Le best practice della cybersecurity 2020

Le best practice della cybersecurity 2020

Le best practice della cybersecurity 2020

Quali sono state le lezioni apprese durante l’emergenza Covid19 e quali saranno i percorsi evolutivi per il programma di Cyber Risk Management? ne parliamo in questa intervista con Giampiero Raschetti, CISO di Banca Popolare di Sondrio, che su questi temi interverrà nel corso del Tavolo di Lavoro “Le best practice della Cybersecurity 2020“, durante il DIGITAL ITALY SUMMIT 2020, il prossimo 20 ottobre 2020. 

TIG. Quali sono state per voi le principali sfide sul fronte della sicurezza nel periodo dell’emergenza Covid19?

Giampiero Raschetti. Il nostro obiettivo è stato quello di creare le condizioni abilitanti e sicure per diversi profili operativi in smart working: quando è iniziata l’emergenza avevamo, fortunatamente, già servizi di accesso remoto molto evoluti ed ampiamente utilizzati in azienda. In particolare, nell’area IT l’utilizzo di servizi di accesso remoto per il supporto e lo sviluppo da parte dei nostri collaboratori aveva richiesto da tempo la predisposizione di adeguati sistemi di sicurezza in grado di rispondere a diverse esigenze operative.

Nel momento dell’emergenza, è stato quindi più semplice per noi creare nuove profilazioni dedicate, ed ampliare, in modo sicuro, il numero di utenti in smart working tenendo conto delle nuove diverse esigenze. Va detto che non è stato sempre semplice o possibile portare in remoto alcune attività operative normalmente svolte nelle filiali. Poiché non tutti gli aspetti di interazione con i clienti erano trasponibili, abbiamo mantenuto una presenza ridotta in alcune filiali, e limitato l’accesso dei clienti attraverso la prenotazione delle visite. Dove invece è stato possibile remotizzare il lavoro (ad esempio gestire pratiche di credito o di mutuo, o altre attività di back office) questo è stato fatto predisponendo specifici profili, in modo che potessero lavorare da remoto solo su attività d’ufficio ordinarie, eliminando invece le possibilità di effettuare qualsiasi tipo di operazione dispositiva da casa per contenere tutti i potenziali rischi associati ad eventuali utilizzi impropri dei servizi interni.

TIG. Le soluzioni di sicurezza che avevate progettato in precedenza sono risultate adeguate anche durante il periodo del lockdown?

Giampiero Raschetti. Avevamo da poco esteso a tutti gli utenti autorizzati, l’obbligo di autenticazione a doppio fattore (2FA) per accedere al servizio di accesso remoto tramite VPN, anche in ottemperanza ai requisiti EBA ricompresi nelle norme PSD2 per il lavoro da remoto, risolvendo i diversi problemi organizzativi correlati. Va sottolineato come sia stato anche di grande aiuto nell’operatività da remoto avere già pronto un sistema di remotizzazione degli interni telefonici, con il quale è stato possibile, in breve tempo, rendere raggiungibili in remoto i numeri telefonici interni fissi. Questo ha risolto molti problemi operativi e garantito massima trasparenza, riducendo molte differenze tra il lavoro da casa o in ufficio. Durante tutto il periodo, le nostre infrastrutture hanno garantito senza problemi l’operatività di tutti gli utenti e la raggiungibilità dei servizi. In particolare, inoltre, durante il periodo dell’emergenza, le Autorità di Viglianza ci hanno richiesto precisi aggiornamenti periodici settimanali per rendere conto circa l’andamento dell’operatività dalla banca, tra i quali anche l’adeguatezza dei servizi dedicati allo smart working, il monitoraggio della banda disponibile, delle risorse e degli utenti attivi in questa modalità. Controlli rigorosi dunque che hanno confermato la mancanza di criticità in questo ambito.

TIG. Cosa avete quindi imparato da questa esperienza?

Giampiero Raschetti. Abbiamo appreso che, con il supporto delle attuali tecnologie, si può riuscire a lavorare da casa in molte circostanze, e se nell’IT eravamo già abituati a pensare in questo modo, ora questo possibile approccio è più chiaro anche su altri livelli, dove fino a ieri non era assolutamente preso in considerazione. Abbiamo verificato in concreto che per tutte le attività di tipo ordinario, non ci sono particolare criticità dal punto di vista tecnico, se svolgerle in ufficio o altrove. Invece, quello che non si può trascurare è l’effetto della mancanza di rapporti personali: se tutte le persone lavorano da remoto, si creano delle distanze che, a lungo termine, possono avere anche ripercussioni importanti.

Anche a livello di nuove iniziative, vanno avanti quelle legate a necessità esplicite, magari di natura normativa mentre su quelle legate a proposte interne, abbiamo visto un sensibile calo nell’ultimo periodo.

TIG. Entrando nel merito del vostro programma per la cybersecurity, come evolverà nel prossimo periodo?

Giampiero Raschetti. Il nostro approccio è sempre stato quello di dare priorità ad aspetti di natura organizzativa: siamo attenti alle best practice, vicini al mondo delle certificazioni, ci siamo dotati di un framework di sicurezza molto articolato sia dal punto di vista tecnico che organizzativo, anche in risposta a precisi requisiti di natura normativa. Con riferimento alla gestione dei rischi IT, siamo organizzati in modo molto articolato, con uno specifico comitato tecnico in grado di rispondere ad esigenze specifiche, nelle 5 principali dimensioni del rischio ICT definite da EBA: la sicurezza, la continuità operativa, l’integrità dei dati, i rischi associati al change e quelli associati all’esternalizzazione. Il comitato tecnico riunisce tutte queste competenze con lo scopo di attuare una gestione dinamica del rischio, realizzando di fatto un solido sistema di gestione nello spirito della così detta risk based security.

Con questo modello, a fronte di incidenti, nuove minacce o vulnerabilità vengono analizzati e proposti nuovi controlli di natura organizzativa e/o tecnica. Oggi collaboriamo anche con numerose realtà esterne, con il CERTfin nazionale ad esempio scambiamo informazioni utili ai fini dell’operatività. Il tema più critico per la cybersecurity è che gli eventi sono in rapidissima evoluzione, non solo minacce e vulnerabilità ma anche i servizi, sono sempre più veloci e richiedono quindi una tempestività della risposta. Da questo punto di vista, una debolezza grave è quella che ancora frena una “sicurezza di sistema”, servirebbe semplificare le situazioni di collaborazione quando si verifica una frode, quando è necessario sbloccare o recuperare un importo: succede che dove sono coinvolti altri attori o altre banche ci possano essere delle situazioni critiche. Servizi dispositivi recentemente disponibili come instant payment, o bonifici istantanei, possono rappresentare un grosso problema se utilizzati in modo malevolo per sottrarre fondi. Sarebbe opportuno rivedere e/o adeguare un quadro normativo comune per agevolare e facilitare interventi tempestivi indispensabili in queste circostanze.

INTERVISTA CON:

GIAMPIERO RASCHETTI,

CISO di Banca Popolare di Sondrio

 

A CURA DI:

Elena Vaciago,

Associate Research Manager, The Innovation Group