È terminato, con la quarta Tavola Rotonda tenutasi in aprile a Milano, il percorso di confronto “Quale It security in banche e assicurazioni” realizzato da ZeroUno in collaborazione con Akamai. Con l’ultimo incontro si è cercato di “chiudere il cerchio” affrontando il tema “Come impostare una strategia di security per banche e assicurazioni”. Il panel era composto, oltre che da Stefano Uberti Foppa, direttore di ZeroUno e da Riccardo Zanchi, Partner NetConsulting, da alcuni manager provenienti dal mondo assicurativo e bancario, e da due rappresentanti di Akamai.
Stefano Uberti Foppa, direttore di ZeroUno“Nel primo incontro – introduce Uberti Foppa (ZeroUno) – ci siamo chiesti come si potessero mettere in atto delle prime risposte nei confronti del cybercrime; nel secondo abbiamo provato a identificare un modello di cloud sicuro e compliant per questi settori; nel terzo abbiamo affrontato la tematica della web experience, domandandoci come trovare una giusta mediana fra gli obiettivi di accessibilità e migliore esperienza d’uso da parte dei clienti e le esigenze di sicurezza delle banche e assicurazioni; con quest’ultima tavola rotonda cerchiamo di riassumere quali possono essere i punti primari di una strategia di It security in questi due settore, le criticità da condividere con gli altri stakeholder aziendali e gli errori da evitare”.
Il quadro di riferimento dalla survey
Riccardo Zanchi, Partner NetConsultingPrima di addentrarsi nella discussione, Zanchi (NetConsulting), illustra i risultati di un’indagine ZeroUno/NetConsulting fra aziende bancarie-assicurative (raggruppate sotto la definizione Finance) e di altri settori, condotta nel periodo luglio-ottobre 2014. “La survey – spiega l’analista – è stata effettuata su un campione di circa 50 aziende, delle quali più della metà banche e assicurazioni. Da parte del finance, e soprattutto nelle banche, è emerso con chiarezza come la minaccia più sentita siano le frodi finanziarie. Da parte degli altri settori, è più avvertito il rischio di furto dei dati sensibili”. Altri tipi di minacce incluse nella graduatoria sono gli attacchi volti a limitare o bloccare la funzionalità dei siti o sistemi web dell’azienda rivolti ai clienti, la vulnerabilità degli end point aziendali, il sabotaggio e il furto di proprietà intellettuali. “La presenza di Cso (chief security officer) – continua Zanchi – si riscontra solo nel 50% delle aziende finance e nel 33,3% in quelle di altri settori. Laddove non è previsto un Cso, le problematiche della sicurezza It sono delegate alle direzioni sistemi informativi, in cui possono non essere presenti quelle competenze specifiche in sicurezza”. Quanto agli investimenti in It security, il partner di NetConsulting nota come quasi il 40% delle imprese destini fra i 5 e il 25% del budget It al contrasto dei rischi alla sicurezza e che il 45% delle aziende di questo settore intervistate abbiamo previsto di aumentare l’incidenza di questa voce nel 2015 rispetto al 2014. Negli altri settori entrambi i valori sono leggermente inferiori.
Riguardo all’efficacia delle strategie di security, Zanchi prende come esempio quello delle contromisure contro gli attacchi DDoS (Distributed Denial of Service). Da un confronto fra risposte quali numerosità degli attacchi subiti nell’ultimo anno, loro dimensione in termini di traffico generato, capacità di misurazione e soluzioni di risposta automatizzata, emergono situazioni molto diverse fra il finance e gli altri settori, ma emerge comunque, sottolinea l’analista, “l’assenza di una chiara sensibilità nei confronti di questa minaccia”. Ancora non abbastanza maturo è l’approccio alla security nel contesto cloud: “Per quanto non nuovo – dice Zanchi – questo tema continua a rimanere molto contrastato. Solo metà scarsa delle aziende finance utilizza infatti servizi in cloud”. Per l’esattezza si tratta del 48%, percentuale poco superiore al 47,3% rilevata negli altri settori. Il 16% dei rispondenti ha però dichiarato di voler adottare servizi cloud nell’anno in corso” (solo 8,7% negli altri settori).
Strategie e criticità principali
Marco Cozzi, responsabile sistemi informativi Hypo Alpe Adria BankDal confronto fra i rappresentanti di banche e assicurazioni presenti alla Tavola Rotonda emerge come la sicurezza sia un tema affrontato sempre più all’inizio dei nuovi sviluppi di applicazioni e architetture. Marco Cozzi, responsabile sistemi informativi Hypo Alpe Adria Bank: “I progetti adesso sono pensati con un framework che prevede la security già in fase iniziale”. Gli fa eco Demetrio Migliorati, head of Enterprise Digital Organization Banca Mediolanum: “La security è sentita come elemento significativo e non accessorio fin dall’inizio dell’asse dei tempi di un nuovo progetto It”.
