2 - Criteria ........................................................................................................... 28 4.3 - Cost ................................................................................................................ 30 4.4 - Coverage ........................................................................................................ 31 Documento riservato - © CeTIF 2007 Pagina 3 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK Executive Summary Risulta oggi fondamentale affrontare il tema del rischio informatico in un’ottica unitaria, tenendo cioè conto sia dei rischi di natura diretta sia di quelli di natura indiretta e inquadrandolo nell’ambito più generale del rischio d’impresa. Una gestione unitaria del rischio informatico, che tenga conto tanto dei rischi che hanno origine nella tecnologia (ad esempio, violazione e furto di informazioni, perdita e indisponibilità di dati, frodi informatiche ecc.) quanto quelli che, avendo origine nei processi operativi, si trasmettono ai sistemi informatici in virtù della loro automazione (ad esempio, il rischio di non conformità delle applicazioni alla normativa o alle procedure in vigore), nonché delle conseguenze di natura reputazionale che da questi rischi possono derivare, oltre a essere di importanza fondamentale nel quadro della vigilanza prudenziale alla quale sono soggetti gli intermediari finanziari, consente di migliorare l’efficacia del processo di governo del rischio e di abbatterne, al contempo, i costi complessivi grazie ad un utilizzo più efficiente di tutte le risorse coinvolte. Sulla base di tale approccio, le istituzioni finanziarie adottano tecnologie abilitanti al perseguimento degli obiettivi di presidio del rischio informatico e di governo della sicurezza. Tali tecnologie sono state raggruppate in classi omogenee per finalità e funzionalità e quindi ulteriormente suddivise sulla base dei processi supportati e degli ambiti di utilizzo in banca: Soluzioni tecnologiche a supporto dei processi di governo della Sicurezza, Soluzioni tecnologiche di Sicurezza Logica, Soluzioni tecnologiche di Sicurezza Fisica. In seguito all’applicazione della metodologia Technology Outlook Model sono emerse le seguenti evidenze: • l’analisi svolta evidenzia un apprezzabile impatto diretto sull’infrastruttura tecnologica, dovuto principalmente alle conseguenze facilmente ipotizzabili nel contesto dei sistemi per la sicurezza. Per quel che riguarda, invece, i sistemi di elaborazione, i sistemi di comunicazione e i sistemi di gestione dati, si ritiene che la tecnologia in esame abbia ripercussioni di modesta entità. Gli effetti sull’infrastruttura (sistemi di sviluppo, gestione e applicativi) e sull’architettura applicativa sono più evidenti, soprattutto a causa delle potenziali modifiche indotte nel processo di sviluppo e gestione delle applicazioni. Per quanto concerne le caratteristiche di erogazione dei servizi applicativi, gli effetti delle tecnologie di riferimento sono rilevanti sulla disponibilità dei servizi stessi. Infine, relativamente ai contenuti, si evidenziano effetti positivi, soprattutto in termini di erogazione da parte dell’IT, e di gestione, mentre non sono individuabili impatti evidenti in termini di creazione ne’ di fruizione da parte dell’utenza; • fra i fattori esterni che potranno influire sui processi di adozione e diffusione delle tecnologie per la gestione del rischio informatico e della sicurezza, si segnala, quale forte abilitatore, la normativa interna ed esterna che, sollecitando continui Documento riservato - © CeTIF 2007 Pagina 4 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK cambiamenti, è unanimemente considerata un driver per lo sviluppo dei progetti legati alle tecnologie in oggetto; inoltre, si riscontrano effetti abilitatori dovuti a fattori socio-culturali relativi alla necessità di preservare l’immagine della banca. Lo sviluppo delle nuove tecnologie, infine, rende prevedibili effetti abilitatori di media intensità sia per quanto concerne le misure di sicurezza passiva e attiva, sia per quel che riguarda i sistemi di governance del rischio; • i sistemi di supporto alla governance della sicurezza possono essere collocati in una fase finale di sviluppo. Relativamente al tasso di penetrazione, si deve rilevare un medio livello di diffusione. Per quanto riguarda le tecnologie di sicurezza logica, il posizionamento nello stadio intermedio della fase di consolidamento sta ad indicare una pressoché completa copertura delle realizzazioni produttive. Il livello di diffusione delle tecnologie per la gestione della sicurezza logica risulta altresì di entità elevata. Relativamente alle tecnologie innovative per la sicurezza fisica, il posizionamento nello stadio iniziale della fase di consolidamento denota un’ampia copertura delle realizzazioni produttive. Il livello di diffusione di quest’ultime risulta altresì di entità medio-alta, registrando anche in questo caso un crescente interesse, dovuto in particolare a sollecitazioni ambientali; • l’analisi ha rilevato alcune evoluzioni di rilievo nell’ambito dei processi direzionali, in particolare nella gestione del rischio, che trae significativi benefici grazie al miglioramento delle possibilità di monitoraggio e controllo, che favoriscono l’evoluzione delle pratiche di governo del rischio informatico verso un approccio integrato di gestione dei rischi d’impresa (enterprise risk management). I processi di operation (incassi e pagamenti, credito, finanza, servizi tipici) invece, non sono interessati da impatti apprezzabili, in termini di modifiche migliorative o evolutive. Al contrario, i processi di marketing, commerciali e di servizio al cliente (all’interno dei quali sono la gestione dei canali di contatto, il customer service e lo sviluppo e gestione dei piani di marketing a essere stata segnalati come oggetto di cambiamento), si rivelano coinvolti dall’adozione dei sistemi per la gestione della sicurezza e del rischio informatico. Sufficientemente marcato è infine l’impatto sui processi di supporto, all’interno dei quali organizzazione e gestione ICT, gestione delle risorse umane e, come ovvio, gestione della sicurezza, sono i principali ambiti all’interno dei quali si riflette il vantaggio nell’adozione dei sistemi in oggetto. Documento riservato - © CeTIF 2007 Pagina 5 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK Introduzione Le tecnologie dell’informazione e della comunicazione (ICT) contribuiscono allo sviluppo delle imprese favorendone l’innovazione. Innovare significa creare nuovi prodotti o servizi e nuovi processi, con l’obiettivo di ottenere una differenziazione competitiva, ma anche intervenire sui processi esistenti per migliorarne l’efficienza e comporta, oltre all’introduzione di nuove tecnologie, anche una trasformazione dell’impresa in chiave organizzativa, di impatto tanto sui processi che sulle persone, per ciò che concerne ruoli, responsabilità e competenze. Il processo di innovazione tecnologica è influenzato da fattori interni ed esterni all’azienda, che ne condizionano i risultati in termini sia di rapporto tra benefici potenziali e benefici reali sia di tempo necessario alla loro realizzazione e richiede pertanto l’adozione, da parte dell’impresa, di specifiche pratiche di governo del processo e di attente politiche di gestione del conseguente cambiamento organizzativo. E’ in questo contesto che si colloca il CeTIF Innovation Center, un laboratorio di ricerca permanente promosso dal Centro di Ricerca su Tecnologie, Innovazione e servizi Finanziari dell’Università Cattolica del Sacro Cuore per dare spazio alle tecnologie innovative e alle loro applicazioni nel settore finanziario, analizzandole da una duplice prospettiva: accademica, in cui è indagato il ruolo dell’evoluzione tecnologica nel settore bancario attraverso contributi di docenti e ricercatori universitari e operativa, mediante interventi di esperti provenienti dal settore bancario e da quello delle aziende tecnologiche. I risultati dell’attività di ricerca condotta da CeTIF nell’ambito del laboratorio vengono sintetizzati nel Technology Outlook, un documento di analisi indipendente che consente di posizionare la tecnologia innovativa in esame nell’ambito di un framework di riferimento normalizzato, orientato ad evidenziarne le caratteristiche intrinseche, a mettere in luce i fattori esterni alla banca, che ne possano accelerare o frenare l’adozione, a determinarne il posizionamento nell’ambito del cosiddetto ciclo di innovazione tecnologica, a stimarne l’impatto potenziale in base a criteri di efficienza, efficacia e rischiosità, valutando l’ampiezza e l’intensità di tale impatto sui processi bancari, a identificare, infine, scenari e criteri di adozione in relazione al contesto bancario e alle caratteristiche dell’offerta. Nell’ambito del Technology Outlook con il termine di tecnologia innovativa si intende tanto uno specifico componente (o categoria di componenti) dell’infrastruttura tecnologica o applicativa ICT quanto una modalità di concepire l’architettura del sistema informativo nel suo complesso (o parte di esso), che rappresenti un fattore abilitante per il processo di innovazione della banca. In altri termini, una tecnologia è definita innovativa non tanto sulla base di un criterio “anagrafico” bensì in relazione alla sua capacità di “abilitare” l’innovazione nel settore bancario e solo in quanto tale è oggetto di indagine da parte del CeTIF Innovation Center. Documento riservato - © CeTIF 2007 Pagina 6 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK 1. Rischi informatici e Sicurezza 1.1 - Natura e rilevanza del rischio informatico Come è stato recentemente osservato dalla Banca d’Italia1, la mutazione in corso nella composizione dei rischi bancari ha visto proporzionalmente ridursi quelli derivanti dalla detenzione di un portafoglio di crediti e aumentare quelli operativi, legali e di reputazione legati alla partecipazione delle banche ai diversi segmenti dell’attività di intermediazione (istruttoria ed erogazione di crediti, strutturazione di strumenti finanziari complessi, organizzazione di veicoli di investimento collettivo, servizi di negoziazione, collocamento e consulenza). Tradizionalmente incluso nel novero dei rischi operativi, il rischio informatico può essere definito, in termini molto generali, come “il rischio di danni economici e di reputazione derivanti dall’uso della tecnologia2, intendendosi con ciò tanto i rischi impliciti nella tecnologia (rischi diretti) quanto i rischi che derivano dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (rischi indiretti)” I rischi informatici diretti concorrono a determinare i requisiti patrimoniali stabiliti dalle regole di Basilea II. Il corretto bilanciamento dei rischi inclusi nel capitolo dei requisiti è elemento fondamentale del nuovo schema regolamentare “sensibile al rischio”. Tuttavia, tali requisiti sono solo una parte degli strumenti prudenziali per il contenimento dei rischi informatici. Dal momento, infatti, che esistono dei rischi indiretti, riconducibili a fattispecie di rischio di natura regolamentare (non conformità alla normativa vigente) e reputazionale (derivanti a loro volta da eventi di non conformità o da rischi di natura diretta) altrettanto importanti risultano i requisiti organizzativi imposti alle banche dalle Autorità di vigilanza quali, ad esempio, quelli relativi alla compliance o conformità alle norme. Mentre i requisiti patrimoniali agiscono rendendo tanto più onerosa l’intermediazione quanto maggiori sono i rischi che essa determina, i requisiti organizzativi agiscono introducendo comportamenti degli intermediari considerati idonei a minimizzare le cause di rischio. Già le regole di Basilea II prevedono, accanto ai requisiti patrimoniali minimi proporzionali ai rischi (il cosiddetto primo pilastro), un secondo pilastro costituito dall’obbligo, per l’intermediario, di valutare l’esistenza di altri rischi non presi in considerazione nei requisiti minimi, l’adeguatezza dell’apparato dei controlli nel fronteggiare tutte le tipologie di 1 Giovanni Carosio, Vice Direttore Generale della Banca d’Italia, La Funzione di Compliance tra Basilea II e MiFID, intervento al III Incontro Compliance AICOM – Dexia Crediop, Roma, 21 settembre 2007. 2 Information & Communication Technology. Documento riservato - © CeTIF 2007 Pagina 7 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK rischio, l’eventuale necessità di mantenere un capitale superiore ai minimi per coprire il “rischio residuale”. Sotto questo profilo, risulta oggi fondamentale affrontare il tema del rischio informatico in un’ottica unitaria, tenendo cioè conto sia dei rischi di natura diretta sia di quelli di natura indiretta e inquadrandolo nell’ambito più generale del rischio d’impresa. 1.2 - Evoluzione delle pratiche di governo del rischio informatico La gestione dei rischi connessi con l’utilizzo della tecnologia (ICT) passa attraverso diversi stadi evolutivi (figura 1) che, nel loro insieme, definiscono un maturity model. Figura 1 – Information risk governance maturity model Fonte: CeTIF X Nel passaggio dal primo (System Security Governance) al secondo stadio (Information Security Governance), oltre alle problematiche di protezione delle risorse usate per acquisire, memorizzare, elaborare e comunicare le informazioni assumono rilevanza quelle relative all’integrità, disponibilità e confidenzialità (riservatezza) dell’informazione. Pur avendo ancora un forte connotato operativo, tale stadio si caratterizza per un maggior livello di integrazione dell’unità organizzativa preposta alla gestione della sicurezza informatica con altre componenti dell’organizzazione quali, ad esempio, la sicurezza fisica e le unità di business. Y Il passaggio dal secondo al terzo stadio (Information Risk Governance) è invece caratterizzato dalla necessità di sviluppare una visione unitaria del rischio informatico, prendendo in considerazione sia i rischi di natura diretta sia quelli di natura indiretta, attraverso un processo di convergenza (le cui caratteristiche verranno meglio specificate nel seguito del documento) tra le unità organizzative che, a diverso titolo e con diversi Documento riservato - © CeTIF 2007 Pagina 8 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK gradi di responsabilità, presidiano queste specifiche tipologie di rischio. Inoltre, il cambiamento di focus della gestione da “sicurezza” a “rischio”, oltre a conferire all’attività una maggiore valenza strategica, implica lo sviluppo di capacità di misurazione (risk assessment) e gestione (risk management) del rischio coerenti con le metodologie e gli approcci utilizzati nell’ambito dell’impresa o, in alternativa, un maggior grado di interazione con le altre unità organizzative preposte alla gestione dei rischi. Z Il passaggio, infine, all’ultimo stadio (enterprise risk governance), caratterizzato da una visione integrata dei rischi d’impresa e, come tale, di portata strategica elevata, oltre alla convergenza tra le diverse unità preposte alla gestione del rischio informatico (propria del livello precedente), richiede lo sviluppo di forti interrelazioni, in un’ottica di integrazione organizzativa, tra tutte le entità che si occupano di temi legati al presidio del rischio (gli organi di governo, le funzioni appartenenti al sistema dei controlli interni, l’organizzazione ecc.) e l’adozione di un modello (framework) unificato di enterprise risk management. 1.3 - Modelli avanzati per la gestione del rischio informatico (sintesi dei risultati del tavolo di ricerca) Una gestione unitaria del rischio informatico, che tenga conto tanto dei rischi che hanno origine nella tecnologia (ad esempio, violazione e furto di informazioni, perdita e indisponibilità di dati, frodi informatiche ecc.) quanto quelli che, avendo origine nei processi operativi, si trasmettono ai sistemi informatici in virtù della loro automazione (ad esempio, il rischio di non conformità delle applicazioni alla normativa o alle procedure in vigore), nonché delle conseguenze di natura reputazionale che da questi rischi possono derivare, oltre a essere di importanza fondamentale nel quadro della vigilanza prudenziale alla quale sono soggetti gli intermediari finanziari, consente di migliorare l’efficacia del processo di governo del rischio e di abbatterne, al contempo, i costi complessivi grazie ad un utilizzo più efficiente di tutte le risorse coinvolte. Il progetto di ricerca su Rischi Informatici e Sicurezza, condotto da CeTIF in collaborazione con istituzioni finanziarie, aziende tecnologiche e di servizi, ha affrontato questi temi sviluppandoli lungo le direttrici: – Strategica: definizione di principi e linee guida per il governo del rischio informatico; – Organizzativa: definizione della struttura organizzativa (gerarchica e funzionale), attribuzione di ruoli e responsabilità, classificazione e mappatura dei processi operativi aziendali e delle risorse, definizione dei processi per il governo del rischio e la gestione della sicurezza informatica; – Infrastrutturale: identificazione e adozione di tecnologie abilitanti e soluzioni per il governo del rischio e la gestione della sicurezza informatica. Documento riservato - © CeTIF 2007 Pagina 9 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK Tali direttrici, o dimensioni funzionali, sono state quindi incrociate (figura 2) con le fasi di un processo ideale di risk management rappresentate da: – Prevenzione: le attività poste in essere ex ante, con l’obiettivo di prevenire il rischio informatico; – Individuazione: le attività orientate alla tempestiva individuazione degli eventi rischiosi, nel momento in cui questi si manifestano; – Contrasto: le attività orientate a contrastare gli eventi rischiosi, nel momento in cui questi si manifestano; – Mitigazione: le attività poste in essere ex post per il contenimento o la riduzione dei danni provocati dagli eventi rischiosi, una volta che questi si sono manifestati. Figura 2 – Risk management life cycle e dimensioni funzionali Fonte: CeTIF Si tratta di un’operazione fondamentale, che ha l’obiettivo di identificare e descrivere, in chiave organizzativa e tecnologica, i punti di intersezione tra le dimensioni funzionali e le diverse fasi del processo (rappresentati in figura). Tuttavia, tale operazione rappresenta una condizione necessaria ma non ancora sufficiente. Lo sviluppo di una visione unitaria del rischio informatico richiede, come è stato già evidenziato, un elevato grado di convergenza tra le diverse funzioni / unità organizzative che, a diverso titolo e con diversi gradi di responsabilità, presidiano i rischi diretti (cioè quelli impliciti nella tecnologia), tipicamente appartenenti all’area della sicurezza informatica (o sicurezza logica) e i rischi indiretti (cioè quelli che hanno origine nell’operatività aziendale), tipicamente appartenenti ad altre aree aziendali (unità di Documento riservato - © CeTIF 2007 Pagina 10 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK business, operational risk management, internal audit, compliance, organizzazione, sicurezza fisica, ecc.). Per convergenza non si intende necessariamente la