Menu

Sicuri per legge (parte prima)

Sicuri per legge (parte prima)

Per la prima volta le disposizioni di vigilanza di Banca d’Italia parlano espressamente in modo diffuso del sistema informativo aziendale. Come spesso facciamo cerchiamo di trarre spunti da questo documento, dedicato al mondo bancario, per applicarne i suggerimenti anche in altri ambiti.

Fino a poco tempo fa, la normativa che maggiormente impattava i sistemi informativi aziendali era quella legata alla Privacy. Oggi, almeno nelle banche, questo non è più vero.

GiĂ  in precedenza le disposizioni di vigilanza si erano interessate al sistema informativo aziendale, pur limitatamente agli aspetti legati alla continuitĂ  operativa. Ora invece lo fanno in modo esteso, con una serie di indicazioni che possono essere calate senza grossi problemi anche nelle aziende, perlomeno in quelle di maggiori dimensioni. Anche per realtĂ  piĂą piccole questo documento, disponibile liberamente sul sito di Banca d’Italia, può comunque essere un utile spunto sulle Best Practice applicabili sia al governo, impostazione ed organizzazione del sistema informativo, sia alla sicurezza delle informazioni.

Indicazioni che non necessariamente (in particolare nelle aziende piĂą piccole), devono essere considerati applicabili direttamente all’interno dell’azienda. Se queste si avvalgono di strutture esterne per la fornitura dei servizi informatici utili per il loro business, tali indicazioni potrebbero essere rivolte ai fornitori (la normativa dedica parti specifiche a questo aspetto).

La nuova normativa della Banca d'Italia per i sistemi informativi

La normativa emanata recentemente dalla vigilanza della Banca d'Italia offre diversi spunti; in questo primo articolo esprimiamo le considerazioni relative alla sicurezza informatica, rimandando ad un approfondimento successivo l'esame di altri aspetti comunque rilevanti.

Nella premessa, le disposizioni di vigilanza individuano come il sistema informativo assuma un ruolo fondamentale; tale accezione oltre che al mondo bancario può essere applicata ad un gran numero di aziende di servizi, commerciali ed anche manifatturiere (si pensi in questo caso ad esempio alle linee di produzioni automatizzate..).

La norma evidenzia i vari aspetti che sono presidiati dal sistema informativo, che vanno al di lĂ  del mero aspetto operativo, assumendo sempre piĂą una valenza strategica, di governo e di controllo, in quanto il sistema informativo non solo permette la gestione di dati e di molti processi aziendali legati alla produzione, ma anche informazioni di valenza strategica.

  • Il sistema informativo (inclusivo delle risorse tecnologiche - hardware, software, dati, documenti elettronici, reti telematiche - e delle risorse umane dedicate alla loro amministrazione) rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi…, in considerazione della criticitĂ  dei processi aziendali che dipendono da esso. Infatti:
  • dal punto di vista strategico, un sistema informativo sicuro ed efficiente, basato su un’architettura flessibile, resiliente e integrata a livello di gruppo consente di sfruttare le opportunitĂ  offerte dalla tecnologia per ampliare e migliorare i prodotti e i servizi per la clientela, accrescere la qualitĂ  dei processi di lavoro, favorire la dematerializzazione dei valori, ridurre i costi anche attraverso la virtualizzazione dei servizi …;
  • nell’ottica della sana e prudente gestione, il sistema informativo consente al management di disporre di informazioni dettagliate, pertinenti e aggiornate per l’assunzione di decisioni consapevoli e tempestive e per la corretta attuazione del processo di gestione dei rischi;
  • con riguardo al contenimento del rischio operativo, il regolare svolgimento dei processi interni e dei servizi forniti alla clientela, l’integritĂ , la riservatezza e la disponibilitĂ  delle informazioni trattate, fanno affidamento sulla funzionalitĂ  dei processi e dei controlli automatizzati;
  • in tema di Compliance, al sistema informativo è affidato il compito di registrare, conservare e rappresentare correttamente i fatti di gestione e gli eventi rilevanti per le finalitĂ  previste da norme di legge e da regolamenti interni ed esterni.

Dopo questa premessa la normativa evidenzia il ruolo delle strutture di indirizzo e di gestione che dovrebbero sovraintendere il governo e l’organizzazione del sistema informativo, ma su questi aspetti ritorneremo in un secondo momento, così come sulla valutazione del rischio.

I riflessi sui sistemi di sicurezza informatica

La normativa indica quali sono i compiti assegnati alle varie strutture, compresa quella che presiede la sicurezza informatica:

La funzione di sicurezza informatica è deputata allo svolgimento dei compiti specialistici in materia di sicurezza delle risorse ICT. In particolare:

  • segue la redazione e l’aggiornamento delle Policy di sicurezza e delle istruzioni operative;
  • assicura la coerenza dei presidi di sicurezza con le Policy approvate;
  • partecipa alla progettazione, realizzazione e manutenzione dei presidi di sicurezza dei Data Center;
  • partecipa alla valutazione del rischio potenziale nonchĂ© all’individuazione dei presidi di sicurezza nell’ambito del processo di analisi del rischio informatico;
  • assicura il monitoraggio nel continuo delle minacce applicabili alle diverse risorse informatiche;
  • segue lo svolgimento dei test di sicurezza prima dell’avvio in produzione di un sistema nuovo o modificato.

Nelle realtà più complesse, l’indipendenza di giudizio rispetto alle funzioni operative è assicurata da un’adeguata collocazione organizzativa.

Relativamente agli ambiti presidiati dalla sicurezza informatica, la normativa estende il normale perimetro a questa attribuito (riservatezza, integrità, disponibilità: "La gestione della sicurezza informatica comprende i processi e le misure volti, …a garantire a ciascuna risorsa informatica una protezione, in termini di riservatezza, integrità, disponibilità, verificabilità e Accountability, appropriata e coerente lungo l’intero ciclo di vita."

Introducendo i concetti di:

  • “verificabilità”: la garanzia di poter ricostruire, all’occorrenza e anche a distanza di tempo, eventi connessi all’utilizzo del sistema informativo e al trattamento di dati.

e

  • “Accountability”: l’assegnazione della responsabilitĂ  di un’attivitĂ  o processo aziendale, con il conseguente compito di rispondere delle operazioni svolte e dei risultati conseguiti, a una determinata figura aziendale; in ambito tecnico, si intende la garanzia di poter attribuire ciascuna operazione a soggetti (utenti o applicazioni) univocamente identificabili;

Le Policy di Sicurezza

La normativa prevede specificatamente la definizione di Policy di sicurezza descrivendone il processo di gestione ed il contenuto.

La Policy di sicurezza informatica è approvata … e comunicata a tutto il personale e alle terze parti coinvolte nella gestione di informazioni e componenti del sistema informativo. Essa riporta:

  • gli obiettivi del processo di gestione della sicurezza informatica in linea con la propensione al rischio informatico definito a livello aziendale; tali obiettivi sono espressi in termini di esigenze di protezione e di controllo del rischio tecnologico;
  • i principi generali di sicurezza sull’utilizzo e la gestione del sistema informativo da parte dei diversi profili aziendali;
  • i ruoli e le responsabilitĂ  connessi alla funzione di sicurezza informatica nonchĂ© all’aggiornamento e verifica delle Policy;
  • il quadro di riferimento organizzativo e metodologico dei processi di gestione dell’ICT deputati a garantire l’appropriato livello di protezione;
  • le linee di indirizzo per le attivitĂ  di comunicazione, formazione e sensibilizzazione delle diverse classi di utenti;
  • un richiamo alle norme interne che disciplinano le conseguenze di violazioni rilevate della policy da parte del personale;
  • un richiamo alle norme di legge e alle altre normative esterne applicabili inerenti alla sicurezza di informazioni e risorse ICT, incluse le norme riportate nella presente Sezione.

La Policy di sicurezza può fare riferimento a documenti di maggiore dettaglio, ad es. linee guida o manuali operativi in tema di configurazioni e procedure di sicurezza per particolari componenti e applicazioni;…; norme per il corretto utilizzo di applicazioni aziendali trasversali, quali la posta elettronica e la navigazione internet.

La regolare revisione della Policy di sicurezza tiene conto dell’evoluzione del campo di attività, dei prodotti forniti, delle tecnologie e dei rischi fronteggiati dall’intermediario.

Successivamente fissa una serie di punti che definiscono regole per la gestione della sicurezza delle informazioni e delle risorse ICT. La prima serie di indicazioni sono di fatto molto simili alle analoghe misure minime previste dal Dlgs 196/03 e del relativo allegato B:

La sicurezza delle informazioni e delle risorse informatiche è garantita attraverso misure di protezione a livello fisico e logico, la cui intensità di applicazione è graduata in relazione alle risultanze della valutazione del rischio (classificazione delle risorse informatiche in termini di sicurezza). Tali misure sono distribuite su diversi strati, così che un’eventuale falla in una linea di difesa sia coperta dalla successiva (“difesa in profondità”), comprendendo:

