Promotore del gruppo di lavoro per la sicurezza informatica per le BCC dell’Emilia Romagna.
Il principale risultato raggiunto dal GDL è stato l’introduzione del sistema di autenticazione di rete a livello regionale con l’attivazione della Foresta di Domini di rete delle BCC dell’Emilia Romagna. Quella che segue è la relazione che ho presentato e che è stata fatta propria dal GDL
§
|
Gestione del rischio operativo Sicurezza Informatica |
Introduzione:
Scopo di questo documento e quello di porre all’attenzione della Direzione la problematica della Sicurezza Informatica che oggi assume grande rilevanza nell’ambito della gestione del rischio operativo nelle attività bancarie.
Per SICUREZZA INFORMATICA si intende garantire la costanza e la qualità del servizio offerto, mantenendo l’integrità e la riservatezza dei dati trattati.
I dati possono essere messi a rischio da danni alle apparecchiature, da errori umani o da attacchi portati da intrusi esterni (hackers, crackers) e/o dipendenti infedeli.
Inoltre negli ultimi tempi si sono affermati, ed è facile prevedere saranno in continua espansione, i servizi di e-banking (Electronic Banking). Di conseguenza il concetto di sicurezza si allarga in modo che non solo siano garantite l’integrità e la riservatezza dei dati, ma anche la non ripudiabilità delle transazioni disposte attraverso il riconoscimento certo dell’utente.
Perchè una azienda dovrebbe investire in sicurezza?
Una azienda, in particolare una banca, può investire in molte forme diverse e quasi sempre si riesce a percepire in maniera concreta quali saranno i ritorni di un investimento. Se spendiamo soldi per acquistare titoli o immobili avremo in cambio un bene che, anche nel caso sfortunato che non si rivaluti, potremo rivendere per rientrare in possesso del capitale. Se spendiamo soldi per la formazione del personale probabilmente l’azienda si ritroverà con dei dipendenti più efficienti. Se spendiamo soldi per una campagna di marketing in cambio dovremo avere maggiori entrate date da un aumento delle vendite.
Ma se investiamo in sicurezza cosa abbiamo in cambio? Possibilità di disinvestire magari ricavando di più di quanto abbiamo speso? No. Nuovi prodotti da vendere? No. Risparmi nei costi di gestione? Neanche.
Investire in sicurezza è un po’ come fare l’assicurazione incendio e furto sull’auto: finchè non ti rubano la macchina è solo un costo. Ma se poi ti rubano la macchina? O va a fuoco?
Quindi per valutare se e quanto investire in sicurezza dobbiamo chiederci quanto vale la nostra “auto”, a che rischio di furto è esposta e che premio di assicurazione siamo disposti a pagare per stare più tranquilli.
Una cosa è data per certa: la sicurezza 100% non esiste, non importa quanto siamo disposti a spendere per garantircela. Graficamente la relazione Costi / Sicurezza può essere rappresentata così:
dove a fronte di un basso livello di sicurezza abbiamo alti costi dovuti ai danni subiti e a fronte di un altissimo livello di sicurezza abbiamo alti costi per mantenere la sicurezza a quel livello.
Senza pensare di poter raggiungere la chimera della sicurezza 100% è opinione diffusa che una azienda debba investire in sicurezza e adesso elencherò quelli che sono gli stimoli principali anche in base a quanto emerso al convegno “IT Security Conference” che si è tenuto il 5 e 6 Marzo 2002 a Milano. Ma l’opinione era già diffusa a tal punto che lo stesso legislatore si è sentito in dovere di emanare un provvedimento (DPR 318/99) che obbliga le aziende in possesso di dati soggetti alle tutele previste dalla Legge 675 / 1996 sulla Privacy ad adottare quelle che sono state definite “misure minime di sicurezza per il trattamento dei dati personali”. E questo, insieme alle sanzioni penali che si applicano nel caso di un mancato rispetto delle norme (Legge 325 / 2000), basterebbe da solo per giustificare la spesa.
Perchè investire in sicurezza.