costituzione di una nuova o diversa funzione / unità organizzativa di tipo monolitico, che racchiuda in sé tutte o gran parte delle competenze e capacità necessarie a gestire le due tipologie di rischio in questione. Ci si riferisce3 piuttosto ad un approccio orientato alla “identificazione dei rischi informatici (diretti e indiretti) e delle interdipendenze tra questi, le unità di business, i processi operativi aziendali e conseguente sviluppo di processi gestionali e soluzioni che consentano di affrontare tali rischi e le relative interdipendenze” Il successo di un’organizzazione nell’implementazione delle proprie strategie si basa, tipicamente, sull’utilizzo di una serie di leve di tipo operativo, generalmente riconducibili a tre diverse categorie: Strategia – risk management: valutazione dei rischi ai quali risulta esposta l’impresa e del loro impatto sul business, conseguente determinazione delle strategie da porre in essere per garantirne l’operatività con livelli di rischio accettabili; – governance: definizione della struttura di relazioni e processi atta a stabilire i necessari livelli di autorità e responsabilità. Processi – definizione del budget: processo di pianificazione finanziaria preventiva (entrate e uscite); – definizione di standard & linee guida: documentazione delle modalità (regole) per l’implementazione dei processi operativi aziendali; – integrazione: fusione o interrelazione di funzioni e processi appartenenti a componenti diverse dell’impresa; – sviluppo di business case: analisi strutturata della situazione corrente dell’impresa in relazione ad una determinata problematica e descrizione delle azioni da porre in essere per affrontarla con successo. Risorse umane – ruoli e responsabilità: documentazione formale delle responsabilità assegnate ad ogni ruolo nell’ambito dell’organizzazione; – leadership: autorità di dirigere o indirizzare le attività dell’impresa; 3 Elaborazione CeTIF da ASIS International, 2005 Documento riservato - © CeTIF 2007 Pagina 11 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK – conoscenza del business: comprensione di strategia, obiettivi e assetto organizzativo dell’impresa in relazione al contesto (mercato). Nelle evidenze del progetto di ricerca condotto da CeTIF, il processo di convergenza tra funzioni / unità organizzative coinvolte nella gestione del rischio informatico richiede, come elemento imprescindibile, anche un cambiamento di focus nell’utilizzo delle citate leve operative (figura 3). Figura 3 – Cambiamento di focus nell’utilizzo di leve operative Fonte: elaborazione CeTIF da ASIS / ISSA / ISACA, 2005 1.4 - Dettaglio dei risultati del tavolo di ricerca (indagine Delphi) Con riferimento ai temi della visione unificata del rischio informatico e delle interrelazioni tra le diverse strutture implicate (convergenza), il tavolo di lavoro ha espresso un elevato grado di condivisione per una serie di affermazioni (research statement) che si riportano in forma dettagliata per le dimensioni strategica e organizzativa (la dimensione infrastrutturale verrà analizzata nel seguito del rapporto di ricerca). Principi di governo del rischio informatico (dimensione strategia): – a causa della pervasività dell’IT nei processi operativi bancari, la gestione del rischio informatico dovrebbe rientrare, a tendere, in una visione integrata di gestione del rischio d’impresa; – la definizione delle politiche per la gestione del rischio informatico si deve riferire agli obiettivi strategici dell’impresa. Sebbene spesso esprimano priorità Documento riservato - © CeTIF 2007 Pagina 12 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK diverse, anche le aree di business, più frequentemente rispetto al passato, dimostrano una maggiore consapevolezza verso queste problematiche. Organizzazione per la gestione del rischio informatico (dimensione organizzazione): – rischio informatico e rischio d'impresa vengono gestiti nell'ambito di unità organizzative separate e autonome; – pur essendo unità organizzative formalmente separate e autonome l’unità responsabile della gestione del rischio informatico interagisce in modo strutturato e continuativo con l’unità organizzativa (o entità) responsabile della gestione del rischio d’impresa; – dal momento che il rischio informatico è classificato nell’ambito dei rischi operativi, la misurazione del grado di esposizione dell’impresa al rischio informatico è effettuata dalla funzione di operational risk management. La conseguente identificazione degli eventuali interventi correttivi applicabili ai processi per la prevenzione e gestione degli incidenti, riguarda le figure preposte al governo della sicurezza; – il governo e la gestione del rischio informatico, specialmente per quanto concerne l'individuazione del grado di esposizione al rischio, richiedono l’integrazione di competenze IT e di business, realizzabile anche mediante la definizione di nuovi ruoli e responsabilità. Processi per la gestione del rischio informatico (dimensione organizzazione): – la gestione del rischio informatico è un processo integrato, attraverso modalità eterogenee, all’interno dei processi operativi aziendali; – la gestione del rischio informatico focalizza sia i rischi che hanno origine nell’ambito dei sistemi ICT (ad esempio, violazione o furto di informazioni, perdita o indisponibilità di dati, frodi informatiche) sia quelli che derivano dall’operatività aziendale (ad esempio, non conformità a norme di legge o procedure aziendali); – i processi di governo del rischio informatico prevedono lo scambio strutturato e formalizzato di flussi informativi con le altre unità organizzative coinvolte; – nella gestione del rischio informatico assumono rilievo tanto i processi quanto la cultura aziendale e la tecnologia; – il processo di verifica ex ante dei requisiti di conformità (in relazione al rischio informatico) delle soluzioni applicative e tecnologiche trasversalmente diverse unità organizzative oltre alla sicurezza. coinvolge Documento riservato - © CeTIF 2007 Pagina 13 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK 2. Soluzioni tecnologiche per il Governo della Sicurezza Sulla base dell’approccio descritto nella prima sezione del presente documento, le istituzioni finanziarie adottano tecnologie abilitanti al perseguimento degli obiettivi di presidio del rischio informatico e di governo della sicurezza. La trattazione prosegue dunque con l’inquadramento teorico delle soluzioni tecnologiche a presidio del rischio informatico, considerato nella sua accezione più estesa. Tali tecnologie sono state raggruppate in classi omogenee per finalità e funzionalità e quindi ulteriormente suddivise sulla base dei processi supportati e degli ambiti di utilizzo in banca. La suddivisione ottenuta, approfondita nei paragrafi che seguono, è la seguente4: 1. Soluzioni tecnologiche a supporto dei processi di governo della Sicurezza: • Gestione del rischio informatico; • Gestione dei progetti di sicurezza; • Monitoraggio e controllo; • Collaborazione, comunicazione e formazione. 2. Soluzioni tecnologiche di Sicurezza Logica: • Gestione e il controllo degli accessi logici alle risorse IT; • Sicurezza della rete e dei sistemi; • Availability e e gestione incidenti informatici; • Disaster recovery. 3. Soluzioni tecnologiche di Sicurezza Fisica: • Gestione degli accessi fisici alle risorse IT; • Controllo degli accessi fisici alle risorse IT. 2.1 - Soluzioni tecnologiche a supporto dei processi di governo della Sicurezza Gestione del rischio informatico Le soluzioni tecnologiche a supporto della gestione del rischio informatico trovano applicazione nei processi di Pianificazione e Indirizzo della Sicurezza Informatica, ovvero l’insieme delle attività finalizzate all’indirizzo strategico, alla produzione della normativa e degli standard tecnologici di sicurezza e, appunto, alla gestione del rischio informatico. Le soluzioni tecnologiche a cui si fa riferimento supportano la valutazione del grado di vulnerabilità dei sistemi aziendali e la conseguente pianificazione, comprensiva della gestione del budget e degli interventi progettuali da avviare per l’abbattimento del livello di rischio informatico complessivo. 