Intervista a John Ramaioli, Responsabile Sicurezza e Business Continuity di Banca Popolare di Milano

Lug 26, 2015
 

 

di Rossella Macinante, Practice leader di NetConsulting cube

 

Buongiorno Dott. Ramaioli,  innanzitutto quale è oggi la sua attività in Banca Popolare di Milano?

Sono responsabile dell’unità organizzativa Sicurezza e Business Continuity, che opera in staff al C.O.O. (Chief Operating Officer) e segue diversi ambiti riconducibili alla sicurezza del patrimonio informativo dell’azienda – dati, informazioni, applicazioni, infrastrutture informatiche – in stretta collaborazione con le funzioni IT.Come funzione specialistica ci occupiamo anche di continuità operativa, di rischio informatico, di frodi sui canali on line, di policy e di amministrazione della sicurezza con una visione il più possibile integrata dei fenomeni.

Dal suo punto di vista negli ultimi anni come sono cambiate le minacce e la tipologia di attacchi informatici?

L’utilizzo sempre più esteso delle soluzioni digitali, la crescente necessità di interconnettere i sistemi informatici e la diffusione dei device mobili, sia a livello individuale che aziendale, hanno contribuito indubbiamente a rendere più complesso lo scenario da governare.  Questo ha determinato non tanto un cambiamento nei vettori di attacchi, che continuano ad essere prevalentemente collegati a mail di spam o di phishing (con presenza di link o  codice malevolo ) ed alla navigazione web su siti compromessi, ma un deciso incremento delle possibilità  degli hacker di indirizzare gli attacchi, dal momento che siamo di fronte a delle vere e proprie organizzazioni criminali che si muovono in ottica industriale nel perseguire lo scopo di lucro,  con capacità economiche e tecnologiche decisamente significative.

Quali sono i rischi maggiori a cui sono esposte le aziende come la sua?

Per la nostra azienda, trattandosi di una banca fortemente orientata ai servizi digitali, il rischio principale è legato al furto di dati e di informazioni  dei clienti, per cui si tratta di un rischio molto rilevante, considerato   che oltre al danno diretto,  emerge un impatto indiretto meno evidente ma forse ancora più significativo legato alla reputazione della Banca e alla perdita di fiducia del cliente.

Dalle banche, ma sempre più spesso compromettendo direttamente i Pc dei nostri clienti,  il criminale tenta quindi di acquisire informazioni, ad esempio numeri di carte di credito, credenziali per l’accesso ai servizi on line e altre informazioni riservate, che possono essere facilmente rivendute sui mercati illegali o utilizzate direttamente per perpetrare frodi.

Non mancano tuttavia le azioni mirate a creare disservizi e blocchi operativi in particolare sui portali on line utilizzati dalla clientela, per poi magari chiedere un riscatto  o anche solo per verificare potenziali punti di debolezza del sistema di sicurezza.

Il tutto agendo da qualunque parte del mondo, spesso da paesi con cui le forze di polizia non hanno accordi di collaborazione e rimanendo in grande misura coperti dall’anonimato che consente la rete globale internet.

Tuttavia per il sistema bancario la sicurezza è sempre stato un aspetto fondamentale, mai trascurato, proprio in considerazione della natura stessa dell’attività svolta e anche la recente circolare 263 di Banca d’Italia in tema di sicurezza ne è un ulteriore dimostrazione.

 

Quali sono gli aspetti salienti delle disposizioni contenuti nella circolare 263 ?  

La 263 in particolare pone l’accento su aspetti in ambito organizzativo per rendere massimo il presidio del rischio informatico, con un’enfasi particolare sul coinvolgimento degli organi decisionali, laddove si dovesse gestire una minaccia che comprometta il funzionamento della banca e quindi la continuità operativa.  Per la prima volta vengono fornite dal regolatore norme che indirizzano la governance dei sistemi informativi e la sicurezza informatica come elementi centrali, in quanto  deputati allo svolgimento di attività bancarie fondamentali.

In ambito sicurezza e rischio informatico, si citano diversi temi quali la redazione e l’aggiornamento delle politiche di sicurezza, la predisposizione dei necessari presidi di sicurezza, la partecipazione degli utenti  alla valutazione del rischio potenziale, l’analisi del rischio informatico e l’individuazione delle azioni di mitigazione, il monitoraggio delle minacce, lo svolgimento dei test di sicurezza.

Si comprende quindi come gli aspetti organizzativi per Banca d’Italia assumono un ruolo di rilievo per garantire una gestione efficace della sicurezza e del rischio informatico.

Quali sono a suo avviso gli assi portanti per disegnare una strategia di Cybersecurity?

I pilastri di una strategia di Cybersecurity sono sostanzialmente:

  • Tecnologia
  • Processi
  • Persone
  • Information sharing

Riguardo alla tecnologia, la nostra Banca investe continuamente risorse economiche e umane per proteggere il patrimonio informativo proprio e dei clienti; nel piano industriale della Banca Popolare di Milano è presente uno specifico progetto di “Sicurezza Informatica” con l’obiettivo di un costante miglioramento e presidio del livello di sicurezza e di rischio informatico.

Ma non ci si può fermare, le organizzazioni criminali evolvono di continuocon l’aiuto delle nuove tecnologie. Dobbiamo stare al passo, aggiornarci, dotarci di misure sempre più sofisticate ed efficaci e di un governo della sicurezza sempre più attento.

Processi e persone sono anch’essi un aspetto fondamentale, per cui fare formazione a tutti i livelli per sensibilizzare i dipendenti sui  rischi è, e continuerà ad essere, un impegno costante.  Inoltre, la valutazione del livello di rischio, ora anche quello informatico, deve essere parte integrante di qualunque decisione di investimento/iniziativa, per poter essere in grado di considerare anche eventuali costi nascosti di un investimento.

Anche la condivisione delle informazioni sulle nuove vulnerabilità, minacce o incidenti più recenti e la collaborazione tra tutti quelli che “fanno sicurezza” rappresenta un valore perché accelera la conoscenza dei fenomeni, riduce i tempi di reazione e quindi rende più efficace l’azione di contrasto nei confronti dei criminali.

 

Infine, quali sono i trend emergenti dal punto di vista tecnologico?

Indubbiamente, il tema centrale è fare un monitoraggio preventivo, per poter individuare gli eventi prima che diventino delle vere minacce e si trasformino in incidenti. Il problema, però, è che spesso l’analisi degli eventi genera un overload non sostenibile, come  sottoprodotto di un numero considerevole di falsi positivi.  Sicuramente l’evoluzione tecnologica, in particolare la disponibilità di motori di analytics sempre più sofisticati che siano in grado di analizzare sia dati correlati all’attività della banca che provenienti dal mondo esterno consentirà di ottimizzare questi processi e di renderli più efficaci. Senza dimenticare la necessità di nuove competenze specialistiche che uniscano alla capacità di analisi dati le conoscenze specifiche di sicurezza informatica.

 

CONDIVIDI L'ARTICOLO SUI SOCIAL

Comments are closed.