La sicurezza in banca non può prescindere dall’uso di strumenti convenzionali. Ma il perimetro va esteso ai comportamenti e alla capacità di prevenire i rischi esterni
La geometria di infrastrutture, reti, applicativi è profondamente cambiata in questi anni, ma la metafora della sicurezza perimetrale è ancora dominante, mentre sembra ancora secondario un aspetto che dovrebbe essere al centro di ogni strategia di protezione: noi tutti, col nostro comportamento di lavoratori e utenti digitali, siamo una parte fondamentale del nostro personale perimetro di sicurezza. Ma come affrontare una politica di sicurezza nell’epoca dell’intelligenza e delle vulnerabilità distribuite e all’interno di un’organizzazione complessa come una grande istituzione finanziaria? L’approccio giusto è centralizzato o decentralizzato?
Il perimetro c’è ancora
«Questo è un tema sicuramente importante e attuale» – risponde Francesca Bonora, head of ICT security governance and fraud prevention del Gruppo UniCredit. «In molte realtà, la sicurezza perimetrale è ancora predominante, ma questo non è sinonimo di un approccio obsoleto o inutile». La protezione del perimetro continua ad avere un ruolo ben preciso: rendere le risorse IT accessibili garantendo un adeguato livello di protezione, riservatezza, integrità, disponibilità delle informazioni e continuità di servizio, tramite strumenti ormai noti a tutti sul mercato, ben consolidati ed efficienti. Francesca Bonora si riferisce a tecnologie come i firewall, i proxy server e i sistemi di rilevazione e prevenzione delle intrusioni e alle classiche soluzioni antivirus o antispam, le one-time password da utilizzare e modificare subito dopo. Tutto questo, secondo il responsabile della security governance di UniCredit, continua a far parte di una linea strategica e di buon senso da seguire.
Oggi, più di ieri – però – sta emergendo una differente consapevolezza: «Non basta solo innalzare barriere tecnologiche, ma occorre anche formare e guidare i comportamenti degli utenti, in modo da estendere il vecchio concetto di “perimetro di protezione” dai propri asset ai comportamenti, per formare e guidare differenti automatismi che modelleranno una nuova cultura della sicurezza». In questa direzione, l’approccio più corretto dipende dalle variabili in gioco e dalle geografie in cui si opera. Per quanto riguarda UniCredit, attualmente il Gruppo «sta pianificando una campagna interna per aumentare il livello di consapevolezza, coniugando suggerimenti di buona condotta, video e format educativi più emozionali a percorsi formativi dedicati e approcci più innovativi per mettere a fuoco il tema della sicurezza nei gesti quotidiani».
Orecchie puntate sulla rete
Il problema è legato soprattutto al grande dinamismo che il fronte dei “cattivi” ha sempre dimostrato. Cybercrime, “hacktivism”, uso politico e militare degli attacchi ai sistemi informatici hanno sempre mostrato una grande creatività. Ma come rispondono gli esperti preposti alla protezione degli asset informativi, infrastrutturali, transazionali di un grande gruppo bancario nella ricerca di tecnologie, soluzioni e approcci innovativi? «La risposta si articola su tre direzioni. La prima è quella della continua valutazione della tenuta delle nostre difese, tramite attività di test diversi, dai normali penetration test alle simulazioni di attacco tramite Apt, Advanced Persistent Threat. La seconda è la continua indagine o intelligence di ciò che accade o “si dice” in rete. Infine, la terza, si concentra su attività di confronto e scouting con le più significative società di mercato, altri pari e startup di settore».
Questi elementi di socialità che rivestono ormai gli aspetti puramente tecnici del malware riconducono alla problematica delle competenze che un responsabile della sicurezza deve saper mettere in campo. Oggi, per esempio, davanti a un fenomeno come Big Data (che peraltro ha molte articolazioni proprio nel campo della security) gli ambienti professionali invocano la formazione e l’assunzione di figure come i data scientist. Come viene affrontato da UniCredit l’aspetto delle competenze in materia di cybersecurity, il training del personale e le informazioni estese all’universo dei clienti? «Gli skill in materia di cybersecurity sono già presenti all’interno delle nostre funzioni aziendali, prevalentemente nel perimetro di UniCredit Business Integrated Solution, la società che fornisce i servizi globali di Gruppo. Com’è naturale, guardiamo costantemente anche al mercato esterno e ai nuovi network professionali sia per individuare consulenze specifiche sia per entrare in contatto con giovani talenti con una formazione dedicata su questi temi». A tutto questo, precisa ancora Francesca Bonora, si affianca una politica di costante training del personale del Gruppo, attraverso le campagne di awarness di cui si è già detto, e con uno sguardo puntato sulla possibilità di estendere percorsi simili coinvolgendo direttamente i clienti della banca. «In ultimo, non trascuriamo il continuo e costruttivo scambio di risorse e conoscenze tra le realtà specializzate del Gruppo che contribuisce all’incremento delle competenze e al simultaneo training on the job» La sicurezza, insomma, si consolida lavorando.
Security si sposa con Big Data
Entrare nella mentalità dell’attaccante, resta in ogni caso un efficace ingrediente di qualsiasi strategia di difesa. Non è un caso se a fronte di una crescente capacità di mascheramento e della velocità di mutazione del malware, oggi tutte le piattaforme di sicurezza fanno leva su “honeypot”, sandboxing, quarantene, emulazioni, assessment di vulnerabilità per riconoscere gli attacchi. Quanto è importante una strategia di sicurezza proattiva e basata su simulazioni e “drill”? «è talmente vitale – sorride Bonora – che anche il nostro board ne viene informato»!
Tornando agli strumenti necessari per fronteggiare gli attacchi, se la prima generazione di malware è stata combattuta con successo grazie ad approcci signature-based e al grande lavoro delle task force di esperti umani, oggi la scala e la granularità del fenomeno impongono forse il ricorso a supporti decisionali e automatismi più evoluti».
Secondo Francesca Bonora, in questo campo l’intelligenza artificiale, il cognitive computing e il machine learning nell’identificazione delle minacce possono avere un ruolo importante, senza dimenticare il tema sottostante di Big Data. Anche se è più immediato pensare alle informazioni provenienti da dispositivi comuni, così come a quelle tratte dai sistemi core banking o di sicurezza deputate al monitoraggio e al contrasto. «A queste se ne affiancano altre sia interne che esterne. Se mettiamo insieme tutte le informazioni utili, le correliamo e le utilizziamo per fare diagnostica, ecco che parliamo proprio di concetti quali Big Data, Cognitive e Learning».
A livello di controllo del fattore umano, le policy intese come regolamento aziendale sono lo strumento che proprio per natura abilita “la chiamata generale”. «Ovvero l’attivazione dei meccanismi di coalizione interna per presidiare al meglio il sistema» – spiega Francesca Bonora. E in questo senso anche il comportamento delle persone ne viene positivamente influenzato, soprattutto se l’azienda è presente in modo costante e capillare. «Sempre considerando il fattore umano, il monitoraggio analitico (ammesso che sia efficace) risulta essere difficile, mentre è sempre più importante agire sul comportamento, insistendo sulla consapevolezza e su tutte le azioni attive e continuative, affinché si crei un circuito virtuoso di conoscenza tra i soggetti in campo, dall’individuazione di possibili scenari di rischio alle conseguenti reazioni».