4 L’elenco non si pone l’obiettivo di essere esaustivo, ma piuttosto di offrire una visione logica delle soluzioni tecnologiche per la gestione del rischio informatico e della governance della sicurezza. La classificazione è pertanto funzionale allo sviluppo della presente trattazione. Documento riservato - © CeTIF 2007 Pagina 14 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK La tecnologia deve essere in grado anche di raccogliere e gestire le diverse tipologie di richieste, rendendole confrontabili e consentendone una prioritizzazione rispetto ai criteri di scelta e alle regole stabilite dalla banca. Per questo motivo è importante che la richiesta possa essere mappata in modo univoco, attraverso l’inserimento in un unico sistema che possa tracciare l’intera gamma di proposte e richieste di progetti (tattici, strategici, di compliance) e richiamarne le caratteristiche utili a supportare le valutazioni ad essi relative. Tra le principali attività che tali soluzioni si propongono di supportare è possibile evidenziare: • identificazione e classificazione degli asset; • identificazione e valutazione minacce e vulnerabilità; • valutazione impatti e identificazione del profilo di rischio informatico; • analisi proposte progettuali delle varie U.O.; • definizione del portafoglio interventi; • allocazione del budget. Gestione dei progetti di sicurezza Le soluzioni tecnologiche a supporto della gestione dei progetti trovano applicazione nei processi di Progettazione e Implementazione delle Misure di Sicurezza Informatica, ovvero l’insieme di attività finalizzate alla regolare attuazione dei progetti inerenti la Sicurezza Informatica, volti ad implementare misure di sicurezza di carattere tecnologico (sistemi dedicati alla sicurezza e attivazione di requisiti di sicurezza sul parco applicazioni/sistemi aziendali) ed organizzativo (emanazione procedure e attribuzione di nuovi compiti e responsabilità,…). Si fa riferimento a tecnologie in grado di supportare la gestione l’insieme dei progetti di sicurezza in essere (iniziative nuove, ma anche in fase di realizzazione) in tempo reale, aggiornando risorse, budget, costi, benefici sia in forma aggregata (intero portafoglio), sia in dettaglio. Un’importante caratteristica delle tecnologie in oggetto è quella di poter offrire analisi e simulazioni di scenario, in una prospettiva previsionale rispetto a criteri liberamente gestiti dall’utente (per esempio, simulare gli effetti di una diminuzione delle risorse impiegate per allinearsi al budget). Questo per garantire non soltanto i migliori strumenti informativi su cui poter basare le proprie valutazioni, ma anche validi elementi per gestire i rischi, migliorare la qualità degli output prodotti, governare i costi, ecc. Monitoraggio e controllo Le soluzioni tecnologiche per il Monitoraggio e Controllo della Sicurezza Informatica supportano l’insieme di attività finalizzate a verificare l’efficacia e l’adeguatezza nel tempo delle misure di sicurezza realizzate (es. analisi dei log, vulnerability assessment,…) e a controllare la conformità delle tecnologie e delle modalità operative all’impianto normativo Documento riservato - © CeTIF 2007 Pagina 15 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK e agli standard di sicurezza adottati dalla Banca. Il supporto alle attività si concretizza dunque nel perseguimento di due obiettivi tra loro correlati e sinergici: 1. Monitoraggio dell’Efficacia delle Misure di Sicurezza • pianificazione delle attività di monitoraggio; • analisi dei dati e delle performance; • test e simulazioni (es. vulnerability assessment, simulazione del piano di disaster recovery); • produzione e distribuzione della reportistica. 2. Controllo della conformità a normative e standard: • Pianificazione interventi di controllo; • verifica delle modalità operative e controllo di conformità all’impianto normativo e agli standard tecnologici di sicurezza; • analisi dei risultati; • formulazione degli esiti dei controlli (anche sotto forma di reportistica). Collaborazione, comunicazione e formazione Per una maggiore completezza e coerenza della trattazione, è utile citare l’insieme di soluzioni tecnologiche di supporto alla collaborazione, comunicazione e formazione, nonostante la loro applicazione risulti trasversale all’organizzazione bancaria e non certo verticale rispetto all’oggetto della presente analisi. In particolare si intende in tale contesto sottolineare l’importanza del supporto di esse all’insieme di attività finalizzate all’innalzamento del livello complessivo di consapevolezza e di preparazione delle risorse umane sulle tematiche di sicurezza informatica (es: identificazione delle esigenze di comunicazione/formazione, definizione degli obiettivi, dei contenuti e dei destinatari della comunicazione/formazione; realizzazione degli interventi di comunicazione/formazione, rilevazione del livello di sensibilizzazione raggiunto). La diffusione nel continuo di un’adeguata cultura aziendale della sicurezza è un'attività fondamentale per la messa in atto di qualsiasi pratica di governo e gestione del rischio informatico. Parallelamente, è necessario creare e supportare nel continuo un’adeguata cultura operativa, attraverso la quale le risorse possano evitare comportamenti potenzialmente pericolosi e, talvolta, dannosi. Si aggiunga a questo che i processi di governo del rischio informatico prevedono lo scambio strutturato e formalizzato di flussi informativi con le altre unità organizzative coinvolte. Le tecnologie innovative in materia di collaborazione e comunicazione mirano dunque ad assecondare cambiamenti organizzativi e annullare le distanze tra le risorse coinvolte nei processi aziendali, sia da un punto di vista fisico, sia di livello gerarchico (es: tecnologie di convergenza, strumenti web di seconda generazione, ecc.). Le attività di formazione, Documento riservato - © CeTIF 2007 Pagina 16 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK sempre più caratterizzate dai principi sopra descritti, si avvalgono inoltre di tecnologie innovative che garantiscono una modalità evoluta di formazione a distanza (sfruttando la compresenza di formati audio video e dati sullo stesso canale, anche integrati in applicazioni di enhanced collaboration). 2.2 - Soluzioni tecnologiche di sicurezza logica In questo ambito rientrano le soluzioni tecnologiche finalizzate all’attuazione continuativa del livello di presidio individuato e predisposto a tutela delle risorse IT. Le misure di sicurezza logica possono essere suddivise in quattro macro categorie (domini) che rispecchiano la specificità delle diverse soluzioni tecnologiche, delle funzionalità e della modalità di gestione. Tecnologie per la gestione e il controllo degli accessi alle risorse IT Le soluzioni tecnologiche in oggetto sono finalizzate ad assicurare la sicurezza logica di dati e risorse IT, garantendone l'integrità, la disponibilità, e la riservatezza attraverso la definizione e la gestione dei profili autorizzativi di accesso / operatività, l’abilitazione di utenze, l’assegnazione di meccanismi di autenticazione e crittografia. Tecnologie per la sicurezza della rete e dei sistemi Le soluzioni tecnologiche in oggetto sono finalizzate a garantire la sicurezza delle infrastrutture tecnologiche e applicative che supportano l’operatività della banca. Sono pertanto adottate a protezione di rete, sistemi e applicazioni (es. IDS, Router, Firewall, Antivirus, VPN, VLAN, RACF, EUA/SSO., SOC,… ). Tecnologie di availability e gestione incidenti informatici Le soluzioni tecnologiche in oggetto sono finalizzate alla gestione operativa di incidenti di sicurezza e alla gestione di stati di allerta e crisi informatiche (es. attacchi di virus o di hacker, frodi informatiche,…). L’obiettivo è quello di garantire la disponibilità dei servizi agli utenti interni ed esterni alla banca. Tecnologie di Disaster Recovery 5 5 In caso di evento che determini l’interruzione dell’operatività ordinaria, assume particolare importanza la presenza in azienda di un business continuity plan che contempli tutte le attività volte ad assicurare la prosecuzione dei processi di business considerati critici. Esso è costituito dall’insieme dei piani di continuità sviluppati per ogni singola funzione interessata e prevede processi organizzativi di ripristino differenziati in funzione della gravità degli eventi presi in considerazione e del grado di importanza/essenzialità dei processi. La gestione delle emergenze e degli incidenti dovuti a cause di forza maggiore ed eventi catastrofici non può prescindere da strumenti tecnologici che consentano all’organizzazione non solo di mantenere un livello di operatività minimo, ma sopratutto di non perdere informazioni e dati vitali per l’attività di business. Nell’economia della presente trattazione, si è reputato più corretto fare riferimento all’ambito esclusivamente tecnologico (disaster recovery) piuttosto che alle soluzioni di carattere maggiormente organizzativo. Documento riservato - © CeTIF 2007 Pagina 17 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK Le soluzioni tecnologiche in oggetto sono utilizzate a tutela del verificarsi di eventi disastrosi che comportino la necessità di attivare un CED secondario (a fronte della indisponibilità del CED primario) e di procedere quindi con il suo successivo ripristino. 2.3 - Soluzioni tecnologiche di sicurezza fisica Con il termine “soluzioni tecnologiche di sicurezza fisica” si intende l’insieme delle tecnologie per la tutela delle risorse IT e dei dati stessi dai rischi che caratterizzano l’ambiente fisico in cui le infrastrutture sono ubicate (es: furti e danneggiamenti, abuso di privilegi di accesso alle strutture IT, ecc.). L’innovazione in tale ambito persegue una sempre maggiore sovrapposizione con le tecnologie di sicurezza logica, informatizzando i tradizionali sistemi (videosorveglianza, chiavi di accesso, ecc.) e integrandoli con funzionalità precedentemente inesplorate. A seguito vengono indicatre e descritte brevemente le principali categorie all’interno delle quali racchiudere le soluzioni tecnologiche di sicurezza fisica. Sistemi per la gestione degli accessi fisici alle risorse IT Tali tecnologie supportano le diverse esigenze di accesso fisico alle risorse, possibilmente applicando la policy del “minimo privilegio”, dell’affidabilità dei singoli e delle responsabilità, anche contrattuali, delle società di appartenenza, nonché della necessità di riservare comunque alcune attività al personale della banca. Un’importante caratteristica delle soluzioni innovative in tale ambito è il sempre più basso livello di invasività verso le abitudini operative delle persone, utilizzando sistemi sempre più automatizzati e che sfruttano le potenzialità delle tecnologie innovative (riconoscimento biometrico, GPS, sistemi a radiofrequenza, ecc.). Sistemi per il controllo e il monitoraggio degli accessi fisici alle risorse IT Anche in questo caso l’automatizzazione e l’informatizzazione delle tecnologie