Il periodo dell’emergenza da Covid19 è stato per molti il momento in cui verificare (con uno stress test massivo) quale sarebbe stato il livello di resilienza aziendale, sul fronte di processi, persone e infrastrutture IT. Parlando di sicurezza, i responsabili di questo ambito hanno dovuto garantire, in tempi rapidissimi, il funzionamento e la conformità agli standard interni di un nuovo modello operativo basato sul distanziamento sociale di grandi numeri di persone. Come è stata affrontata l’emergenza e cosa abbiamo imparato? Come guardare al futuro con una nuova consapevolezza e una maggiore tranquillità, avendo sviluppato ulteriori competenze e – ove richiesto – un upgrade tecnologico? E dove bisognerà ancora concentrarsi e innovare ulteriormente nel prossimo periodo? affrontiamo questi temi con Fabio Gianotti, CSO di UBISS.
TIG. Come è stata affrontata l’emergenza? I sistemi informativi della Banca erano pronti a sostenere una forza lavoro collegata in gran parte da remoto?
Fabio Gianotti. Il nostro vantaggio è stato che in effetti la Banca era già preparata: avendo per sua natura molti vincoli legati alla compliance a normative forti, la resilienza e la sicurezza dei processi sono da sempre una priorità, per cui l’operatività sicura da remoto era già possibile. Ad esempio, per il nostro SOC abbiamo una soluzione ibrida, per cui il 75% della workforce dedicata aveva già la possibilità di accedervi da remoto più giorni alla settimana. Anche tutto lo sviluppo del software è stato fortemente contaminato da aspetti di sicurezza negli ultimi anni. Questa forte informatizzazione ci ha permesso di mettere in piedi, in sole 2 settimane, oltre 10mila postazioni di lavoro virtuali (oltre quelle già date ai dipendenti). Siamo arrivati in breve a punte fino a 10, 15mila accessi, per metà in VDI e per metà con VPN. Ci è bastato quindi adeguare le licenze, e le infrastrutture erano già pronte e resilienti per sopportare tutto questo.
TIG. Nell’ultimo periodo, quello che ha preoccupato molti è stata la possibile vulnerabilità degli endpoint: qual è stata la vostra risposta?
Fabio Gianotti. Avendo adottato già quattro anni fa tutta la suite Office365, il cloud ci ha molto aiutato. Dal punto di vista della sicurezza, poi, da tre anni fruiamo di una soluzione CASB per la protezione degli accessi via API ai nostri servizi cloud.
Oggi tutti gli accessi alla intranet hanno una strong authentication con software token. Inoltre, sugli endpoint, tutti gli strumenti (antimalware, ecc.) permettono di tenere sotto controllo la situazione. Un ulteriore livello di sicurezza è quello che abbiamo aggiunto a settembre 2019, con una tecnologia israeliana di deception, grazie alla quale riusciamo ad effettuare una completa analisi comportamentale degli utenti, a replicare la CX del collega e a prevenire eventuali movimenti laterali, verificando che le attività siano quelle corrette. Questa soluzione che ci ha permesso di avere una notevole persistenza e capacità di prevedere la parte comportamentale: stiamo ora lavorando, per il futuro, a un concetto password less, ossia a un’autenticazione comportamentale, con schemi che vanno oltre rispetto alla realtà odierna di un oggetto per autenticarsi che l’attaccante può rubare.
TIG. L’utilizzo di tecnologie avanzate di questo tipo richiedono però un’elevata “maturità” dal punto di vista della completa digitalizzazione e ingegnerizzazione di tutti i flussi?
Fabio Gianotti. Assolutamente sì: nel nostro caso siamo partiti già da anni e ad oggi tutta la parte applicativa fruisce di un dato cifrato fino alle terze parti. Ossia, anche i fornitori che lavorano con noi devono seguire un nostro protocollo.
L’analisi comportamentale funziona bene se già avanti su questa strada, e ci insegna che non ci possiamo improvvisare: tutti i tasselli devono far parte di un framework, che nel nostro caso è quello del NIST. Il nostro piano strategico per la sicurezza del 2019 è entrato del resto a far parte integrante del piano industriale della Banca: un lavoro importante, che serve però a far capire bene cosa si può fare e cosa no.
TIG. Se quindi l’esperienza della pandemia vi è servita a confermare la bontà delle scelte effettuate in passato, quali sono le conclusioni dopo questo “stress test” e di conseguenza i piani per il futuro per la cybersecurity?
Fabio Gianotti. Le aziende enterprise hanno di default le infrastrutture necessarie per lo smart working, il tema è con che velocità si riesce a scalare. Noi avevamo già un modello per il lavoro da remoto, ma per adottarlo per tutti è servito soprattutto avere un piano di continuità operativa – che nelle banche è anche richiesto dalle norme. La pandemia è servita per noi a testare tutte le funzioni critiche dal punto di vista dell’operatività di remoto, allargando il perimetro della business resilience fino all’infrastruttura domestica. Questa esperienza poi ha fatto capire all’azienda che il perimetro aziendale è sempre più liquido e allargato: di conseguenza anche le minacce possono arrivare da più canali che prima non si consideravano. Oggi con la disponibilità per tutti di strumenti mobile, le persone si rendono conto di essere molto più produttive. L’approccio di cybersecurity ora deve essere di tipo “anti-fragile”, ossia basarsi su il concetto di analisi comportamentale e password less.
INTERVISTA A:
Fabio Gianotti,
Chief Security Officer di UBI Sistemi e Servizi
A cura di:
Elena Vaciago, @evaciago
Associate Research Manager, The Innovation Group