- Adeguamento alle normative
- Rischi di guasti / disastri
- Dipendenti infedeli
- Apertura della rete aziendale
- Garantire fiducia
- Adeguamento alle normative
Oltre alla già citata legge 675 e ai suoi regolamenti applicativi, fra le normative più o meno vincolanti possiamo citare l’accordo di Basilea 2 che a fianco dei rischi di mercato e di credito pone anche i rischi operativi.
Sempre dal Comitato di Basilea ci arriva un altro documento, il “Risk Management Principles for Electronic Banking” – pubblicazione n° 82, redatto nel maggio 2001 – che identifica 14 principi per la gestione del rischio per l’electronic banking.
Ecco un estratto dall’introduzione di questo documento:
L’innovazione e la concorrenza tecnologica continue fra le organizzazioni bancarie ed i nuovi attori del mercato finanziario hanno aumentato la scelta dei prodotti e dei servizi bancari che possono adesso essere offerti ai clienti attraverso il canale della distribuzione elettronica, chiamato collettivamente come e-banking. Tuttavia, lo sviluppo veloce del e-banking porta con se dei rischi insieme ai benefici.
Il Comitato di Basilea invita a riconoscere tali rischi, per essere indirizzati e gestiti dalle istituzioni bancarie in un modo prudente secondo le caratteristiche e le sfide fondamentali dei servizi di e-banking. Queste caratteristiche includono una velocità senza precedenti di cambiamento relativamente all’innovazione tecnologica del servizio al cliente, alla natura ubiquista e globale delle reti elettroniche aperte, all’integrazione delle applicazioni di e-banking con i sistemi di elaborazione centrali ed alla aumentata dipendenza delle banche dai terzi che forniscono la tecnologia informatica necessaria. Senza introdurre nuovi tipi di rischi, il comitato ha notato che queste caratteristiche, tipiche dei nuovi servizi, hanno aumentato e modificato alcuni dei rischi tradizionali connessi con alle attività bancarie, in particolare rischi strategici, operativi, legali e di reputazione, quindi influenzanti il profilo generale di rischio delle operazioni bancarie.
Sulla base di queste conclusioni, il comitato considera che mentre i principi di gestione attuali di rischio rimangono applicabili anche alle attività di e-banking, tali principi devono essere adattati e, in alcuni casi, essere espansi per richiamare le sfide specifiche della gestione di rischio create dalle caratteristiche delle attività di e-banking. A questo scopo, il comitato crede che sia incombente sui consigli d’amministrazione e sugli organi direttivi la necessità di prendere le dovute misure per accertarsi che le loro istituzioni abbiano rivisto e modificato ove necessario le loro politiche e processi di gestione attuali del rischio. Il comitato egualmente crede che l’integrazione delle applicazioni di e-banking con i sistemi centrali implichi un metodo integrato della gestione di rischio per tutte le attività bancarie.
2. Rischi di guasti / disastri
L’attività bancaria è sempre più legata ai sistemi informatici al punto che un loro blocco la pregiudica completamente. Tali blocchi si possono verificare per vari motivi accidentali che possiamo riassumere in questi 4 casi
- Rotture al Hardware dei computer
- Difetti nel Software
- Errori umani
- Eventi esterni, naturali e non (alluvioni, terremoti, attentati ecc.)
Questo legame così stretto con la memorizzazione elettronica dei dati ci fa sentire fragili ed esposti a grandi pericoli. L’idea che la vita della nostra azienda sia legata ad un disco che si può smagnetizzare da un momento all’altro farebbe venire voglia di tornare indietro di 30 anni e scrivere tutto sulla carta. In realtà, gli archivi elettronici sono molto più sicuri di quanto non si crede, se si adottano le opportune cautele. Molto più degli archivi cartacei. Al convegno “IT Security Conference” Edward N. Luttwak, consulente del Dipartimento di Stato degli USA ha sostenuto che “la digitalizzazione dei documenti è un fattore di grande sicurezza grazie alla possibilità di duplicare, triplicare, ecc, ecc gli archivi. Quando una volta gli archivi erano solo cartacei un evento come quello del 11 Settembre 2001 avrebbe fatto scomparire intere Società. Grazie all’Information Tecnology questo non è successo”
3. Dipendenti infedeli
Si è sempre portati a considerare che i pericoli maggiori per i nostri sistemi vengano dall’esterno, dall’attacco di qualche hackers. Sebbene questo, e lo vedremo più avanti, sia un pericolo sempre più presente, non è però il pericolo maggiore. Il pericolo maggiore è dato da chi si trova all’interno della azienda, come ad esempio il caso di un dipendente infedele. Oggi questo pericolo è ancora più difficile da gestire a causa della proliferazione dei sistemi informatici che un dipendente deve avere a disposizione per adempiere ai suoi compiti. Mi spiego meglio: fino a qualche tempo fa un utente eseguiva quasi tutte le operazioni attraverso un unico sistema (computer). Una volta che il suo profilo utente era stato definito su quel sistema era molto semplice gestire i suoi accessi; oggi invece l’operatività si sviluppa attraverso l’interazione con molti sistemi diversi(*) per cui, diventa molto complicato gestire tutti i permessi di accesso di quel utente ai vari sistemi e di conseguenza aumentano, per un amministratore di sistema, le possibilità di commettere errori nella gestione delle politiche di sicurezza.
