Questo mese abbiamo fatto colazione con…
Michele Rivieri, Chief Information Security Officer di Cedacri

Non è una banca in senso stretto, ma deve pensare e spesso agire come una banca. Anzi, come tante banche e istituzioni finanziarie che a essa si affidano per la gestione dei sistemi informativi. Stiamo parlando di Cedacri, realtà italiana di riferimento nei servizi di outsourcing informatico per il settore bancario, con un fatturato superiore ai 270 milioni di euro e oltre 800 dipendenti perlopiù impegnati a supportare un parco di oltre 100 clienti, che comprende anche diverse istituzioni finanziarie, aziende industriali e società di servizi.

Nel proprio ruolo di outsourcer, Cedacri spesso gestisce in modo integrale i sistemi informativi soprattutto di banche territoriali, che non dispongono di competenze e risorse sufficienti per occuparsi della componente tecnologica. La sicurezza è uno degli aspetti più delicati per un comparto oggetto di continui attacchi e molto appetibile per il cybercrime organizzato: “Gli istituti di dimensioni più ridotte si trovano a vivere il paradosso di dover ottemperare a normative pensate per proteggere le realtà più complesse“, spiega Michele Rivieri, Chief Information Security Officer di Cedacri. “Oggettivamente, parliamo di soggetti esposti a pericoli reali in misura spesso minore rispetto ai nomi di riferimento del panorama finanziario italiano, ma gli obblighi di compliance sono uguali per tutti, con oneri economici complessi da gestire per chi non può far leva su budget troppo significativi“.

Questo scenario conferma come il tema della sicurezza non debba essere trascurato dalle banche di piccole e medie dimensioni. O almeno non dovrebbe. La realtà, fotografata in una recente indagine qualitativa condotta da Indigo Communication, evidenzia tratti a volte contraddittori, soprattutto in termini di consapevolezza delle problematiche da affrontare. In linea generale, gli investimenti messi in campo negli anni hanno consentito in buona misura di raggiungere uno standard considerato elevato sul fronte della protezione perimetrale, mentre piuttosto diffusa è la preoccupazione riferita soprattutto ai servizi di Internet banking e al comportamento del personale interno, in quest’ultimo caso per prevenire tentativi di frode che facciano leva su phishing e social engineering.

Tuttavia, nell’universo di riferimento di Cedacri verosimilmente rappresentativo di tutta la realtà italiana, solo una percentuale minoritaria di istituti dispone di figure interne specializzate nella sicurezza informatica e, quindi, più attente alle evoluzioni in materia: “Non è una situazione così sorprendente”, rileva Rivieri. “In molti casi abbiamo un ruolo da full outsourcer ed è quindi normale che istituti di piccole e medie dimensioni, concentrate sulla loro operatività, deleghino a noi impostazioni strategiche, scelte e aggiornamenti in ambito sicurezza informatica“.

Cedacri funge anche da vero e proprio Soc (Security Operation Center) per le banche totalmente appoggiate ai propri servizi e, in generale, per un’ampia maggioranza delle oltre 60 realtà gestite, imposta il piano di sicurezza ed effettua tutte le scelte tecnologiche correlate: “I soggetti di dimensione media, per i quali svolgiamo solo una parte delle attività, dispongono di una struttura It più articolata, spesso con un gruppo di sviluppatori interno, e quindi godono anche di maggior autonomia“, specifica Rivieri.

Nell’attuale scenario della sicurezza informatica, appare inevitabile avere un approccio reattivo di fronte alle minacce in continua evoluzione: “Nel nostro gruppo operano specialisti incaricati di fare monitoraggio continuo, rilevazione delle anomalie, analisi e comprensione delle motivazioni“, illustra Rivieri. “Per competere con gli attaccanti, occorre fare bene le sentinelle e non illudersi di essere protetti solo perché si ritiene di avere il perimetro ben protetto. Spesso il punto debole è rappresentato dal comportamento umano ed è lì che vanno a insistere i malintenzionati. Avere buone pratiche di sicurezza, oggi, significa soprattutto saper rilevare rapidamente un tentativo di intrusione e porvi gli adeguati rimedi“.

Il fattore umano rappresenta l’elemento più critico nella misurazione dell’efficacia di una strategia di sicurezza e questo riguarda le aziende di ogni dimensione. Gli investimenti in formazione non andrebbero lesinati, ma inevitabilmente, più ci si confronta con realtà poco strutturate, più si avverte la fatica di garantire il livello di preparazione che servirebbe. Poiché la responsabilità delle scelte su questo fronte resta di pertinenza delle singole banche, Cedacri nel suo piano strategico ha previsto di rafforzare le attività di Soc: “Vogliamo aiutare i nostri clienti a migliorare il livello complessivo della loro sicurezza e, a tal fine, rappresenta un forte vantaggio avere, come SOC, una visione a tutto tondo della infrastruttura informatica della banca, sia la parte gestita direttamente da Cedacri che quella mantenuta presso le sedi del cliente“, conclude Rivieri.