Iccrea Banca fa parte del Gruppo Bancario Iccrea e ha come scopo statutario quello di “rendere più completa, intensa ed efficace l’attività delle Banche di Credito Cooperativo (Bcc) sostenendone e potenziandone l’azione mediante lo svolgimento di funzioni creditizie, d’intermediazione tecnica e di assistenza finanziaria”. L’istituto è anche parte dell’infrastruttura qualificata del sistema dei pagamenti e svolge il ruolo di tramite operativo-contabile delle Bcc. I servizi Ict rappresentano quindi un aspetto fondamentale delle attività della banca. I rischi collegati all’esercizio di sistemi Ict sono di vario tipo: accanto ai tradizionali (e ovvi, data la natura finanziaria dei servizi) rischi legati alla confidenzialità e integrità dei dati, vi sono anche quelli derivanti dalla necessità di assicurare la continuità dei servizi e, più in generale, i rischi di conformità (compliance). Questi ultimi assumono un rilievo crescente, dato il complesso quadro legale e normativo nel quale l’istituto si trova a operare. “La gestione dei rischi in ambito bancario e finanziario – introduce Giancarlo Castorina, Chief Information Security Officer presso la Direzione Centrale Servizi di Supporto di Iccrea Banca (nella foto) – ha una lunga tradizione e trova oggi il suo riferimento nell’ambito del cosiddetto accordo di Basilea II tra le principali banche centrali a livello internazionale che rappresenta un framework di misurazione e controllo dei requisiti di capitale sulla base dell’identificazione e gestione dei rischi. Basilea II inserisce i rischi legati alla sicurezza all’interno dei cosiddetti “rischi operativi” e costituisce di certo un impulso per un’evoluzione della gestione dei singoli rischi Ict verso una visione più generale e integrata del risk management legato al trattamento delle informazioni. Non è secondaria, inoltre, la fondamentale iniziativa di stimolo portata avanti dagli organismi di vigilanza; ad esempio, sui temi legati alla continuità dei servizi, Banca d’Italia ha, sin dal 2004, emanato specifiche disposizioni cui il sistema bancario è stato tenuto a conformarsi, partendo proprio dalle necessarie valutazioni dei rischi e degli impatti sui servizi (Business Impact Analysis)”.
“Giudicando sufficientemente maturo il sistema realizzato (sia come architettura e gestione che come implementazione), Iccrea Banca ha nei mesi scorsi portato avanti un progetto di certificazione secondo lo standard BS 25999 (attualmente nella fase di accreditamento successiva alle visite ispettive di conformità) potendo verificare anche sul campo strategico la validità del proprio impianto”, spiega Castorina.
Primo passo: costruire un sistema di gestione della sicurezza
Risale al 2006 la decisione dell’istituto di dar seguito alla propria evoluzione nella gestione dei rischi legati all’information security avviando un processo di costruzione di un “sistema di gestione della sicurezza” (che culminerà con la certificazione ISO 27001 alla fine dell’anno) e, contestualmente, costituendo la funzione di Chief Information Security Officer, identificandone i compiti principali proprio nella gestione dei rischi, nell’assicurare strategie e architetture coerenti e nel raccordo delle varie iniziative in tema di sicurezza. Per migliorare l’interazione tra le varie aree dell’istituto, è stato istituito il Comitato Sicurezza e Continuità Operativa. Questa struttura, spiega Castorina, “rappresenta oggi il momento di condivisione degli obiettivi strategici in tema di sicurezza delle informazioni tra le varie funzioni di responsabilità, di business, di controllo e di gestione. La politica principale che si tenta di perseguire è quella di non nascondere l’inevitabile “conflitto d’interessi” tra esigenze di sicurezza ed esigenze di business, ma di svolgere il “business in sicurezza”, attraverso il coordinamento e la condivisione dei rischi. Si tratta ovviamente di un processo non facile, reso costantemente più arduo dalla velocità dell’evoluzione degli aspetti di business e dal quadro di riferimento normativo”. Una situazione che richiede anche sempre di più un approccio di tipo proattivo da parte di tutti quelli che si occupano di sicurezza, sia dal punto di vista Ict sia di processo. “La politica di “business in sicurezza” – conferma Castorina – si può realizzare solo individuando i requisiti generali di sicurezza e integrandoli sin dalle prime fasi di disegno e sviluppo dei nuovi servizi. L’approccio che cerchiamo di portare avanti è quello di disseminare nelle varie funzioni aziendali la cultura della sicurezza e della continuità operativa oltre che avere dei momenti di controllo e di verifica”.
L’importanza del fornitore: evitare di "aggiungere" ulteriori rischi
Dal punto di vista tecnico ed operativo, l’istituto ha poi dovuto “fare i conti” con la complessità delle problematiche d’information security in riferimento alla crescita dell’uso di Internet e di nuovi strumenti endpoint. “Internet ha ovviamente rappresentato (e rappresenta) una sfida continua per chi si occupa di sicurezza. Nonostante la maggior parte dei nostri servizi si svolga all’interno della rete interbancaria o dell’intranet di categoria, manteniamo alta l’attenzione sui presidi (che spesso sono organizzativi, oltre che tecnologici) sul nostro utilizzo d’internet (sia verso la clientela sia nelle interconnessioni con terze parti)”, spiega Castorina.
Secondo il manager di Iccrea l’evoluzione recente dei rischi Ict ha posto il problema di riuscire a integrare in modo migliore le tecnologie e le soluzioni già esistenti, sia di Iccrea sia di suoi corrispondenti. “Parlando di soluzioni tecnologiche, proprio a causa della crescente specializzazione, a nostro parere non esiste oggi “il” fornitore che possa offrire a 360° i livelli di eccellenza che ci sono richiesti (probabilmente il discorso sarebbe diverso per aziende con caratteristiche diverse dalla nostra), anche se uno degli aspetti, non secondari, che valutiamo è la storia e il grado di affidabilità della soluzione e del fornitore, il che spesso restringe il numero di opzioni disponibili”.
L’evoluzione recente del panorama dei fornitori d’information security, continua Castorina, ha reso tutt’altro che semplice il rapporto con i vendor. “Negli ultimi dieci anni il mercato della sicurezza ha visto un numero impressionante di acquisizioni che, se da un lato ha semplificato l’offerta, dall’altro ha avuto ripercussioni sulle soluzioni stesse, sotto gli aspetti di qualità e, in qualche caso, di supporto. La scelta di optare per i maggiori vendor (mantenendo alta l’attenzione sul rapporto qualità/prezzo) ci ha permesso però di limitare gli effetti negativi di questa fase del mercato. Oggi cominciamo ad intravedere un’offerta che si va stabilizzando e contiamo quindi di capitalizzarne gli effetti positivi nel futuro”.
Oggi Iccrea rappresenta una delle referenze più interessanti di Ca Italia per quanto riguarda le soluzioni di access control. Sul versante della sicurezza perimetrale il fornitore di riferimento è Checkpoint, mentre per la protezione dei client è Symantec.
Formazione: crescita graduale degli skill e tecnologie a supporto
A proposito del problema, spesso sottolineato dagli analisti, di gap negli skill necessari a supportare nuovi progetti d’information security, Castorina si dimostra piuttosto tranquillo.
E questo grazie alla filosofia adottata, all’apporto dei fornitori e alla propensione dell’istituto di investire nella formazione di tutto il personale. “L’introduzione di nuove tecnologie o di nuovi strumenti tecnologici – racconta il manager – prevede una contestuale formazione degli addetti interni. L’avvio dei progetti d’implementazione, poi, è portato avanti in collaborazione con consulenti esperti, per lo più partner dei fornitori. Questo ci assicura una crescita graduale delle competenze e offre una certa garanzia nel portare le tecnologie in produzione. Inoltre elaboriamo un piano di formazione basato sull’identificazione delle necessità, secondo il destinatario delle attività. L’idea è di costruire per ciascuna figura un curriculum di formazione appropriato. Elemento fondamentale rimane però l’aspetto dell’informazione e sensibilizzazione a largo raggio, con iniziative destinate a tutti i dipendenti, nell’ambito di un discorso formativo più generale portato avanti dalla nostra gestione del personale. A tal fine stiamo valutando l’utilizzo di strumenti di e-learning, sia per il deployment dei moduli formativi sia per facilitare la gestione dei percorsi individuali”.
Per quanto riguarda, infine, il ricorso all’outsourcing per la gestione delle problematiche di sicurezza in toto o in maniera selettiva, il Cio di Iccrea dice: “Non escludiamo a priori di poter esternalizzare alcune attività specifiche in tema di controlli di sicurezza ma è evidente che, al di là di valutazioni economiche sempre presenti, ci poniamo l’obiettivo di valutare complessivamente l’efficacia e l’efficienza delle attività; da questo punto di vista, l’outsourcing presenta spesso costi nascosti”. Studio di policy di sicurezza, monitoraggio dell’efficacia dei controlli, reportistica, eventuale benchmarking sono argomenti, invece, che Castorina ritiene vadano trattati internamente. “Sono compiti della funzione di sicurezza delle informazioni – puntualizza – e riteniamo che si tratti di attività così fortemente legate agli aspetti organizzativi interni che non possano essere con facilità delegate all’esterno mantenendo quella connotazione di applicabilità interna senza le quali rischiano di diventare (o rimanere) un, pure apprezzabile, esercizio teorico”.
Quali sfide future?
“Dal punto di vista di architettura – dice Castorina – prevediamo di dover affrontare in maniera organica architetture basate sulla Soa (web-services) e le tematiche di federation”.
“I temi di compliance impongono poi una nuova visione del monitoraggio, una sua estensione a largo raggio e una forte capacità di sintesi. Sugli aspetti architetturali cercheremo di operare preventivamente in modo da arrivare preparati agli appuntamenti che ci attendono”. E da cui potranno trarre vantaggio gli obiettivi di business delle centinaia di banche di credito cooperativo sparse sul territorio nazionale e dei loro clienti.