tradizionali gioca un ruolo fondamentale. In particolare è possibile applicare i concetti alla base della convergenza (docuementi, audio e video trasmessi attraverso protocolli IP) per esplorare nuove soluzioni anche organizzative. I sistemi di videosorveglianza dotati di picture scanning and filtering consentono un controllo centralizzato degli accessi fisici (e di eventuali modifiche) alle risorse IT, dove le anomalie, rilevate sulla base delle regole definite dall’utente, vengono segnalate automaticamente attraverso allarmi e descrizioni puntuali dell’anomalia stessa (mancanza di un determinato oggetto, presenza di un oggetto non conforme alle regole, modifica della situazione preesistente, ecc.). Tali sistemi possono, per esempio, rilevare e segnalare in modo automatico il furto di un laptop o la modifica alla struttura di un ATM (inserimento di uno skimmer). Nella realtà dei fatti, l’applicazione di tali tecnologie trarrà la sua efficacia dalle intuizioni dei progettisti e dalla capacità di allinearne le funzionalità alle esigenze della banca. Documento riservato - © CeTIF 2007 Pagina 18 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK 3. “Informational Risk and Security Governance” Technology Outlook Model 3.1 - Metodologia di analisi Come abbiamo evidenziato in apertura, il Technology Outlook Model si basa su una metodologia sviluppata da CeTIF e consente di posizionare le soluzioni per la governance del rischio informatico in un framework di riferimento normalizzato, orientato a: 1. evidenziarne le caratteristiche tecnologiche intrinseche e mettere in luce i fattori esterni alla banca, che ne possano accelerare o frenare l’adozione (Technology Outlook Map); 2. determinarne il posizionamento nell’ambito del cosiddetto ciclo di innovazione tecnologica (Technology Innovation Cycle); 3. stimarne l’impatto potenziale in base a criteri di efficienza, efficacia e rischiosità, valutando l’ampiezza e l’intensità di tale impatto sui processi di governo della sicurezza (Process Impact Analysis); 4. identificare scenari e criteri di adozione in relazione al contesto bancario e alle caratteristiche dell’offerta (4C - Context, Criteria, Cost, Coverage). Nei paragrafi che seguono sono esposti, in sintesi, i risultati delle analisi effettuate mediante l’applicazione del modello. Documento riservato - © CeTIF 2007 Pagina 19 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK 3.2 – “Informational Risk and Security Governance” Technology Outlook Map Nella Technology Outlook Map la tecnologia in esame viene analizzata con l’obiettivo di determinarne l’impatto potenziale su quattro variabili interne: infrastruttura tecnologica, infrastruttura applicativa (sistemi di sviluppo, sistemi di gestione, sistemi applicativi) o architettura applicativa nel suo complesso, caratteristiche di erogazione dei servizi applicativi (applicazioni) da parte della struttura ICT (intesa come l’insieme di infrastrutture tecnologiche, organizzazione e processi) e contenuti, cioè l’insieme delle informazioni a supporto dei processi di business della banca. Vengono inoltre presi in considerazione alcuni fattori esterni alla banca (variabili esterne) che possono fungere da abilitatori (enabler) o inibitori (inhibitor) nei confronti del processo di diffusione della tecnologia: normativa, mercato, fattori socio-culturali, evoluzione tecnologica. Inhibitor Normativa Enabler Infrastruttura Evoluzione Tecnologica Mercato Inhibitor Applicazioni Enabler Enabler Inhibitor Contenuti Servizi Enabler Fattori Socio-Culturali Inhibitor Fonte: CeTIF 2007 L’analisi svolta evidenzia un apprezzabile impatto diretto sull’infrastruttura tecnologica, dovuto principalmente alle conseguenze facilmente ipotizzabili nel contesto dei sistemi per la sicurezza; in tale ambito, infatti, sono prevedibili modifiche, sostituzioni o acquisizioni di componenti infrastrutturali, con l’obiettivo di un generale miglioramento delle caratteristiche evolutivo/funzionali, che potrebbero comportare ripercussioni anche su altre componenti infrastrutturali. Per quel che riguarda, invece, i sistemi di elaborazione, i sistemi di comunicazione e i sistemi di gestione dati, si ritiene che la tecnologia in esame abbia ripercussioni di Documento riservato - © CeTIF 2007 Pagina 20 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK modesta entità, dovute soprattutto a necessità di aggiornamento o miglioramento funzionale di componenti esistenti. Gli effetti sull’infrastruttura (sistemi di sviluppo, gestione e applicativi) e sull’architettura applicativa sono più evidenti, soprattutto a causa delle potenziali modifiche indotte nel processo di sviluppo e gestione delle applicazioni, seppur con benefici limitati in termini di efficienza e di efficacia. L’ampiezza di tale impatto è considerata elevata, dato l’alto numero di applicazioni che sono interessate dall’adozione di misure per la gestione del rischio informatico e della sicurezza. Per quanto concerne le caratteristiche di erogazione dei servizi applicativi gli effetti delle tecnologie di riferimento sono rilevanti sulla disponibilità dei servizi stessi, per i quali sono prevedibili significativi miglioramenti atti a garantire la continuità nell’erogazione e una migliore rispondenza ai business requirement (efficacia). Infine, relativamente ai contenuti, visti come l’insieme delle informazioni a supporto dei processi di business della banca, si evidenziano effetti positivi, soprattutto in termini di erogazione da parte dell’IT e di gestione, mentre non sono individuabili impatti evidenti in termini di creazione ne’ di fruizione da parte dell’utenza. Fra i fattori esterni che potranno influire sui processi di adozione e diffusione delle tecnologie per la gestione del rischio informatico e della sicurezza, si segnala, quale forte abilitatore, la normativa interna ed esterna che, sollecitando continui cambiamenti, è unanimemente considerata un driver per lo sviluppo dei progetti legati alle tecnologie in oggetto; inoltre, si riscontrano effetti abilitatori dovuti a fattori socio-culturali (in tale ambito non si manifestano fenomeni imitativi nei confronti dei cosiddetti “early adopter” e “technology innovator” quanto, piuttosto, la necessità di preservare l’immagine della banca). Lo sviluppo delle nuove tecnologie, infine, rende prevedibili effetti abilitatori di media intensità sia per quel che concerne le misure di sicurezza passiva e attiva, sia per ciò che riguarda i sistemi di governance del rischio. Documento riservato - © CeTIF 2007 Pagina 21 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK 3.3 - “Informational Risk and Security Governance” Technology Innovation Cycle I grafici del Technology Innovation Cycle evidenziano rispettivamente il posizionamento delle tecnologie in esame nell’ambito del ciclo di innovazione tecnologica delle banche italiane che l’hanno adottata e il suo stadio di diffusione nell’ambito del mercato bancario (italiano). Si è ritenuto opportuno considerare separatamente le tecnologie a supporto della governance della sicurezza, quelle per la sicurezza fisica e quelle di supporto alla sicurezza logica. Grafico 1 – Banche Utilizzatrici Grafico 2 – Mercato Bancario Fonte: CeTIF 2007 I sistemi di supporto alla governance della sicurezza possono essere collocati in una fase finale di sviluppo poiché, se è vero che in numerosi casi si sono realizzati sistemi di misurazione e controllo, sono poche le realtà nelle quali è avvenuto il pieno sfruttamento delle potenzialità di queste tecnologie. Relativamente al tasso di penetrazione, si deve rilevare un medio livello di diffusione, divenendo sempre più sentita la necessità di dotarsi di strumenti che consentano il supporto adeguato alle sempre più complesse attività di gestione, monitoraggio, controllo, comunicazione, formazione e collaborazione. Grafico 1 – Banche Utilizzatrici Grafico 2 – Mercato Bancario Fonte: CeTIF 2007 Documento riservato - © CeTIF 2007 Pagina 22 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK Per quanto riguarda le tecnologie di sicurezza logica, il posizionamento nello stadio intermedio della fase di consolidamento sta ad indicare una pressoché completa copertura delle realizzazioni produttive, grazie allo sfruttamento delle potenzialità derivanti dall’applicazione di tali sistemi ai processi bancari, nonostante la loro numerosità e complessità. Il livello di diffusione delle tecnologie per la gestione della sicurezza logica risulta altresì di entità elevata, registrando soprattutto negli ultimi anni, un crescente interesse, continuamente stimolato dalle sollecitazioni ambientali e normative. Grafico 1 – Banche Utilizzatrici Grafico 2 – Mercato Bancario Fonte: CeTIF 2007 Relativamente alle tecnologie innovative per la sicurezza fisica, il posizionamento nello stadio iniziale della fase di consolidamento denota un’ampia copertura delle realizzazioni produttive, nonostante non si sia tuttora realizzato il pieno sfruttamento delle potenzialità derivanti dall’applicazione delle nuove tecnologie (ad esempio quelle di riconoscimento). Il livello di diffusione di quest’ultime risulta altresì di entità medio-alta, registrando anche in questo caso un crescente interesse, dovuto in particolare a sollecitazioni ambientali. Documento riservato - © CeTIF 2007 Pagina 23 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK 3.4 - “Informational Risk and Security Governance” Process Impact Analysis Viene ora approfondito il potenziale impatto delle soluzioni per la gestione del rischio informatico e della sicurezza sui principali processi bancari, classificati secondo