  • i presidi fisici di difesa e le procedure di autorizzazione e controllo per l’accesso fisico a sistemi e dati (ad es., barriere perimetrali con punti di ingresso vigilati, locali ad accesso controllato con registrazione degli ingressi e delle uscite);
  • la regolamentazione dell’accesso logico a reti, sistemi, basi di dati sulla base delle effettive esigenze operative (principio del "Need-toKnow"; i diritti di accesso sono accordati, mediante ricorso ad opportuni profili abilitativi, previa formale autorizzazione; l’elenco degli utenti abilitati è sottoposto a verifica con periodicitĂ  definita;
  • la procedura di autenticazione per l’accesso alle applicazioni e ai sistemi; in particolare sono garantiti l’univoca associazione a ciascun utente delle proprie credenziali di accesso, il presidio della riservatezza dei fattori di autenticazione, l’osservanza degli standard definiti all’interno nonchĂ© delle normative applicabili, ad es. in materia di composizione e gestione della password, di limiti ai tentativi di accesso, di lunghezza di chiavi crittografiche;
  • la segmentazione della rete di telecomunicazione, con controllo dei flussi scambiati, in particolare tra domini connotati da diversi livelli di sicurezza (ad es., sistemi e utenti interni, applicazioni Core, sistemi e utenti esterni); l’accesso a sistemi e servizi critici tramite canali pubblici (ad es., nel caso dell’e-Banking tramite internet) sono presidiati in modo da soddisfare rigorosi requisiti di sicurezza e fornire un livello di protezione conforme ai rischi da fronteggiare.

Vengono successivamente introdotte una serie di misure di sicurezza relative allo sviluppo delle applicazioni, alla valutazione del personale preposto al trattamento dei dati ed allo svolgimento di operazioni critiche oltre che alla tracciatura delle operazioni svolte, riproponendo in parte quanto giĂ  introdotto da specifici provvedimenti del Garante per la protezione dei dati personali:

  • l’adozione di metodologie e tecniche per lo sviluppo sicuro del software quale possibile presidio di difesa per componenti valutate nell’analisi del rischio informatico a un livello di rischio potenziale elevato;
  • la separazione degli ambienti di sviluppo, collaudo e produzione, con adeguata formalizzazione del passaggio di moduli software tra di essi, al fine di evitare – di norma – l’accesso a dati riservati e componenti critiche da parte del personale addetto allo sviluppo (tale accesso può essere concesso agli sviluppatori in casi specificamente disciplinati, in via temporanea e previa autorizzazione dell’utente responsabile.); l’ambiente di produzione è sottoposto a misure piĂą restrittive di controllo degli accessi e delle modifiche;
  • i criteri per la selezione e la gestione del personale adibito al trattamento dei dati e allo svolgimento di operazioni critiche (amministratori di sistema e utenti privilegiati) con particolare riguardo alla valutazione delle competenze e dell’affidabilitĂ  del personale, alla stipula di specifici impegni di riservatezza nonchĂ© alla gestione nel continuo delle mansioni assegnate (ad es., per mezzo di verifiche periodiche degli elenchi del personale abilitato e di misure di "Job Rotation");
  • le procedure per lo svolgimento delle operazioni critiche, garantendo il rispetto dei principi del minimo privilegio e della segregazione dei compiti (ad es., specifiche procedure di abilitazione e di autenticazione, controlli di tipo "Four Eyes"(si fa riferimento a controlli applicativi che richiedono l’inserimento di una stessa transazione da parte di due diversi utenti per procedere alla sua esecuzione.), o di verifica giornaliera ex post); 
  • il monitoraggio, anche attraverso l’analisi di log e tracce di Audit, di accessi, operazioni e altri eventi al fine di prevenire e gestire gli incidenti di sicurezza informatica; le attivitĂ  degli amministratori di sistema e altri utenti privilegiati delle componenti critiche sono sottoposte a stretto controllo;
  • il monitoraggio continuativo delle minacce e delle vulnerabilitĂ  di sicurezza;
  • le regole di tracciabilitĂ  delle azioni svolte, finalizzate a consentire la verifica a posteriori delle operazioni critiche, con l’archiviazione dell’autore, data e ora (Ai fini della possibilitĂ  di una corretta e agevole ricostruzione di eventi e operazioni che coinvolgono piĂą sistemi, inclusi eventualmente sistemi esterni, è opportuno che l’intermediario si doti di un sistema unificato di riferimento temporale, ad es. basato sul protocollo standard NTP e sincronizzato con un segnale orario di riferimento ufficiale.), contesto operativo e altre caratteristiche salienti della transazione. Le tracce elettroniche sono conservate per un periodo non inferiore a 24 mesi in archivi non modificabili o le cui modifiche sono puntualmente registrate.

Opportunamente ridimensionate per le varie realtĂ  queste ulteriori misure offrono spunti di riflessione decisamente interessanti e hanno il merito di estendere la conoscenza e comprensione di concetti noti ai soli addetti ai lavori, anche ad un pubblico piĂą vasto.

Giancarlo Butti

Ultima modifica ilMercoledì, 18 Settembre 2013 14:42
Altro in questa categoria: Sicuri per legge (parte seconda) »

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto