NEWSLETTER - IL CAFFE' DIGITALE
Quale cybersecurity per un mondo di nuove soluzioni Digital

N.  Ottobre 2018
        

a cura di Elena Vaciago 
Associate Research Manager, The Innovation Group

 

Intervista a Fabio Annessi, Referente IT Security Governance, BNL Gruppo BNP Paribas.

Le evoluzioni delle infrastrutture verso i nuovi paradigmi del cloud, della mobility, dell’IoT, comportano sia nuove opportunità sia problematiche nella gestione della sicurezza aziendale. Questa richiede quindi una nuova impostazione e un nuovo approccio, che abiliti una trasformazione digitale sempre più dinamica e dirompente. Ne parliamo in questa intervista con Fabio Annessi, Referente IT Security Governance di BNL Gruppo BNP Paribas. 

 

Considerando le rapide trasformazioni che interessano il nuovo mondo delle soluzioni e servizi digital, quali diventano oggi le priorità per chi gestisce la sicurezza?

Ancora oggi la priorità principale, anche se si tratta di una vecchia sfida che è sempre in auge, rimane quella di creare e far evolvere i programmi di Security Awareness sull’intera popolazione. Da un lato bisogna far crescere la consapevolezza sui rischi di cybersecurity nel personale tecnico, in quanto è fondamentale che un amministratore di sistema abbia piena conoscenza dei rischi legati al suo mestiere, del fatto che se la sua utenza è violata, si mette a repentaglio l’intera organizzazione. Dall’altro lato, l’awareness è un tema da coltivare tenendo presente l’intera popolazione aziendale, e non solo questa, ma anche la clientela. Anzi, si tratta oggi di sfruttare l’opportunità, del tutto nuova per la banca, di diventare su questi temi un partner del suo cliente. Cambia infatti la proposizione verso l’utente finale: l’istituto bancario può dimostrare la sua maturità su questi temi, mettendo in evidenza sia la sua capacità nel proteggere i dati del cliente, sia anche nell’affiancarlo e permettergli di crescere in consapevolezza.

 

Dal punto di vista delle infrastrutture, quali sono le sfide per allineare sicurezza e nuovi programmi di trasformazione digitale?

Considerando l’evoluzione delle infrastrutture, è fondamentale per un moderno team di sicurezza dotarsi – noi già lo abbiamo fatto da diversi anni – di strumenti a supporto di assessment periodici, come framework NIST e CIS (Critical Security Controls) 20. Nel caso del gruppo BNP Paribas, il modello applicato a livello internazionale si basa su una vista molto ampia e sull’implementazione di assessment periodici, “fotografie” che includono tutto, compresa l’evoluzione delle infrastrutture verso il cloud o assset innovativi, come IoT, blockchain e altro.

Da queste fotografie si arriva alla misura dei Maturity Level della sicurezza per i vari ambiti. Noi, oltre a fare queste istantanee già da qualche anno, analizziamo i dati che scaturiscono da queste analisi con un approccio risk based: le “istantanee” infatti mostrano quali sono le aree in cui bisognerebbe intervenire, evidenziando necessità di miglioramento anche forti: oggi però dobbiamo focalizzarci sull’individuare le priorità di intervento, se non vogliamo che la spesa per la sicurezza cresca all’infinito … Diventa quindi fondamentale dotarsi di una Practice che sia in grado di gestire la security in ottica risk management, per dotarsi di priorità e programmi di trasformazione a supporto dell’IT aziendale.

 

Quindi le evoluzioni in corso portano a ripensare completamente l’approccio alla sicurezza?

Ritengo che oggi sia fondamentale impostare, a valle degli assessment periodici, dei programmi di trasformazione con un approccio di prevenzione dell’evento di sicurezza, piuttosto che agire dopo il fatto avvenuto. Non parlerei solo di incidenti ma più in generale di eventi di sicurezza, perché considerando questi, a volte solo dopo l’analisi ci si accorge che sono stati degli incidenti veri e propri.

Serve quindi un sistema di security management che evolva puntando sempre a prevenire gli incidenti, basato su un modello che preveda la misurazione del security rating dei vari ambienti (database, legacy, ambienti centrali mainframe, per tutte le tecnologie, cloud, mobile, ecc), utilizzando delle classificazioni per identificare il livello di maturità raggiunto dai servizi. Il tutto in ottica risk based.

 

In questo modo si tengono sotto controllo i rischi della complessità crescente, attraverso una misurazione più precisa …

Oggi una serie di componenti, come il SOC, il CSIRT, il sistema di monitoraggio degli eventi, i servizi di Brand reputation e di security threat intelligence, sono oramai materia nota. L’innovazione da introdurre nel nostro campo è un’altra: oltre a fare security tradizionale, per tenere il passo con le evoluzioni (che comunque oggi entrano in modo dirompente anche in banca, dal cloud e SaaS, al mobile e all’IoT) servono strumenti di misurazione dei livelli di sicurezza che si riesce a garantire, con i servizi e le risorse a disposizione.

 

Considerando le evoluzioni delle infrastrutture verso il cloud, quali sono secondo lei i vantaggi per la sicurezza?

Il nostro gruppo offre a tutti gli istituti bancari, a prescindere dalla loro sede, servizi garantiti e in continuità erogati da un’infrastruttura centralizzata in Francia, infrastruttura che ha seguito un percorso evolutivo passato attraverso la virtualizzazione, il cloud privato e anche l’utilizzo di cloud pubblici per specifici servizi. I vantaggi della centralizzazione per la sicurezza sono molteplici, ad esempio, rende molto più efficace il processo di security patching, con un impatto verso il cliente più basso e maggiori garanzie di continuità di servizio. Anche il tema dell’obsolescenza degli asset, hardware o software, con un modello evoluto diventa meno critico, si riesce a garantirne una gestione più snella.

Più in generale l’evoluzione delle infrastrutture vs un modello in cloud è prioritario ed obbligatorio. La ns azienda ha scelto un modello di progressivo rilascio vs ambienti cloud.

In particolare la banca ha deciso di non utilizzare public cloud per servizi core dell’azienda (approccio Risk Based).

La sfida sarà ora quella di far maturare l’organizzazione affinché si riesca a gestire sempre più efficacemente queste nuove infrastrutture.

 

L’evoluzione comporta però anche nuovi rischi: come affrontarli?

Sicuramente la superficie d’attacco è in costante aumento, in considerazione del numero sempre più ampio di device, dagli smartphone agli smartwatch, che entrano nell’uso quotidiano. Per contrastare queste minacce serve, come dicevo all’inizio, creare consapevolezza nelle persone.

Serve quindi innovare, ma fare anche in modo da governare le evoluzioni, e soprattutto evitare un passaggio tout court di un servizio e di una trasmissione di dati da un device all’altro. Bisogna invece gestire in modo diversificato i vari canali, evitando connessioni che aprono più viste e lasciando al cliente l’opzione di accedere a quello che gli serve fornendo però solo il subset minimo di informazioni. Una precauzione costante alla minimizzazione del dato – oggi richiesta anche dalle norme, si pensi al GDPR – può ridurre di molto i problemi. Inoltre, è consigliabile far risiedere alcune tipologie di applicazioni e servizi in ambienti ben confinati, e infine, effettuare penetration test, vulnerability assessment e network scan in modo molto più sistematico e frequente rispetto al passato, per tutti i canali di accesso alle informazioni dell’azienda.

Categorie
FOCUS CYBER
IL CAFFÈ DIGITALE - ARCHIVIO
@TIG_italia