le seguenti categorie: • processi direzionali; • processi di operation; • processi di marketing, commerciali e di servizio alla clientela; • processi di supporto. Direzionali Operations Supporto Mkt, Comm, Svc Fonte: CeTIF 2007 L’analisi ha rilevato alcune significative evoluzioni nell’ambito dei processi direzionali, in particolare nella gestione del rischio, che trae significativi benefici grazie al miglioramento delle possibilità di monitoraggio e controllo che favoriscono l’evoluzione delle pratiche di governo del rischio informatico verso un approccio integrato di gestione dei rischi d’impresa (enterprise risk management), Anche se con minor rilevanza, le tecnologie in oggetto evidenziano ripercussioni anche sulla gestione dei controlli interni e sulla gestione della compliance. I processi di operation (incassi e pagamenti, credito, finanza, servizi tipici) invece, non sono interessati da impatti apprezzabili, in termini di modifiche migliorative o evolutive. Documento riservato - © CeTIF 2007 Pagina 24 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK Al contrario, i processi di marketing, commerciali e di servizio al cliente (all’interno dei quali sono la gestione dei canali di contatto, il customer service e lo sviluppo e gestione dei piani di marketing a essere stata segnalati come oggetto di cambiamento), si rivelano coinvolti dall’adozione dei sistemi per la gestione della sicurezza e del rischio informatico.. Sufficientemente marcato è infine l’impatto sui processi di supporto, all’interno dei quali organizzazione e gestione ICT, gestione delle risorse umane e, come ovvio, gestione della sicurezza, sono i principali ambiti all’interno dei quali si riflette il vantaggio nell’adozione dei sistemi in oggetto. Documento riservato - © CeTIF 2007 Pagina 25 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK 4. Informational Risk and Security Governance 4 “C” Analysis La presente sezione ha l’obiettivo di analizzare le opportunità e i benefici potenzialmente collegati all’adozione di sistemi per la gestione dei rischio informatico e della sicurezza attraverso la descrizione delle seguenti variabili: • il contesto di adozione e i relativi driver (context); • i criteri di adozione (criteria); • il rapporto costi-benefici (cost-benefit); • le tipologie di offerta in ambito sicurezza da parte dei vendor (coverage). 4.1 - Context Figura 4 – Allargamento del “perimetro di sicurezza” Fonte: CeTIF 2006 Il contesto di adozione di soluzioni di Governance della Sicurezza è stato descritto ampiamente nella prima sezione del presente rapporto. E’ utile in questa sede approfondire alcuni aspetti relativi alla crescente complessità che il settore bancario sperimenta in seguito all’evoluzione del contesto e delle caratteristiche della domanda. Negli ultimi anni si è assistito a una ridefinzione delle politiche bancarie, volte a conferire al cliente un ruolo di centralità strategica. In particolare, ciò ha significato – in ottica di realizzo dell’efficacia commerciale e della customer satisfaction - anche dare alla clientela la possibilità di accesso ai prodotti/servizi bancari tramite una molteplicità di canali. Lo sviluppo, tra questi, dell’internet banking e, più in generale, di modalità di self-banking, ha costretto alla rivisitazione del rapporto fiduciario intrattenuto con il cliente, per molti versi mutato e necessitante di una gestione differente e molto più complessa. Documento riservato - © CeTIF 2007 Pagina 26 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK L’apertura di un conto corrente, la visita in filiale per un deposito, un prelievo o una modifica nel portafoglio titoli sottendono un rapporto di fiducia tra cliente e banca direttamente controllabile da quest’ultima. L’aumento nel numero dei prodotti e dei servizi offerti, come ad esempio l’internet banking o il trading online, ha creato però una maggiore complessità dal punto di vista della gestione del comportamento del cliente, il quale possiede non solo un numero più elevato di opzioni e modalità differenti per ottenere servizi informativi o dispositivi, ma di fatto si sostituisce alla figura dello sportellista, operando in autonomia. Quanto affermato implica che il perimetro dei rapporti banca-cliente si allarghi al presidio di una serie di attività svolte dal cliente stesso, che esulano la gestione corretta e puntuale dei dati da parte dell’organizzazione bancaria. Il cliente dunque rimane tale anche dopo aver abbandonato gli spazi fisici o virtuali della banca. Sono oggi configurabili in banca un perimetro interno, ove rientrano tutte le attività governate dalle politiche di sicurezza, e uno esterno, ossia tutte le attività al di fuori del controllo diretto della stessa e riconducibili a comportamenti autonomi del cliente. Le tradizionali soluzioni di sicurezza informatica rappresentano lo strumento a difesa del perimetro interno e stanno assumendo, come anticipato precedentemente, un peso sempre maggiore dal punto di vista strategico. Per quanto riguarda invece il perimetro esterno, le soluzioni tecnologiche di sicurezza informatica sono senza dubbio utili a tutelare i soggetti coinvolti, ma spesso si rivelano insufficienti di fronte a una serie di minacce che coinvolgono aspetti maggiormente legati al livello di maturità e consapevolezza dell’utente verso l’utilizzo dei prodotti e dei servizi bancari. Vi sono infatti una serie di comportamenti del cliente che, pur non essendo direttamente gestibili dalla banca (per esempio, un uso responsabile della carta di credito o dello sportello bancomat), vanno a minacciare il rapporto di fiducia che è alla base delle politiche di customer-satisfaction. Si pensi per esempio alle numerose frodi verificatesi nel corso del recente passato: la clonazione di carte di credito o tessere bancomat, attacchi di phishing e pharming hanno coinvolto un consistente numero di utenti che, per cause più o meno imputabili a un comportamento poco responsabile da parte del cliente, hanno colpito numerosi istituti di credito senza che essi stessi potessero provvedere ad arginare il fenomeno. Inoltre, la percezione del cliente che ha subito la frode è che la banca stessa debba porsi a garanzia del torto subito: in tal senso l’organizzazione subisce danni notevoli per quanto riguarda il marchio e la reputazione aziendale, senza contare il fatto che il gruppo di clienti frodati diventa poco incline all’utilizzo dei servizi virtuali che la banca offre. Quanto affermato rende evidente la necessità di tutela del rapporto con il cliente tramite atteggiamenti proattivi, quali attività informative ed educative, con l’obiettivo di limitare i comportamenti irresponsabili o scorretti dello stesso. Documento riservato - © CeTIF 2007 Pagina 27 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK 4.2 - Criteria In relazione ai criteri di adozione dei sistemi di governo della sicurezza, nella prima parte della presente analisi si è inteso mettere in evidenza come la gestione del rischio informatico sia una tematica di profonde implicazioni organizzative e non di esclusiva competenza dei sistemi informativi. La Sicurezza Informatica è dunque una realtà complessa che richiede l’utilizzo di risorse e competenze specifiche. Gli istituti di credito sono infatti chiamati a un uso responsabile e consapevole delle risorse ICT che permetta di gestire i rischi IT e sfruttare contemporaneamente le opportunità che il mercato offre, massimizzando i benefici garantiti da un approccio di governo alla gestione della Sicurezza. I principali criteri di adozione attraverso cui valorizzare le soluzioni tecnologiche di Sicurezza sono pertanto sintetizzabili in quattro punti fondamentali: Definizione delle Metodologie, di Standard e di Linee Guida Il governo della Sicurezza sottintende l’esistenza di linee guida e la valutazione di una serie di priorità nell’affrontare i rischi che si presentano all’organizzazione con sempre maggiore frequenza. Particolare attenzione è da dedicarsi all’allineamento al business e alle normative, con riguardo alla sensibilizzazione di queste tematiche a tutti i livelli dell’organizzazione: si gettano cioè le basi per la Business Survivability, ovvero la condivisione tra tutte le realtà aziendali degli obiettivi di Sicurezza in una prospettiva di miglioramento delle performance, in un’ottica sia proattiva, sia reattiva: • Prevenzione e Mitigazione dei danni causati da incidenti/crisi: impedire o ridurre ragionevolmente il verificarsi di comportamenti scorretti, fraudolenti o criminali (ottica proattiva); • Gestione degli incidenti/crisi: ricreare, nel minor tempo e al minor costo possibili, le condizioni di normale svolgimento delle attività aziendali, allorquando una minaccia abbia già superato le misure preventive di Sicurezza fisica, logica e organizzativa (ottica reattiva). Definizione di ruoli e responsabilità nelle funzioni di Sicurezza Informatica Come si diceva, le strutture organizzative dei gruppi bancari hanno subito numerose fusioni e acquisizioni che hanno aumentato la complessità e il livello dimensionale delle banche coinvolte. L’evolversi degli strumenti tecnologici e dei nuovi criteri applicativi hanno portato a una maggior pervasività delle componenti IT all’interno dell’organizzazione, integrate progressivamente all’interno dei Sistemi della struttura funzionale. In questo contesto, il ruolo e le competenze che le figure preposte alla ICT Security devono possedere, le responsabilità che devono assumere e le risorse di cui devono avvalersi nell’esercizio delle proprie funzioni possono svilupparsi su due direttrici: accentramento per quanto riguarda le funzioni di Security Governance e decentramento per quanto concerne la Security Management and Administration. Documento riservato - © CeTIF 2007 Pagina 28 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK In tal senso è auspicabile l’attribuzione della responsabilità della gestione della Sicurezza ad una serie di figure dedicate, facenti capo ad un Chief Security Officer. Misurazione delle performance della Sicurezza Informatica La misura delle performance delle politiche di Sicurezza Informatica è un’attività importante in un’ottica di governance della Sicurezza. KPI, metodi di benchmarking, cruscotti di monitoraggio hanno l’obiettivo di misurare costantemente l’allineamento tra politiche di Sicurezza Informatica e politiche di business e ICT. Diffusione della Cultura della Sicurezza Creazione del contesto in cui calare le attività di Sicurezza relativamente al grado di percezione della problematica e alla sensibilità in merito ad un comportamento responsabile (cultura operativa), sia nel perimetro interno, sia nel perimetro esterno alla banca. Documento riservato - © CeTIF 2007 Pagina 29 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK 4.3 - Cost L’accresciuta rilevanza della Sicurezza Informatica da un punto di vista strategico è testimoniata anche dai dati raccolti da CIPA. La spesa per la sicurezza informatica è infatti in continuo aumento, attestandosi mediamente nel 2006 al 3,1% dei costi IT complessivi, rispettando le previsioni effettuate nel 2005. La suddivisione per classi dimensionali si caratterizza per livelli ancora più elevati (valori medi tra il 3,4% e il 4%) dichiarati dalle banche maggiori e dalle banche a “vocazione telematica”. Il budget formulato per il 2007 prevede un ulteriore innalzamento del livello medio di spesa (circa il 3,4% dei costi IT). Figura 5 – Spesa per la sicurezza informatica Fonte: CIPA 2007 Se da una parte è innegabile che l’adozione di soluzioni di sicurezza si caratterizzi per un alto impatto in termini economici, è altrettanto condivisa l’impossibilità di giustificare tale spesa sulla base di indicatori quali, per esempio, il ritorno sugli investimenti. Tale problematica, riconducibile alla più generale controversia relativa al contributo dell’IT ai risultati di business, trova difficilmente una soluzione, portando a classificare la spesa in sicurezza come “necessaria” a evitare perdite e/o costi collaterali che potrebbero rilevarsi ancora più onerosi. Sebbene nel recente periodo si siano intrapresi numerosi progetti orientati a valutare l’impatto strategico delle soluzioni di sicurezza (es: riduzione del capitale di vigilanza, valorizzazione del brand e mitigazione del rischio di immagine, impatto sulla customer satisfaction, ecc.), l’analisi effettuata sottolinea come la percezione del valore della sicurezza dipenda in modo determinante da valutazioni soggettive e dal livello di sensibilità del top management alle problematiche in oggetto. Documento riservato - © CeTIF 2007 Pagina 30 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK 4.4 - Coverage La copertura da parte dei vendor in ambito di gestione del rischio informatico e di governance della sicurezza è molto ampia ed eterogenea. Si concretizza principalmente in due ambiti di offerta: lo sviluppo, anche dal punto di vista di adeguate metodologie, di un modello di governance della sicurezza (e dei relativi processi e soluzioni a supporto) e lo sviluppo di un “ambiente più propriamente tecnologico” di impatto sui sistemi (cioè relativo alle infrastrutture, architetture e alle applicazioni); tali ambiti presentano in realtà sinergiche correlazioni. Nel paragrafo che segue vengono analizzati alcuni ambiti di copertura da parte dei vendor, all’interno dei quali si sono concretizzate le maggiori innovazioni tecnologiche. 4.4.1 - Strumenti di Monitoraggio e Controllo della Sicurezza Informatica (a cura di Visiant Security) Non è possibile prescindere, parlando di monitoraggio e controllo, da un approccio metodologico che garantisca una armonica ed organica gestione dei rischi della sicurezza informatica. La realizzazione di un sistema di gestione della sicurezza delle informazioni, nonché il rispetto delle normative vigenti, Basilea 2, ISO 27001, Decreto Legge 196/03 per il trattamento dei dati personali, etc.., presuppongono che l’organizzazione adotti un criterio metodologico, ed abbia in tal senso chiaramente definito l’ambito di gestione del rischio stesso, nonché il rischio residuo ritenuto accettabile, che si traduce sui sistemi IT in una matrice di compliance: un insieme di interventi tecnici, procedurali ed organizzativi, applicabili fin dalla progettazione delle applicazioni, che corrispondono agli ambiti nei quali l’organizzazione decide di gestire il rischio, e sui quali misurare il grado di sicurezza e l’aderenza alle normative. Tale matrice è suddivisa in sottoinsiemi in base al livello di gravità definito nella metodologia stessa: tale livello deve essere determinato per ogni applicazione o per ogni sottoambito di infrastruttura, mediante una attività di analisi dei vincoli fisici, logici, tecnologici, economici ed organizzativi. Per gestire tutte le attività di monitoraggio e controllo è importante avere quindi uno strumento automatizzato che permetta di registrare una descrizione logica dell’applicazione in termini di architettura, funzionalità, flussi informativi e principali informazioni gestite nonché una descrizione fisica completa. Lo strumento permetterà di selezionare, dalla matrice di compliance, gli interventi più idonee in base al livello di gravità definito della metodologia. Successivamente, sarà necessaria l’individuazione del modo e dei tempi di applicazione degli interventi (Piano di Attuazione). A questo punto diventa di fondamentale importanza l’attività di monitoraggio e controllo, in base al livello di criticità della applicazione o del sistema, con l’ausilio di una serie di attività che possono essere così riassunte brevemente: Documento riservato - © CeTIF 2007 Pagina 31 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK • Security Audit: Sulla base del Piano di Sicurezza e del Piano di Rientro, si eseguono controlli mirati alla verifica dell’esistenza e conformità delle contromisure, delle basi dati dichiarate, dei trattamenti dei dati stessi. • Penetration Test: Isolando una catena di applicazioni, si eseguono degli attacchi inferenziali (Penetration Test) volti a misurare l’efficacia e l’efficienza delle configurazioni/contromisure di sicurezza • Verifica Norme: in caso di cambiamenti od aggiornamenti degli standard di sicurezza Oltre a tali controlli sono previsti normali elementi di monitoraggio eseguiti dal team del Security Operation Center. Il risultato dei test effettuati e degli eventuali incidenti di sicurezza riscontrati alimenta lo strumento sopra descritto di supporto alla definizione degli interventi, e determina le eventuali modifiche da apportare alle applicazioni, ai sistemi o alla intera infrastruttura. I vantaggi di uno strumento di questo genere sono: • una fotografia istantanea di tutta la propria infrastruttura in termini di normative, standard tecnologici, procedurali ed organizzativi, ma anche di ogni singola applicazione ed ogni singolo sistema; • la possibilità di evidenziare carenze strutturate all’interno della propria infrastruttura e le eventuali indicazioni di security per migliorarla e per ottimizzare il proprio sistema di gestione della sicurezza delle informazioni; • a fronte di determinati cambiamenti di normative, di tecnologie, di processo si ha una immediata evidenza dell’impatto degli stessi all’interno della propria azienda; • l’automazione di un processo di questo tipo permette di minimizzare i tempi di realizzazione di un piano di sicurezza inserendo solo le informazioni di natura tecnologica che i responsabili dei sistemi aziendali conoscono, prescindendo quindi da una specifica competenza in ambito di sicurezza. L’approccio descritto permette quindi di spostare l’attenzione dalla metodologia, una volta concepita ed elaborata, alle fasi operative, e quindi di monitoraggio e controllo, con il vantaggio di concentrare gli sforzi organizzativi, procedurali ed economici a livello aziendale in tutte quelle azioni, precedentemente descritte, di maggiore impatto sull’infrastruttura IT e di miglioramento continuo. Documento riservato - © CeTIF 2007 Pagina 32 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK 4.4.2 - Il Tableau De Bord per il controllo delle performance della Sicurezza (a cura di Value Team - VP Tech) Le problematiche relative alla sicurezza delle persone, degli asset materiali e immateriali, dei valori, dei servizi ai clienti e della continuità dei processi aziendali hanno assunto nel settore bancario una rilevanza strategica, sia in termini di contribuzione come costi e ricavi ai risultati d’azienda sia in relazione alla strategia di gestione del rischio operativo. Nella maggior parte degli Istituti Bancari di media-grande dimensione tale rilevanza ha condotto, dal punto di vista organizzativo, alla creazione di una Direzione aziendale dedicata alle tematiche di sicurezza, dotata di budget, visibilità, risorse e competenze distintivi e autonomi, contribuendo alla formazione di una nuova generazione di manager della sicurezza, operanti con modalità tipicamente manageriali di gestione degli investimenti con un’ottica di valutazione dei costi, dei rischi e dei benefici, in una logica di servizio e supporto verso le altre funzioni della banca deputate alla creazione di valore (linee di business, risk