Inoltre la necessità per un operatore di ricordarsi decine di codici utente e password lo costringe a vere e proprie acrobazie mentali. La conseguenza immediata è quella che un operatore è portato a scrivere la propria password sul classico bigliettino attaccato al monitor, ben visibile per chiunque volesse farne un uso improprio.
(*: Rete LAN, AS400/SIB2000, CICS Cedecra, ICCREATP, Infondi On Line, Lotus Notes Intranet e Internet solo per citare i più diffusi ma ce ne sono molti altri)
4. Apertura della rete aziendale
Una volta la rete che collegava tutti i terminali della banca era una rete chiusa e proprietaria. In quanto proprietarie pochissime persone al mondo erano in grado di capirci qualcosa a riguardo, generalmente quei 4 gatti che le avevano progettate. In quanto chiuse chi avesse voluto fare accesso ai nostri sistemi lo avrebbe potuto fare solo dall’interno dei locali della banca.
Oggi la nostra rete è l’esatto contrario.
Innanzi tutto è aperta: da tutti i nostri computer ci si può collegare a un qualsiasi computer collegato ad internet, non importa in che parte del mondo si trovi. E questo lo è 24×7 (ventiquattro ore al giorno, sette giorni su sette alla settimana). Cioè sempre! Purtroppo anche quando non ci siamo, ammesso che anche se fossimo presenti ci potremmo accorgere dell’ingresso di un intruso.
Purtroppo i pericoli non si limitano a questo (e sarebbe già abbastanza). Se la nostra rete fosse, come una volta, una rete proprietaria, per esempio una rete DLWSI gestita da un Philips P4000 potremmo stare ancora abbastanza tranquilli (neanche chi l’aveva inventata sapeva cosa ci girava dentro). Invece la nostra è una rete TCP/IP. Il che significa che oggi nel mondo c’è qualche milione di ragazzini che magari non conoscono neanche l’alfabeto, ma che con il TCP/IP saprebbero scriverci la Divina Commedia
Verrebbe voglia di chiudere immediatamente i rubinetti ma questo significherebbe isolarsi dal mondo e decretare la morte dell’azienda.
In realtà la rete non è stata aperta così, alla garibaldina, senza tenere conto di questi rischi. E’ che senza un presidio continuo tali protezioni rischiano di essere insufficienti. Inoltre tali protezioni ci difendono solo da alcuni attacchi provenienti da tramite i canali ufficiali, ma lasciano la nostra rete completamente sguarnita da intrusioni che possono partire da un’altra BCC che magari ha attaccato un modem ad un PC per navigare in internet by-passando le protezioni del Cedecra.
Attualmente la nostra rete è aperta per permettere:
- il collegamento alle società del gruppo (Cedecra, Iccrea, Federazione, Aureo Gestioni ecc. ecc.)
- il collegamento con i nostri partner commerciali (assicurazioni, fondi, SEK ecc. ecc.)
