L'analisi del rischio migliora la sicurezza delle banche
di Flavio Padovan
-
22 Maggio 2012
Intervista a Massimo Vulpiani, Country Manager di RSA
Come stanno cambiando le esigenze delle banche sul fronte sicurezza?
A nostro avviso quanto fatto finora dalle banche, e più in generale,
da tutte le aziende non è più sufficiente a garantire una difesa
efficace nell'attuale scenario, nonostante abbia permesso di ottenere
risultati importanti nella lotta contro la criminalità. Nel tempo sono stati effettuati molti investimenti, ma con un approccio a silos, nel
senso che sono stati introdotti firewall, antivirus e altre misure
richieste dalle normative, ma senza un'azione integrata e globale e, soprattutto, senza una vera interazione
interna. A questo si aggiunge un problema nuovo e difficile da affrontare legato alla sempre maggiore apertura verso i clienti che
devono avere le aziende.
In che senso?
Oggi le informazione devono essere messe a disposizione dei clienti e
dei propri partner in misura estremamente più ampia rispetto al
passato. Non solo: aumentano anche le modalità con cui si vuole
accedere a queste informazioni. Basti pensare alle possibilità di
collegarsi alla rete 24 ore su 24 da qualsiasi parte del mondo con
tablet, smartphone, pc proprio o di pubblico utilizzo. Tutto questo
rende la gestione della sicurezza molto più complicata ed è diventato
necessario affrontare il problema con un approccio basato sull'analisi
del rischio che le organizzazioni sono disposte ad accettare per
disporre di un nuovo servizio. Le misure di sicurezza devono essere coerenti e consentire questo nuovo approccio.
Nel mondo bancario come si attua questo nuovo approccio?
Ad esempio, nell'home banking devo poter predisporre misure di
autenticazione a seconda del profilo di rischio del mio utente perché
chi fa trading online e gestisce su internet somme ingenti non è
uguale a chi accede solo per controllare il saldo del proprio conto.
Consentire a una banca di adottare soluzioni differenziate
significa anche consentirle di misurare i propri investimenti in
questo campo. Chi governa la sicurezza deve sempre avere una visibilità globale sulle misure predisposte a vari
livelli, per conoscere istantaneamente se tutto sta funzionando come
previsto. E, in caso di attacco, capire cosa è accaduto, perché e che tipo di danno ha provocato. In questo senso un firewall che lavora con
ipotesi statiche, così come un antivirus, non riescono più a darci
risposte adeguate. Il fatto che le organizzazioni siano sempre più aperte, attribuisce un ruolo importante agli utenti dei servizi e
quindi l'educazione all'uso corretto dell'IT diventa fondamentale e
può contribuire in maniera decisa a ridurre i rischi di danni e le possibilità di subire attacchi. Questo soprattutto perché i criminali
utilizzano metodologie di social engineering e, quindi, il nostro
comportamento deve essere sempre sotto controllo, adottando le stesse precauzioni che utilizziamo per proteggere la nostra casa.
Le banche investono ancora nella sicurezza?
Nonostante lo scenario economico attuale, le banche continuano ad
investire, ovviamente con maggiore attenzione. Rispetto agli altri
Paesi penso che ci sia molto da fare per eliminare o almeno ridurre le
barriere che si sono create nel tempo all'interno della stessa organizzazione, tra divisioni e uffici: bisogna quindi percorrere ancora molta strada per
avere una visione d'insieme della sicurezza
L'Italia è in ritardo da questo punto di vista?
Ci sono delle differenze di approccio: in Italia siamo culturalmente
abituati a possedere qualcosa che permette l'accesso, come fosse la
chiave della propria casa, e non diamo nulla per scontato. In altri
Paesi, invece, il cliente presuppone che la banca abbia predisposto tutto e questo diverso sentire comporta delle ricadute operative.
All'estero, infatti, ho notato molta più attenzione alle infrastrutture di back-end per la gestione della sicurezza, mentre da
noi il marketing è molto più attento a cosa può essere offerto al
cliente. Dal punto di vista dell'efficacia non riscontro grandi
differenze, nel senso che può essere migliorata ancora moltissimo se
si riducono quelle divisioni interne che sono evidenti sia in Italia
sia oltre confine. Ovviamente ci sono delle realtà un po' più avanti e
altre più indietro.
Dal suo punto di vista, che cosa frena maggiormente le banche dal
raggiungere standard di sicurezza ancora più elevati? E' una questione
di costi, o ci sono anche problemi di natura normativa, culturale e
organizzativa?
In questo periodo l'attenzione ai costi è massima. Però è anche vero
che bisognare continuare a fare business e quindi è necessario
predisporre servizi nuovi, più efficaci, più semplici. E questo
presuppone affrontare l'aspetto fondamentale della sicurezza. Il
fattore più critico è forse una visione ancora non univoca all'interno
della stessa organizzazione. Laddove il team della sicurezza riesce a
colloquiare con il marketing e le altre funzioni e quindi ad essere più vicino al business, l'efficacia delle iniziative di protezione aumenta
sensibilmente.
Come sta andando il settore Finance all'interno delle vostre attività?
Da sempre il settore finance è quello in cui registriamo i maggiori
successi. Per continuare a crescere dobbiamo, però, garantire ulteriori
livelli di sicurezza che migliorino quanto predisposto finora. Questa
è la vera sfida.