management) e alla fornitura di servizi (sistemi informativi, immobili, backoffice). In tale contesto di rinnovata gestione manageriale della sicurezza si colloca il Tableau de Bord della sicurezza, un cruscotto direzionale che consente una valutazione dei risultati rispetto agli obiettivi mediante la rilevazione di Key Performance Indicator comprensibili, significativi, comunicabili che consentano di soddisfare tre esigenze di informazione per il management: • controllo dei livelli di servizio forniti (ed eventualmente contrattualizzati) verso il resto della banca in relazione ad un set predefinito di servizi di sicurezza erogati; • controllo delle fattori critici di successo e dei risultati ottenuti all’interno della sicurezza in relazione a standard definiti di performance; • controllo della contabilità analitica della sicurezza in termini di risorse utilizzate, attività svolte, costi sostenuti, etc. Il Tableau de Bord consente di soddisfare in tal modo l’esigenza di comunicazione verso il management delle differenti direzioni della banca interessate alla sicurezza e, al contempo, di soddisfare l’esigenze di conoscenza del management specifico della sicurezza la fine di migliorare nel tempo il rapporto costi-benefici-rischi legati agli investimenti di sicurezza. L’ideazione, la progettazione, la realizzazione e la manutenzione di un Tableau de Bord della sicurezza seguono una impostazione metodologica che, partendo dalla consapevolezza e dall’identificazione delle basi dati informatiche (strutturate e documentali) disponibili all’interno della sicurezza, conduce alla progettazione di un datawarehouse centrale sul quale convergere tutte le informazioni di interesse e sul quale costruire, mediante tecniche di data mart e business intelligence, un sistema di calcolo, navigazione e presentazione degli indicatori di prestazione che si vogliono misurare e monitorare nel tempo. Documento riservato - © CeTIF 2007 Pagina 33 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK La figura riporta, a titolo di esempio, lo screenshot di un Tableau de Bord della Sicurezza. Figura 6 – Tableau de Bord Fonte: VP Tech 2007 In sintesi, la sicurezza è un fattore di attenzione (e preoccupazione) a tutti i livelli direzionali della banca e che, quindi, richiede un preciso sistema di misurazione. Impostare una governance della sicurezza significa prima di tutto definire un processo che, per essere efficace, deve produrre informazioni significative e utilizzabili dal management al fine di sviluppare una visione unitaria ed integrata sullo stato della Sicurezza in azienda. Il Tableau de Bord può essere uno strumento che contribuisce al conseguimento di risultati significativi se è progettato in funzione delle reali esigenze aziendali. 4.4.3 – Sicurezza dei Sistemi (a cura di Net Solving) Lo studio della sicurezza in tutti i suoi molteplici aspetti, oltre a basarsi su tecnologie evolute e sul rispetto dei requisiti dettati dalle normative internazionali, pone al centro l’implementazione di un processo strutturato secondo una logica di competenze e responsabilità. E’ proprio la sinergia di questi fattori, tecnologia, compliance e organizzazione che può offrire i risultati attesi per l’implementazione di un servizio posto in sicurezza. Conosciamo ed utilizziamo già oggi molte tecnologie a supporto della sicurezza Firewall, Proxy, Password, Single Sign On, …. Queste da sole, pur garantendo ognuna il corretto e conforme svolgimento delle proprie funzioni, non bastano ad adempiere a quelli che sono considerati i requisiti essenziali di sicurezza per la gestione di Reti e Sistemi. Documento riservato - © CeTIF 2007 Pagina 34 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK Il processo da mettere in atto è più esteso e non deve coinvolgere soltanto le strutture IT, chiamate in causa nelle scelte tecnologiche, ma estranee alle linee guida organizzative delle quali saranno oggetto eventualmente come utenti. Un modello largamente utilizzato in ambito interbancario vede la separazione netta dei tre attori in campo: • Applicazioni • Apparati di sicurezza • Team di Sicurezza Figura 6 – Architettura di Sicurezza Fonte: Net Solving 2007 La tecnologia, ponendosi al centro delle due aree di competenza consente una separazione di competenze funzionali: • il team di sicurezza dispone degli strumenti necessari per garantire l’integrità e la confidenzialità dei dati, anche attraverso l’utilizzo di tecniche di Splitting Knowledge e Dual Control che per loro definizione si basano su un processo organizzativo • l’applicazione utilizza delle interfacce “sicure” per ottenere la disponibilità dei dati. In un contesto come quello indicato questi fattori garantiscono il corretto utilizzo degli strumenti di pagamento (ad esempio Carte di Debito e di Credito su terminali ATM e POS Documento riservato - © CeTIF 2007 Pagina 35 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK fisici o virtuali) indipendentemente dal canale utilizzato per eseguire la transazione (reti e sistemi differenti). Stesso approccio, descritto nell’esempio precedente, potrebbe essere adottato nella definizione di una politica di accesso tramite verifica delle impronte biometriche. Ciò a dimostrare che non sono le singole componenti a garantire la sicurezza ma un complesso di regole e tecnologie guidate da una politica di organizzazione e controllo. 4.4.4 - Soluzioni tecnologiche innovative per la sicurezza dell’accesso alle risorse IT (a cura di Alcatel-Lucent) Per rispondere alle esigenze di sicurezza che interessano con sempre maggiore intensità le istituzioni finanziarie è opportuno adottare un approccio esteso e completo, che investa la strategia globale, le attività rivolte all’interno della propria organizzazione, lo sviluppo di soluzioni per gli utenti. Ai fini della strategia sono fondamentali le collaborazioni con organizzazioni pubbliche e imprenditoriali e la partecipazione alle attività degli organi internazionali di standardizzazione e delle community per la sicurezza. Figura 7 – Approccio alla sicurezza Fonte: Alcatel-Lucent 2007 L’approccio globale verso la sicurezza deve pertanto essere alla base della progettazione e sviluppo di tutte le soluzioni tecnologiche, al fine di assicurare piena conformità a tutti i requisiti di sicurezza. A tale scopo sono di fondamentale importanza: • la visione globale delle reti - convergenza fisso/mobile/satellite, sviluppo soluzioni end-to-end, reti fornite con sistemi di supervisione e gestione; • la sicurezza come parte integrante di tutte le soluzioni - intrinseca a livello di apparati, reti e sistemi; • il concetto di “ecosistema della sicurezza” - la visione di un ambiente multivendor, basato su soluzioni standard e interoperabilità, in cui la sicurezza si trasforma in un Documento riservato - © CeTIF 2007 Pagina 36 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK processo proattivo, di continuo miglioramento, integrato nelle normali attività operative ed economicamente sotto controllo; • la gamma completa di soluzioni dedicate alla sicurezza — sistemi, servizi professionali, centri operativi — per un ecosistema concreto e reale. Nell’ambito di questo ultimo framework, si sono evidenziate importanti innovazioni nelle tecnologie per la sicurezza dell’accesso fisico alle risorse IT, sempre più vicine ed integrate con la sicurezza logica, come per esempio le soluzioni per il presidio di furti, danneggiamenti e accessi non autorizzati ai laptop aziendali e ai dati in essi contenuti. Al crescente numero di addetti che operano in mobilità corrisponde infatti un impiego sempre più consistente di laptop da parte delle aziende, con gli inevitabili rischi che ciò comporta. Ogni anno si verificano numerosi furti e smarrimenti di laptop aziendali, molti dei quali contenenti informazioni riservate. Secondo una recente ricerca condotta dal Ponemon Institute — un istituto di ricerca indipendente — l’81% delle aziende intervistate hanno ammesso la perdita o il furto di almeno un laptop contenente dati sensibili nei 12 mesi precedenti. Per rispondere a questa crescente preoccupazione delle imprese, sono stati sviluppati sistemi di sicurezza innovativi che permettono alle aziende di gestire i laptop in dotazione ai propri addetti in qualunque momento, luogo e persino quando il computer è spento. Tra i più efficaci una piattaforma wireless 3G sicura e always-on che — mediante una semplice scheda PCMCIA da inserire nei laptop — consente agli enti IT delle aziende di monitorare, gestire e localizzare un PC portatile da remoto, ed eventualmente intervenire per la messa in sicurezza di dati confidenziali nel malaugurato caso venga perso o rubato. Grazie a download gestiti a distanza di patch e aggiornamenti software, interventi in tempo reale in risposta a minacce per la sicurezza e maggiore semplicità per gli utenti finali, questa soluzione migliora la produttività, la conformità alle norme di sicurezza IT e la continuità di business delle aziende, i cui dipendenti sono sempre più spesso fuori sede. In tal modo, tutti i PC portatili di un’azienda diventano parte di un'unica affidabile rete di sicurezza, a prescindere da dove si trovano fisicamente. Documento riservato - © CeTIF 2007 Pagina 37 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK CeTIF Università Cattolica del Sacro Cuore Largo Gemelli, 1 - 20123 Milano Tel. + 39 02 72342590 Fax. + 39 02 43980770 E-mail: [email protected] www.cetif.it Documento riservato - © CeTIF 2007 Pagina 38 di 39 Informational Risk and Security Governance CeTIF TECHNOLOGY OUTLOOK Documento riservato - © CeTIF 2007 Pagina 39 di 39