- i clienti (home banking, trading on line)
- la posta elettronica
- la consultazione di siti internet
Un’altra implicazione fondamentale dell’aver aperto la nostra rete per l’introduzione dei servizi di e-banking è quella di aver dato ai clienti la possibilità di movimentare i propri rapporti di C/C, titoli, effetti detenuti presso di noi direttamente da casa propria, attraverso un collegamento telematico. Se con l’operatività classica, dove per il cliente che si presenta allo sportello e viene riconosciuto dal dipendente della banca diventa molto difficile, per lui, ripudiare una operazione da disposta, questo non è altrettanto vero per le operazioni disposte tramite Internet. Anzi, probabilmente in sede di giudizio, per un cliente potrebbe essere possibile rifiutare l’addebito di un bonifico disposto tramite internet qualora lui riuscisse a dimostrare che quella operazione è completamente estranea al suo modo normale di operare. E’ necessario quindi attivarsi al più presto per introdurre la FIRMA DIGITALE i cui capisaldi e requisiti garantiti sono:
|
Certezza del mittente |
|
I documenti/disposizioni non possono essere alterati |
|
Chi firma un documento non può ripudiarlo e si assume gli obblighi derivanti |
|
Certezza della data e ora in cui un documento è stato trasmesso e ricevuto |
5. Garantire fiducia
Stiamo andando verso un mondo sempre più interconnesso. Gli scambi commerciali che fino adesso si sono basati su contatto diretto, sugli ordini telefonici, sui fax stanno via via migrando sulla comunicazione diretta dei sistemi informativi interconnessi tramite internet.
Fare affari con chi non è in grado di garantire la sicurezza dei propri sistemi può mettere in crisi la nostra sicurezza.
In futuro nessuno vorrà più fare business con qualcuno che non è in grado di garantire un livello di sicurezza adeguato.
A tal proposito è auspicabile poter arrivare al punto da usare le proprie politiche di sicurezza come strumento di marketing. Si può pensare di andare da un cliente e dirgli: “lavora con noi perché siamo in grado di offrirti un sistema di home banking molto più sicuro di quello che ti offrono gli altri” oppure “lavora con noi perché i nostri sistemi di disaster recovery sono in grado di salvaguardare il tuoi dati da qualsiasi evento, garantendoti la continuità del servizio 24×7”
Cosa fare
Il problema della sicurezza informatica va affrontato sotto due aspetti principali: Sicurezza Organizzativa e Sicurezza Tecnologica
|
Sicurezza Organizzativa |
|
|---|---|
|
|
|
|
Sicurezza Tecnologica |
|
Come indicato qui sopra non si può pensare ad una politica di sicurezza vista come somma di strumenti tecnici, ma come approccio globale al problema, e le linee guida descritte più avanti in questa relazione ce lo dicono chiaramente.
Volendo però individuare dei punti di intervento urgenti per le nostre realtà credo che intanto si debba concentrare l’attenzione su quattro aspetti:
- Implementazione di un sistema di storage dati in grado di assicurare la continuità del business, permettendo un ripristino veloce dei database in caso di incidente
- Installazione di un firewall che protegga la rete della banca dagli accessi provenienti dalle reti di altre BCC
- Realizzazione di un sistema di Single Sign-On, un sistema che dia la possibilità, da un lato, agli amministratori di sistema di gestire centralmente le abilitazioni di accesso ai vari sistemi per i nostri utenti e dall’altro lato, semplificare le operazioni di accesso ai sistemi per i singoli utenti che potranno così, tramite una unica password avere un accesso controllato a tutti i sistemi che gli competono.
- Introduzione delle Smart Card o sistemi equivalenti per la gestione della firma Digitale, sia per gli utenti interni che per i clienti che accedono ai nostri servizi di e-banking
Attenzione però a non commettere l’errore di concentrasi solo su questi 4 punti e considerare la pratica sicurezza archiviata una volta realizzate queste 4 attività: bisogna ricordarsi che il principio base delle politiche di sicurezza dice che la qualità della sicurezza di un sistema non è rappresentata dal valore medio degli elementi contenuti, ma dall’anello più debole della catena
Come fare
La definizione del piano di intervento viene rimandata ad un altro documento. Qui mi limito a far presente che esiste uno protocollo standard universalmente accettato come linea guida principe per l’adozione delle politiche di sicurezza che è rappresentato dal documento redatto dal British Standards Institute che porta la sigla di BS7799 poi convertito nella direttiva ISO17799 ed in calce a questo documento potrete trovare una sintesi di tale trattato.
