Menu

Sicuri per legge (parte prima)

Sicuri per legge (parte prima)

Per la prima volta le disposizioni di vigilanza di Banca d’Italia parlano espressamente in modo diffuso del sistema informativo aziendale. Come spesso facciamo cerchiamo di trarre spunti da questo documento, dedicato al mondo bancario, per applicarne i suggerimenti anche in altri ambiti.

Fino a poco tempo fa, la normativa che maggiormente impattava i sistemi informativi aziendali era quella legata alla Privacy. Oggi, almeno nelle banche, questo non è più vero.

Già in precedenza le disposizioni di vigilanza si erano interessate al sistema informativo aziendale, pur limitatamente agli aspetti legati alla continuità operativa. Ora invece lo fanno in modo esteso, con una serie di indicazioni che possono essere calate senza grossi problemi anche nelle aziende, perlomeno in quelle di maggiori dimensioni. Anche per realtà più piccole questo documento, disponibile liberamente sul sito di Banca d’Italia, può comunque essere un utile spunto sulle Best Practice applicabili sia al governo, impostazione ed organizzazione del sistema informativo, sia alla sicurezza delle informazioni.

Indicazioni che non necessariamente (in particolare nelle aziende più piccole), devono essere considerati applicabili direttamente all’interno dell’azienda. Se queste si avvalgono di strutture esterne per la fornitura dei servizi informatici utili per il loro business, tali indicazioni potrebbero essere rivolte ai fornitori (la normativa dedica parti specifiche a questo aspetto).

La nuova normativa della Banca d'Italia per i sistemi informativi

La normativa emanata recentemente dalla vigilanza della Banca d'Italia offre diversi spunti; in questo primo articolo esprimiamo le considerazioni relative alla sicurezza informatica, rimandando ad un approfondimento successivo l'esame di altri aspetti comunque rilevanti.

Nella premessa, le disposizioni di vigilanza individuano come il sistema informativo assuma un ruolo fondamentale; tale accezione oltre che al mondo bancario può essere applicata ad un gran numero di aziende di servizi, commerciali ed anche manifatturiere (si pensi in questo caso ad esempio alle linee di produzioni automatizzate..).

La norma evidenzia i vari aspetti che sono presidiati dal sistema informativo, che vanno al di là del mero aspetto operativo, assumendo sempre più una valenza strategica, di governo e di controllo, in quanto il sistema informativo non solo permette la gestione di dati e di molti processi aziendali legati alla produzione, ma anche informazioni di valenza strategica.

  • Il sistema informativo (inclusivo delle risorse tecnologiche - hardware, software, dati, documenti elettronici, reti telematiche - e delle risorse umane dedicate alla loro amministrazione) rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi…, in considerazione della criticità dei processi aziendali che dipendono da esso. Infatti:
  • dal punto di vista strategico, un sistema informativo sicuro ed efficiente, basato su un’architettura flessibile, resiliente e integrata a livello di gruppo consente di sfruttare le opportunità offerte dalla tecnologia per ampliare e migliorare i prodotti e i servizi per la clientela, accrescere la qualità dei processi di lavoro, favorire la dematerializzazione dei valori, ridurre i costi anche attraverso la virtualizzazione dei servizi …;
  • nell’ottica della sana e prudente gestione, il sistema informativo consente al management di disporre di informazioni dettagliate, pertinenti e aggiornate per l’assunzione di decisioni consapevoli e tempestive e per la corretta attuazione del processo di gestione dei rischi;
  • con riguardo al contenimento del rischio operativo, il regolare svolgimento dei processi interni e dei servizi forniti alla clientela, l’integrità, la riservatezza e la disponibilità delle informazioni trattate, fanno affidamento sulla funzionalità dei processi e dei controlli automatizzati;
  • in tema di Compliance, al sistema informativo è affidato il compito di registrare, conservare e rappresentare correttamente i fatti di gestione e gli eventi rilevanti per le finalità previste da norme di legge e da regolamenti interni ed esterni.

Dopo questa premessa la normativa evidenzia il ruolo delle strutture di indirizzo e di gestione che dovrebbero sovraintendere il governo e l’organizzazione del sistema informativo, ma su questi aspetti ritorneremo in un secondo momento, così come sulla valutazione del rischio.