Demetrio Migliorati, head of Enterprise Digital Organization Banca MediolanumLa previsione dei rischi di violazioni fin dall’inizio nelle nuove iniziative, però, non è sufficiente. “Il cybercrime è sempre il primo a utilizzare le tecnologie più innovative – sostiene Migliorati -. Dobbiamo puntare anche sulla formazione delle persone per essere pronti a prevenire i nuovi attacchi almeno dal punto di vista mentale”.
Simone Bosetti, chief operating officer di April ItaliaSe sulla necessità di training dell’utente sono tutti d’accordo, più sfumate sono le opinioni su come effettuare l’assessment dei rischi e su quali siano le organizzazioni migliori per contrastarli. Nel corso del dibattito emerge l’utilità di ricorrere a team esterni di ethical hacking, organizzazioni che mettono alla prova i sistemi dei clienti per aiutare a definire meglio le loro strategie di sicurezza. “È una strada molto interessante – sostiene Simone Bosetti, chief operating officer di April Italia – ma penso che, mentre è relativamente facile trovare team in grado di individuare i rischi ad ampio spettro, sia più difficile ingaggiare esperti in hacking applicativo, che richiede competenze sui processi dei singoli settori verticali”. La collaborazione con entità esterne – in un modo o in un altro – è vista come un must da parte di tutti gli intervistati. “Comunque, al di fuori dell’azienda – sostiene Cozzi – è più facile trovare esperti in sicurezza, anche su temi verticali. Noi, peraltro, stiamo valutando anche la possibilità di associarci a enti come il Clusit, dove poterci confrontare con altre realtà al fine di sviluppare soluzioni di It security più globali”.
Paolo Bufarini, security specialist AkamaiIl ricorso a professionisti e strutture esterne è apprezzato da Paolo Bufarini, security specialist Akamai: “Se il budget lo consente, tutti dovrebbero cercare servizi o know how all’esterno. Ci sono organismi in grado di fornire competenze intersettoriali difficili da sviluppare all’interno di una singola azienda. Un esempio in ambito bancario è Abi Lab. In altri paesi, come ad esempio la Turchia, entità di questo tipo non solo forniscono linee guida, ma effettuano audit ed erogano sanzioni nei casi di inadempienza”.
Alessandro Begani, It business and system analyst di Liguria Società di AssicurazioniSe nel settore banking, finora la pressione degli organismi di categoria non è stata ancora sufficiente per fare adottare un approccio più strategico all’It security, ancora peggio è andata nel mondo assicurativo: “Nell’It security – spiega Alessandro Begani, It business and system analyst di Liguria Società di Assicurazioni – le banche sono un passo avanti a noi, perché nelle assicurazioni la maggior parte dei flussi di informazioni e transazioni ha sempre utilizzato canali più tradizionali. Ma adesso l’Ivass ha iniziato a spingere verso una maggiore digitalizzazione dei processi e l’adozione di livelli di sicurezza analoghi a quelli delle banche”.
Alessandro Livrea, major account executive di AkamaiMaggiore digitalizzazione significa oggi più web, cloud e mobile. Con l’ampliamento dei servizi e dei canali digitali, la necessità di ricorrere a infrastrutture cloud per supportarli, e il conseguente aumento della superficie d’attacco per i cybercriminali, sempre meno le banche e le assicurazioni potranno pensare di gestire la sicurezza It solo dal loro interno. Prima di tutto per impossibilità di prevedere e individuare tutte le nuove tecniche di hacking. “In tutti i settori – fa notare Alessandro Livrea, major account executive di Akamai, “notiamo uno sbilanciamento dell’attenzione verso le minacce più note, come le frodi finanziarie nelle banche. Oggi, per esempio, i DDoS non sono molto temuti dalle banche, ma invece sono una tecnica sempre più utilizzata per deviare l’attenzione e perpetrare altri tipi di traffici e attacchi”. Chi offre, come per esempio Akamai, servizi di security in the cloud, ha una visuale e una possibilità di analisi più ampia e tempestiva delle minacce. “Noi – sottolinea Livrea – possediamo la più vasta rete di server e quindi di sensori delle problematiche di sicurezza del mondo. Non per niente riusciamo a pubblicare un rapporto trimestrale sullo stato della sicurezza globale e si rivolgono a noi le principali banche del mondo”.
Integrando risorse di questo tipo con il lavoro degli esperti interni alle aziende- che conoscono i processi di business dell’impresa – aumentano la propria cultura partecipando a diversi tipi di community e fanno formazione verso i propri utenti; diventa così più facile e sostenibile contrastare i rischi e allo stesso tempo sfruttare più a fondo le opportunità offerte dalle innovazioni Ict e di business.