In aggiunta al BS7799 vi è poi la già citata Pubblicazione n° 82 del Comitato di Basilea “Risk Management Principles for Electronic Banking”
Seguire le direttive tracciate da queste linee guida potrebbe portarci vicino a quella che considero una importante meta che una azienda come la nostra sarebbe bello volesse tentare di raggiungere: la Certificazione di Qualità ISO.
|
|
Banca di Ospedaletto |
La parte che segue, a suo tempo allegata alla relazione qui sopra riportata e che riassume le linee guida della BS7799 e dei concetti di sicurezza dell’informazione, è stata copiata ne 2002 da un interessante articolo pubblicato su un sito internet di cui ora si sono perse le tracce. Qual ora il documento sia coperto da diritti d’autore, il titolare di tali diritti può richiedere la rimozione del contenuto da questo sito, oppure chiedere di essere citato come autore, inviando una richiesta tramite il modulo di contatto presente nel menù di questo sito.
(dovrebbere essere questo:
http://www.qconsulting.it/archivio/quality_pdf/sicurezza/brochure_bs7799.pdf
http://www.qconsulting.it/home.php?dest=contatti.inc.php
BS 7799 – Sicurezza dell’informazione
“Nella storia dell’umanità mai una parte così rilevante della forza lavoro è stata impiegata in attività collegate alla generazione, all’acquisizione, al trattamento, alla comunicazione e diffusione dell’informazione” (Sweeney, 1989)
L’informazione – elemento indispensabile per il successo e la crescita di ogni azienda
L’informazione è una risorsa aziendale
di inestimabile valore che richiede – anzi impone – un’adeguata tutela. Mettere al sicuro le proprie informazioni previene diversi tipi di rischi e, soprattutto, contribuisce a garantire la continuità operativa.
Esempio di composizione del capitale in un’azienda
Fuga di informazioni
La fuga di informazioni, ad esempio verso i mezzi di comunicazione, la concorrenza e altre parti interessate, è purtroppo un problema molto diffuso. Il personale e Internet sono spesso il tramite di questi spiacevoli eventi. Sebbene molte aziende abbiano provveduto a rendere più sicuri i loro sistemi informatici, episodi simili accadono di continuo. Occorre perciò provvedere a una revisione completa delle misure di sicurezza di cui l’azienda dispone. Affrontare il problema secondo un approccio puramente tecnico o investigare su singole aree sulle quali si concentra l’attenzione dei media – come accade ad esempio con la pirateria informatica – non è sufficiente; anzi espone l’azienda a rischi di ogni altro genere, finendo per creare delle semplici “isole di sicurezza” in un vero e proprio “mare di rischi”.
Violazioni alla sicurezza delle informazioni
Quali conseguenze e quali costi comportano effettivamente per l’azienda?
Quali sono i pericoli e i rischi?
Quali procedure e iniziative occorre intraprendere per impedire che si verifichino?
Come gestire efficacemente la sicurezza delle informazioni?
Perché dotarsi di un Sistema di Gestione per la Sicurezza delle Informazioni?
Perché certificarsi?
BS 7799 – lo standard per la Sicurezza delle Informazioni
Lo standard BS 7799 è stato sviluppato in risposta ad una precisa domanda dei settori dell’industria, del commercio e della Pubblica Amministrazione, alla ricerca di un framework comune per sviluppare e implementare delle modalità di gestione della sicurezza che permettessero di migliorare la fiducia nelle relazioni interaziendali.
Lo standard è composto da due parti:
BS 7799 – Prima Parte elenca le “best practice” necessarie per implementare un programma per la Sicurezza delle Informazioni
BS 7799 – Seconda Parte descrive il processo di costruzione di un sistema di gestione della sicurezza e di controlli applicabili.
“La sicurezza è un processo, non un prodotto”
Questa affermazione di Bruce Schneier, noto autore di libri sulla crittografia e sulla sicurezza informatica, riassume la filosofia che sta alla base dello standard BS 7799: per implementare un sistema di di gestione della sicurezza delle informazioni (SGSI) non è sufficiente focalizzare l’attenzione sugli aspetti tecnologici, occorre invece tener conto anche delle carenze di tipo organizzativo e procedurale.
Lo standard BS 7799 introduce nel campo della sicurezza il concetto di “Sistema di Gestione”, concetto mutuato dal mondo della qualità che permette di tenere sotto controllo in modo sistematico e continuativo tutti i processi legati alla sicurezza delle informazioni, tramite la definizione di ruoli, responsabilità, procedure e canali di comunicazione.
Lo standard BS 7799 individua tre aspetti fondamentali relativi alla sicurezza delle informazioni:
Confidenzialità: solo gli utenti autorizzati possono accedere alle informazioni necessarie.
Integrità: protezione contro alterazioni o danneggiamenti; tutela dell’accuratezza e completezza dei dati.
Disponibilità: le informazioni vengono rese disponibili quando occorre e nell’ambito di un contesto pertinente.
Perchè certificare un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI)
Un Sistema di Gestione per la Sicurezza delle Informazioni prevede che l’azienda implementi una politica di sicurezza con lo scopo di gestire le aree a rischio.
Principale obiettivo di un sistema di sicurezza è la salvaguardia delle informazioni. A tale scopo è fondamentale individuare quali informazioni proteggere e quale livello di protezione assegnare a ciascuna di esse. Fra le risorse da tutelare rientreranno certamente dati digitali, documenti cartacei, nonché componenti materiali come computer e reti, ma anche il personale dell’azienda.
Le 10 aree da controllare
I seguenti elementi contribuiscono alla realizzazione di un efficace programma di sicurezza:
Politica di sicurezza
Organizzazione per la sicurezza
Controllo e classificazione delle risorse
Sicurezza del personale
Sicurezza materiale e ambientale
Gestione operativa e comunicazione
Controllo degli accessi
Sviluppo e manutenzione dei sistemi
Gestione della business continuity
Conformità
La certificazione BS 7799
Certificare la propria conformità con lo standard BS 7799 offre alle aziende un mezzo sicuro per verificare il proprio SGSI. Ciò infatti non solo aiuta le aziende a salvaguardare il loro patrimonio di dati, ma consente anche di dimostrare la propria conformità con lo standard per la Sicurezza delle Informazioni. Un team di auditor, rigorosamente selezionato, provvede ad accertare la conformità dell’azienda ai requisiti imposti dallo standard.
La Certificazione BS 7799 consentirà quindi all’azienda di:
Dimostrare a clienti, partner e dipendenti il proprio impegno a favore della sicurezza delle informazioni
Ottenere da un ente indipendente un documento che attesti la conformità ai requisiti richiesti
Orientare i processi di implementazione della politica stabilita
Dimostrare la propria attenzione, riducendo i rischi ed evitando responsabilità
Con la certificazione BS 7799 il Sistema di Gestione per la Sicurezza delle Informazioni implementato da un’azienda sulla base delle criticità individuate è sottoposto a verifica, proprio come accade per gli altri sistemi di gestione (ISO 9000, ISO 14001, ecc.).
Oltre a svolgere la tipica attività di verifica dei sistemi di gestione, l’ente di certificazione deve essere in grado di valutare se le criticità rilevate siano effettivamente importanti e se il livello di protezione applicato sia adeguato. Occorre inoltre esaminare lo statement of applicability che definisce i requisiti dello standard relativamente agli obiettivi di riscontro e agli elementi di controllo implementati.
La certificazione può essere rilasciata ad un’azienda, reparto, impianto o altra unità e può essere successivamente estesa a qualsiasi sistema di gestione conforme ai requisiti di applicabilità dello standard.
Certificare un SGSI consentirà alla vostra azienda di:
Creare una cultura della sicurezza all’interno dell’organizzazione
Individuare le aree di criticità attraverso l’analisi dei rischi
Realizzare una struttura per il continuo perfezionamento del sistema
Disporre di un elemento in più per promuovere la credibilità dell’azienda presso gli interlocutori interni ed esterni
Spingere il management aziendale a conoscere meglio e interessarsi più da vicino dei problemi di sicurezza
Garantire che il “patrimonio di conoscenze” sia “conservato” all’interno di un sistema di gestione aziendale
Soddisfare richieste future da parte di clienti, azionisti e partner