I riflessi sui sistemi di sicurezza informatica

La normativa indica quali sono i compiti assegnati alle varie strutture, compresa quella che presiede la sicurezza informatica:

La funzione di sicurezza informatica è deputata allo svolgimento dei compiti specialistici in materia di sicurezza delle risorse ICT. In particolare:

  • segue la redazione e l’aggiornamento delle Policy di sicurezza e delle istruzioni operative;
  • assicura la coerenza dei presidi di sicurezza con le Policy approvate;
  • partecipa alla progettazione, realizzazione e manutenzione dei presidi di sicurezza dei Data Center;
  • partecipa alla valutazione del rischio potenziale nonché all’individuazione dei presidi di sicurezza nell’ambito del processo di analisi del rischio informatico;
  • assicura il monitoraggio nel continuo delle minacce applicabili alle diverse risorse informatiche;
  • segue lo svolgimento dei test di sicurezza prima dell’avvio in produzione di un sistema nuovo o modificato.

Nelle realtà più complesse, l’indipendenza di giudizio rispetto alle funzioni operative è assicurata da un’adeguata collocazione organizzativa.

Relativamente agli ambiti presidiati dalla sicurezza informatica, la normativa estende il normale perimetro a questa attribuito (riservatezza, integrità, disponibilità: "La gestione della sicurezza informatica comprende i processi e le misure volti, …a garantire a ciascuna risorsa informatica una protezione, in termini di riservatezza, integrità, disponibilità, verificabilità e Accountability, appropriata e coerente lungo l’intero ciclo di vita."

Introducendo i concetti di:

  • “verificabilità”: la garanzia di poter ricostruire, all’occorrenza e anche a distanza di tempo, eventi connessi all’utilizzo del sistema informativo e al trattamento di dati.

e

  • “Accountability”: l’assegnazione della responsabilità di un’attività o processo aziendale, con il conseguente compito di rispondere delle operazioni svolte e dei risultati conseguiti, a una determinata figura aziendale; in ambito tecnico, si intende la garanzia di poter attribuire ciascuna operazione a soggetti (utenti o applicazioni) univocamente identificabili;

Le Policy di Sicurezza

La normativa prevede specificatamente la definizione di Policy di sicurezza descrivendone il processo di gestione ed il contenuto.

La Policy di sicurezza informatica è approvata … e comunicata a tutto il personale e alle terze parti coinvolte nella gestione di informazioni e componenti del sistema informativo. Essa riporta:

  • gli obiettivi del processo di gestione della sicurezza informatica in linea con la propensione al rischio informatico definito a livello aziendale; tali obiettivi sono espressi in termini di esigenze di protezione e di controllo del rischio tecnologico;
  • i principi generali di sicurezza sull’utilizzo e la gestione del sistema informativo da parte dei diversi profili aziendali;
  • i ruoli e le responsabilità connessi alla funzione di sicurezza informatica nonché all’aggiornamento e verifica delle Policy;
  • il quadro di riferimento organizzativo e metodologico dei processi di gestione dell’ICT deputati a garantire l’appropriato livello di protezione;
  • le linee di indirizzo per le attività di comunicazione, formazione e sensibilizzazione delle diverse classi di utenti;
  • un richiamo alle norme interne che disciplinano le conseguenze di violazioni rilevate della policy da parte del personale;
  • un richiamo alle norme di legge e alle altre normative esterne applicabili inerenti alla sicurezza di informazioni e risorse ICT, incluse le norme riportate nella presente Sezione.

La Policy di sicurezza può fare riferimento a documenti di maggiore dettaglio, ad es. linee guida o manuali operativi in tema di configurazioni e procedure di sicurezza per particolari componenti e applicazioni;…; norme per il corretto utilizzo di applicazioni aziendali trasversali, quali la posta elettronica e la navigazione internet.

La regolare revisione della Policy di sicurezza tiene conto dell’evoluzione del campo di attività, dei prodotti forniti, delle tecnologie e dei rischi fronteggiati dall’intermediario.

Successivamente fissa una serie di punti che definiscono regole per la gestione della sicurezza delle informazioni e delle risorse ICT. La prima serie di indicazioni sono di fatto molto simili alle analoghe misure minime previste dal Dlgs 196/03 e del relativo allegato B:

La sicurezza delle informazioni e delle risorse informatiche è garantita attraverso misure di protezione a livello fisico e logico, la cui intensità di applicazione è graduata in relazione alle risultanze della valutazione del rischio (classificazione delle risorse informatiche in termini di sicurezza). Tali misure sono distribuite su diversi strati, così che un’eventuale falla in una linea di difesa sia coperta dalla successiva (“difesa in profondità”), comprendendo:

  • i presidi fisici di difesa e le procedure di autorizzazione e controllo per l’accesso fisico a sistemi e dati (ad es., barriere perimetrali con punti di ingresso vigilati, locali ad accesso controllato con registrazione degli ingressi e delle uscite);
  • la regolamentazione dell’accesso logico a reti, sistemi, basi di dati sulla base delle effettive esigenze operative (principio del "Need-toKnow"; i diritti di accesso sono accordati, mediante ricorso ad opportuni profili abilitativi, previa formale autorizzazione; l’elenco degli utenti abilitati è sottoposto a verifica con periodicità definita;
  • la procedura di autenticazione per l’accesso alle applicazioni e ai sistemi; in particolare sono garantiti l’univoca associazione a ciascun utente delle proprie credenziali di accesso, il presidio della riservatezza dei fattori di autenticazione, l’osservanza degli standard definiti all’interno nonché delle normative applicabili, ad es. in materia di composizione e gestione della password, di limiti ai tentativi di accesso, di lunghezza di chiavi crittografiche;
  • la segmentazione della rete di telecomunicazione, con controllo dei flussi scambiati, in particolare tra domini connotati da diversi livelli di sicurezza (ad es., sistemi e utenti interni, applicazioni Core, sistemi e utenti esterni); l’accesso a sistemi e servizi critici tramite canali pubblici (ad es., nel caso dell’e-Banking tramite internet) sono presidiati in modo da soddisfare rigorosi requisiti di sicurezza e fornire un livello di protezione conforme ai rischi da fronteggiare.

Vengono successivamente introdotte una serie di misure di sicurezza relative allo sviluppo delle applicazioni, alla valutazione del personale preposto al trattamento dei dati ed allo svolgimento di operazioni critiche oltre che alla tracciatura delle operazioni svolte, riproponendo in parte quanto già introdotto da specifici provvedimenti del Garante per la protezione dei dati personali:

  • l’adozione di metodologie e tecniche per lo sviluppo sicuro del software quale possibile presidio di difesa per componenti valutate nell’analisi del rischio informatico a un livello di rischio potenziale elevato;
  • la separazione degli ambienti di sviluppo, collaudo e produzione, con adeguata formalizzazione del passaggio di moduli software tra di essi, al fine di evitare – di norma – l’accesso a dati riservati e componenti critiche da parte del personale addetto allo sviluppo (tale accesso può essere concesso agli sviluppatori in casi specificamente disciplinati, in via temporanea e previa autorizzazione dell’utente responsabile.); l’ambiente di produzione è sottoposto a misure più restrittive di controllo degli accessi e delle modifiche;
  • i criteri per la selezione e la gestione del personale adibito al trattamento dei dati e allo svolgimento di operazioni critiche (amministratori di sistema e utenti privilegiati) con particolare riguardo alla valutazione delle competenze e dell’affidabilità del personale, alla stipula di specifici impegni di riservatezza nonché alla gestione nel continuo delle mansioni assegnate (ad es., per mezzo di verifiche periodiche degli elenchi del personale abilitato e di misure di "Job Rotation");
  • le procedure per lo svolgimento delle operazioni critiche, garantendo il rispetto dei principi del minimo privilegio e della segregazione dei compiti (ad es., specifiche procedure di abilitazione e di autenticazione, controlli di tipo "Four Eyes"(si fa riferimento a controlli applicativi che richiedono l’inserimento di una stessa transazione da parte di due diversi utenti per procedere alla sua esecuzione.), o di verifica giornaliera ex post); 
  • il monitoraggio, anche attraverso l’analisi di log e tracce di Audit, di accessi, operazioni e altri eventi al fine di prevenire e gestire gli incidenti di sicurezza informatica; le attività degli amministratori di sistema e altri utenti privilegiati delle componenti critiche sono sottoposte a stretto controllo;
  • il monitoraggio continuativo delle minacce e delle vulnerabilità di sicurezza;
  • le regole di tracciabilità delle azioni svolte, finalizzate a consentire la verifica a posteriori delle operazioni critiche, con l’archiviazione dell’autore, data e ora (Ai fini della possibilità di una corretta e agevole ricostruzione di eventi e operazioni che coinvolgono più sistemi, inclusi eventualmente sistemi esterni, è opportuno che l’intermediario si doti di un sistema unificato di riferimento temporale, ad es. basato sul protocollo standard NTP e sincronizzato con un segnale orario di riferimento ufficiale.), contesto operativo e altre caratteristiche salienti della transazione. Le tracce elettroniche sono conservate per un periodo non inferiore a 24 mesi in archivi non modificabili o le cui modifiche sono puntualmente registrate.

Opportunamente ridimensionate per le varie realtà queste ulteriori misure offrono spunti di riflessione decisamente interessanti e hanno il merito di estendere la conoscenza e comprensione di concetti noti ai soli addetti ai lavori, anche ad un pubblico più vasto.

Giancarlo Butti

Ultima modifica ilMercoledì, 18 Settembre 2013 14:42
Altro in questa categoria: Sicuri per legge (parte seconda) »

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto

Cookies make it easier for us to provide you with our services. With the usage of our services you permit us to use cookies.
More information Ok