L’approccio integrato alla sicurezza

L’insostenibile inconsapevolezza dell’essere “Achille”, invincibile tranne che nel suo punto debole.

di Mario Farris, Business Development Director @ Workgroup Consulting

Si parla di sicurezza nella sua massima accezione in quanto esistono i rischi e i rischi sono rappresentati dalle vulnerabilità più o meno note e conosciute.
E’ una distinzione di rilievo aver noto il problema rispetto a conoscere il problema.
Da quando nell’ormai apparentemente lontano 1974 fu istituito il Comitato di Basilea per la vigilanza bancaria [organismo di consultazione, istituito nel 1974 dalle banche centrali dei paesi appartenenti al G10, che ha dato origine alla normativa esistente sull’adeguatezza patrimoniale dei sistemi bancari a livello internazionale NdR] a seguito di un increscioso avvenimento che regnò a lungo nella memoria degli economisti mondiali, ossia il fallimento della tedesca Bankhaus Herstatt, maggiore attenzione e studio dei rischi e delle vulnerabilità in azienda divennero protagonisti di un radicale e ancora in evoluzione cambiamento del rapporto tra azienda, business e cliente.

Ovviamente all’epoca erano a tutti noti i rischi di un eventuale fallimento, ma da quel momento in poi la conoscenza del rischio e del relativo danno portarono a una presa di coscienza da parte delle Banche Centrali dei paesi appartenenti al G10 della vera portata dei riscontri negativi subiti dal business.

 

APPROCCIO A TUTTO CAMPO

Fin qui in modo decisamente molto soft abbiamo evidenziato una delle tante fonti di vulnerabilità, ma l’approccio al problema non deve essere mirato a una singola area, bensì deve tendere ad ampliare la visione analizzando quindi la tematica negli ambiti di rischio/sicurezza del credito, finanziaria o di mercato, della sicurezza fisica, di quella dei dati (IS017799, BS7799), della protezione dei dati personali, della continuità del business, della sicurezza operativa.

Ogni ambito porta con sé conseguenze non solo economiche e di immagine, ma talvolta anche di rilevanza civile e penale a seconda dell’entità e gravità del caso. Basti pensare ad esempio all’attenzione posta alla verifica dell’ottemperanza della norma in ambito privacy (D.Lgs. 196/03 in merito al trattamento dei dati personali, che prevede la creazione e manutenzione nel tempo di un modello operativo denominato DPS, Documento Programmatico della Sicurezza), che vede direttamente coinvolta la Guardia di Finanza nei controlli capillari e che porta a infliggere multe anche molto onerose (fino a decine di migliaia di euro) sino a giungere, per i reati più gravi, a tre anni di reclusione ed enormi danni a carico del Responsabile interno della Sicurezza e del Legale Rappresentante (ex D.L. 231/01).
Ma perché oggi è così diverso lo scenario rispetto a solo qualche decennio fa? Se all’inizio la maggiore azione di sicurezza era quella di predisporre impianti TVCC (apparecchiature per la videosorveglianza), chiusure ermetiche e caveau blindati atti a proteggersi dagli attacchi esterni fisici o di mainframe “ridondati” e di backup schedulati per la sicurezza dei dati, ora la più grossa preoccupazione è rappresentata dagli attacchi in rete ai sistemi informatici che ospitano tutti i dati core dell’azienda.
La tecnologia infatti ha cambiato notevolmente il nostro modo e stile di vita, al punto tale che inevitabilmente anche le banche hanno dovuto “aprirsi” al mondo con servizi on-line fruibili via Internet rivolti non solo agli scambi tra operatori, ma anche e soprattutto ai Clienti retail.

Non serve ricordare che hacker quindicenni entrano indisturbati nei sistemi della NASA o che dei kamikaze abbattono l’immagine della nazione (oltre alle migliaia divite umane) a cui è legata la massima espressione di sicurezza, ma serve invece ricordare uno dei più antichi e al tempo stesso attuale proverbio: “prevenire è meglio che curare”.

PROTEGGIAMO I NOSTRI ASSET

Proviamo ora a declinare la definizione e l’attuazione delle norme di sicurezza in una struttura organizzativa.

La sicurezza del perimetro fisica

La prima “difesa” concretamente posta in essere è rappresentata dall’installazione di un sistema di supervisione e di controllo del building. BMS o BuildingManagement System, che funga con una sola centrale da sistema antiintrusione, controllo accessi, rilevazione presenze,gestione dei visitatori e dei collaboratori estemi, rilevazione gas, rilevazione fumi e comfort (riscaldamento, condizionatore, luci, allarmi, etc).
Questo sistema da un lato funge da deterrente per gli attacchi dei malintenzionati, dall’altro garantisce la conoscenza e la tracciabilità delle persone all’interno dell’azienda, siano essi dipendenti, visitatori o collaboratori esterni.

La sicurezza dei sistemi

Con l’accesso ai server interni e al sistema di back office si presenta la necessità di verificare l’impatto sul business e sui processi in caso di malfunzionamento dei sistemi informativi, parliamo di BIA Business Impact Analysis  e di BCP Business Continuity Plan  ovvero di garantire la continuità di tutte le attività core.
Le soluzioni preventive in caso di attacchi ai sistemi sono veramente molteplici e contemplano firewall, smart card, antispamming, VPN, Storage e tante altre ancora.
Superata anche questa soglia il nostro potenziale hacker si trova ad affrontare anche il test delle password.
Anche in questo caso vengono imposte delle regole ben precise per la creazione e la variazione continua delle medesime e molto spesso l’utente si trova nella condizione di avere password e profilature diverse per ogni tipo di applicazione (problema peraltro risolvibile, anche se non in modo indolore, con sistemi che consentono il single sign on).
Ma se nonostante tutti questi muri, difese, ostacoli e protezioni il nostro “Ettore” entra nei nostri sistemi, che cosa possiamo ancora fare?

O peggio, se “Ettore” fosse endogeno?

La sicurezza contro gli INSIDERS

Alcuni dati rilevati e diffusi nel 2002 (TheACFE 2002 report) sono veramente inquietanti: il costo medio delle frodi corrisponde al 6% dei ricavi medi; il 60% delle frodi deriva da personale interno alle organizzazioni (frode e infedeltà); oltre il50% delle frodi determina perdite superiori a 100 mila euro; il 65% delle frodi sono scoperte per caso: tipicamente per scoprire una frode occorrono 18 mesi.
A tutto ciò si aggiunga che in alcuni casi ci sono danni non intenzionali bensì causati da semplici errori umani che si traducono però in danni economici e di immagine.
Avete bene in mente il ricavo della vostra azienda? Avete calcolato il 6%? Se considerate la casualità della scoperta, la variabile tempo e l’immenso volume di operazioni, transazioni e informazioni da controllare c’è di che preoccuparsi.

L’AIUTO DELLA TECNOLOGIA

La tecnologia come sempre ci è di supporto, non possiamo più quindi continuare a sostenere l’insostenibile inconsapevolezza dell’essere il “pelide Achille”.
Abbiamo ora la possibilità di controllare il diffondersi di questa malattia latente che danneggia il nostro sistema interno e mette a repentaglio l’immagine che l’azienda vuole dare di se ai propri clienti.
Ma riprendendo il proverbio prima enunciato “prevenire è meglio che curare”, il vantaggio di soluzioni di FRAUD PREVENTION and DETECTION consiste proprio nel fornire proattivamente in tempo reale degli alert in caso di rilevazione preventiva di attività sospette.
Si comincia ad intravedere la convenienza?
Bene, ma i vantaggi non finiscono qui. Infatti se da un lato il Risk Manager o l’Internal Audit Manager responsabili di tutta l’area rischi e processi ottempera con simile applicazione a tutte le disposizioni previste dalle direttive internazionali (Sarbanes Oxley che richiede che siano attivate specifiche procedure interne di controllo; Privacy tramite la creazione di “scatola nera” completa di tutte le transazioni eseguite in lettura e scrittura: Gramm-Leach-Bliley che vuole la tracciatura dell’accesso alle applicazioni; Basilea 2 che obbliga le banche a gestire il rischio operativo; HIPAA che richiede attività di audit tramite meccanismi e strumenti per la rilevazione delle attività degli utenti sul sistema informativo), dall’altro è anche in grado di scatenare delle significative e automatiche reazioni a catena che consentono quindi non solo di non disperdere il 6% dei ricavi, ma soprattutto di implementare un governo consapevole della sicurezza a tutto campo.

L’impegno del CSO di concerto con tutte le altre aree funzionali sarà quello di cercare di rendere inattaccabile l’azienda.
Al Marketing e alla Direzione del Personale poi il compito di comunicare,all’interno e all’esterno, che l’insicurezza si è trasformata “IN SICUREZZA”, uno sforzo fatto per garantire trasparenza, qualità e affidabilità a chi da sempre detta le regole del mercato: il Cliente.