Attivazione dei filtri per accesso ad Internet tramite il proxy server

Utilizzo delle risorse disponibili sulla rete Internet a supporto dei processi bancari limitando i rischi connessi. Semplificazione dei sistemi di autenticazione.

0017.04

1999

Sintesi del progetto

Tramite l’utilizzo di un web cache proxy server è stato possibile regolare l’utilizzo delle risorse disponibili sulla rete internet in modo da permettere l’accesso ai soli siti che erano di supporto all’operatività bancaria, limitando il rischio di contaminazione da virus o di altre minacce e rischi per l’azienda. Il sistema di autenticazione in Single Sign On con il dominio di rete ha semplificato l’operatività degli utenti e garantito maggiore sicurezza. Selezione dei contenuti disponibili su internet di interesse e supporto ai processi della banca e collegamento degli stessi nella intranet aziendale.

Riconoscimenti

A partire dagli anni ’90 la rete internet ha sempre di più rappresentato una risorsa importante a supporto dei processi aziendali. Come noto però, insieme alle opportunità, Internet è anche una fonte di minacce, in particolar modo sul fronte della sicurezza informatica, e fonte di distrazioni.

In un primo tempo, gli accessi ad Internet avvenivano da un unico PC del centro elaborazione dati, tramite una connessione su linea ISDN e un modem dedicato.

Successivamente la connessione ad Internet fu resa disponibile dal centro servizi regionale, il Cedecra, attraverso la rete WAN aziendale e l’accesso ad Internet divenne tecnicamente possibile da ogni Personal Computer della banca, compresi quelli delle filiali.

Tramite la connessione offerta da Cedecra gli accessi ad Internet erano filtrati da WebSense, uno strumento che consentiva di bloccare gli accessi a tutti i siti appartenenti ad una black list costantemente mantenuta aggiornata dalla società produttrice dello strumento. WebSense era stato impostato per bloccare gli accessi a tutti i siti che potevano costituire un rischio per la sicurezza informatica o che pubblicavano contenuti a sfondo sessuale, giochi o altri argomenti di svago; nonostante tutto, tenendo conto della velocità con cui nuovi siti appaiono su Internet, per quanto possa essere mantenuta aggiornata questa lista non può essere esaustiva per proteggere dalle minacce rappresentate dai siti pericolosi.
Al di la dei problemi di sicurezza informatica le politiche aziendali non permettevano la navigazione se non per fini attinenti alle necessità lavorative e per questo motivo l’accesso ad internet era limitato a poche persone, non essendo il filtro offerto da WebSense sufficiente per rispettare tali politiche e anche qual ora un sito fosse consultato per fini informativi rispetto ad un processo bancario, i contenuti in esso presenti potevano non essere allineati con le politiche aziendali. Per esempio, verso la fine degli anni ’90, nel comparto dell’area finanza, molti clienti, si indirizzarono sul mercato azionario, attratti dai facili guadagni che venivano offerti e molti dipendenti della banca, per poter dare una “buona” consulenza (ma anche per i loro investimenti personali), avrebbero voluto consultare i molti siti internet dedicati alle analisi del mercato finanziario che in quegli anni furono creati. Il problema era che alcuni di questi siti incoraggiavano comportamenti contrari alle politiche di rischio aziendali, più orientate alle vendita di Fondi Comuni meno rischiosi che all’operatività diretta in borsa.

Per poter sfruttare al massimo le risorse utili presenti in Internet, limitando il più possibile i rischi, venne installato un Web Proxy Server. Lo strumento scelto fu Squid, un prodotto open source su piattaforma Linux (distribuzione Su.Se)

Squid consentiva di filtrare con estrema precisione i contenuti disponibili su Internet, e fu configurato per funzionare in modo opposto a WebSense; mentre WebSense consentiva l’accesso a tutti i siti tranne che a quelli vietati, Squid consentiva l’accesso solo agli indirizzi esplicitamente permessi.

Gli utenti della banca vennero divisi in gruppi con differenti livelli di accesso:

  • Utenti con accesso libero: potevano accedere a tutti i siti tranne a quelli bloccati da WebSense. Appartenevano a questo gruppo i dirigenti, gli addetti ai Servizi Sistemi Informatici ed alcuni responsabili di processo i quali avevano il compito di selezionare i contenuti utili al resto dei colleghi.
  • Utenti con accesso base: potevano accedere solo ai siti autorizzati per tutti
  • Utenti con accesso medio: potevano accedere a tutti i siti autorizzati per tutti più un insieme di altri siti.

Quando era necessario “aprire” l’accesso ad un nuovo sito, era sufficiente darne comunicazione al servizio Sistemi e Servizi Informatici che, dopo aver verificato che il sito non contenesse contenuti pericolosi e, in collaborazione con il risk controller ed i responsabili di processo, che il contenuto non potesse essere contrario alle politiche aziendali, inseriva l’indirizzo in un semplice file di testo controllato da Squid ad ogni connessione ad Internet.
Al contrario di quello che si potrebbe pensare, questa attività di manutenzione degli indirizzi dei siti accessibili non era particolarmente gravosa; anzi, dopo le prime due settimane in cui le richieste di aggiornamento della lista erano frequenti, una volta entrato a regime il sistema richiedeva una bassissima manutenzione e comunque le attività di aggiornamento delle ACL (Access Control List) erano solitamente molto veloci.

Uno dei vantaggio di Squid su piattaforma Su.Se. Linux era quello di essere integrabile con il dominio di rete Microsoft Windows per cui agli utenti non veniva richiesto di memorizzare un ulteriore codice utente e password.

Grazie a questo strumento fu possibile integrare nel portale del sito Intranet aziendale risorse e strumenti pubblicati su Internet in modo del tutto trasparente per gli utenti e nel rispetto delle politiche di sicurezza aziendali. Si potrebbero fare tanti esempi ma, tanto per dare un’idea se ne possono citare un paio; piccole cose che però davano un aiuto concreto all’operatività dei colleghi. Il primo è il collegamento al sito dell’elenco telefonico gestito da Telecom Italia; al momento del bisogno, invece di sfogliare l’elenco cartaceo era sufficiente un clic sul link posto direttamente sulla home page del sito intranet e digitare il nome da ricercare. Come secondo esempio si può citare il caso di quando fu creata la banca Unicredit; in quell’occasione vennero modificate le coordinate bancarie (ABI e CAB) delle filiali dell’ex Credito Romagnolo e la cosa ebbe un notevole impatto sull’operatività del processo dei bonifici in partenza; l’aver reso disponibile l’accesso all’applicazione pubblicata da Unicredit sul suo sito internet per la ricerca delle nuove coordinate a partire dalle vecchie fu di grosso aiuto.