Un monitoraggio discreto sulle applicazioni

Per ottenere i dati necessari al tracciamento delle operazioni bancarie, come previsto dal nuovo provvedimento del Garante per la privacy, la sfida tecnologica e i costi non sono da sottovalutare. Ma si può anche non riscrivere il codice delle applicazioni. Il proporsi come una "sonda non invasiva" per monitorare l’utilizzo delle applicazioni è la chiave di volta dell’esclusività della soluzione Attachmate. Nella foto Roberto Castrioto, responsabile in Italia della business Unit Attachmate.

Pubblicato il 18 Ott 2011

p28-castrioto

Trenta mesi a partire dal mese di giugno 2011 (quando il provvedimento del Garante in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie è stato pubblicato sulla Gazzetta Ufficiale) potrebbero sembrare tanti. Un lasso di tempo tale da non mettere necessariamente in ansia i responsabili delle compliance e dei sistemi informativi delle banche che devono adottare le misure previste dall’Autorità per garantire che i dati personali della clientela non possano essere oggetto di accessi indebiti non solo per azioni dispositive, ma anche per scopi di consultazione e successiva comunicazione a terzi. “In realtà – sottolinea Roberto Castrioto, responsabile in Italia della business Unit Attachmate del colosso The Attachmate Group –il provvedimento richiede alle banche uno sforzo di monitoraggio che in passato non era previsto e che comporta importanti sfide tecnologiche. Certo, in alcuni casi potrebbero bastare gli strumenti già esistenti, ma in molti altri sarà necessario inventare qualcosa di nuovo o… riscoprire l’acqua calda. Ovvero sviluppare qualcosa di analogo a quanto già implementato per l’attività dispositiva anche per la parte di interrogazione. Ma occorre tener conto che spesso parliamo di applicazioni scritte venti anni fa in Cobol e su cui risulta complesso intervenire. I nostri strumenti, invece, si propongono come una sonda nelle applicazioni che evita la necessità di scrivere del codice ad hoc. Questa è la chiave di volta della nostra soluzione al problema dell’ottemperanza al nuovo provvedimento del Garante della privacy”.
In teoria la soluzione più logica sarebbe che le stesse applicazioni producessero i dati da registrare sui log previsti dal Garante fra le misure da adottare. Registri in cui vanno memorizzate tutte le operazioni di consultazione con il codice identificativo dell’incaricato del trattamento, la data e l’ora di esecuzione, il codice della postazione utilizzata, il codice del cliente interessato e la tipologia di rapporto contrattuale del cliente a cui riferisce l’operazione. Ciascun file va conservato per un periodo non inferiore ai 24 mesi dalla data della registrazione. Un problema è che le applicazioni su cui possono essere effettuate questo tipo di applicazioni sono molto spesso eterogenee per età, linguaggio di sviluppo, architettura di implementazione. Impensabile, in molti casi, rimettere mano a tutto il codice. “La nostra proposta – spiega Castrioto – consente di monitorare l’utilizzo di applicazioni di vari tipi, da quelle in emulazione di terminale a quelle Web fino a quelle che prevedono un’interfaccia con un database relazionale. Inoltre, non deve essere installato nulla sul client dell’utente, in quanto le informazioni sono prelevate dalla rete”.

Un occhio discreto
L’idea di Attachmate è stata quella di sviluppare una soluzione (Luminet) che, come una sorta di videoregistratore, cattura anche ogni singola operazione di inquiry, la registra come se fosse un fotogramma e consente di ricercare e visualizzare, come se fossero una parte di un filmato, tutti i passi compiuti in un certo periodo da un incaricato al trattamento. Sempre per usare una metafora, è come se si rendesse possibile risalire ai singoli utilizzi di un’applicazione attraverso una ricerca simile a quelle possibili con Google e YouTube. Viene spontaneo, a questo punto, pensare a un’analogia alle telecamere che vengono installate sui luoghi di lavoro (per rilevare possibili accessi non autorizzati e non per controllare i dipendenti), con tutti i conseguenti problemi a livello di tutela della privacy dei dipendenti e di rispetto dei diritti dei lavoratori. “A differenza delle telecamere – interviene Castrioto – i nostri strumenti non memorizzano tutto quello che fa un dipendente, ma solo l’accesso alle applicazioni contenenti dati personali della clientela. Non registrano l’utilizzo di altri programmi presenti sul pc, come per esempio il web browser o il client di posta elettronica. Nella maggior parte dei casi, registrano solo le attività svolte con applicazioni che utilizzano la classica interfaccia a caratteri verdi. Questo non significa che, come per tutti i sistemi il cui impiego in qualche modo finisce per essere preso in considerazione dal Garante della privacy, non debba essere prodotta un’adeguata informativa ai dipendenti e, in certi casi, anche all’Ispettorato del lavoro. Non basta, insomma, una semplice circolare appesa in bacheca”.

Rapporto con altri strumenti di security
La protezione dei dati e delle applicazioni, in questi anni, è stata oggetto di numerose innovazioni nell’ambito della tecnologie di It security. Non è possibile che gli stessi obiettivi perseguiti con la soluzione Attachmate possano essere ottenuti anche con altre soluzioni già adottate per motivi diversi dal provvedimento del Garante? “I nostri strumenti – risponde Castrioto – non si limitano a registrare su un database i log in e i log out dalle applicazioni, così come già imposto da altre normative più vecchie del Garante. Non sono in sovrapposizione con i Siem (Security Information and Event Management), gli Ids (Intrusion Detection System), i firewall o i sistemi Dlp (Data Loss Prevention). Svolgono un’attività realmente specializzata. Li vediamo come complementari con gli altri strumenti di security per coprire le prescrizioni previste nel provvedimento del Garante”. Infine non richiedono nemmeno grandi investimenti in nuove infrastrutture, come per esempio in risorse storage: “I dati a carattere provenienti dalle applicazioni in emulazione di terminale vengono compressi – spiega Castrioto -. Nella cattura delle videate di tipo web è possibile non registrare le immagini. I dati da archiviare, insomma, non sono tali da mettere in crisi le risorse già esistenti”.
Il provvedimento del Garante si occupa solo degli accessi effettuati dai dipendenti delle banche titolari di trattamento dei dati personali o delle società di outsourcing designate come responsabili di trattamento. Non contempla, insomma, gli accessi dall’esterno, come possono essere, per esempio, quelli effettuati direttamente dai clienti in ambito di home banking. Vi è già qualche responsabile compliance o It bancario che si chiede se, in futuro, un tipo di tracciamento del tipo previsto dalla nuova normativa possa essere esteso anche all’online banking. Secondo Castrioto, gli strumenti Attachmate sono già pronti a mettere in sicurezza anche questo tipo di consultazioni, fatta salva la necessità di fornire un’opportuna informativa ai clienti.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati