Mi occupo di sicurezza delle informazioni da diversi anni e dunque già dalla lunghezza del titolo del convegno (“ICT Security, Business Continuity e Compliance Privacy” ) ho intuito che sarebbero stati affrontati una pluralità di argomenti connessi alla security (a proposito: ANSSAIF sta per “Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria”).
Ah, i bei tempi in cui si poteva smanettare sui bit e byte ed ingaggiare guerre elettroniche con pseudo hacker oltre cortina …! Ma poi venne la legge sulla privacy e tutto cambiò!
In quest’anni ho visto che la sicurezza informatica, specie nelle banche, si è sempre più dovuta confrontare con problematiche normative. Dicevo della legge sulla privacy ma poi vennero le disposizioni di Bankit sulla CAI, poi gli obblighi dell’antiriciclaggio, poi le torri gemelle e la business continuity, poi la SOX a seguito degli scandaloni USA e la 231 a seguito degli scaldaletti nostrani, eccetera eccetera. Ormai sul Corriere della Sera del venerdì non si trovano più annunci tipo “cercasi esperto di sicurezza” ma solo criptici avvisi che si rivolgono a “Compliance Manager”.
Mi presento dunque nella confortevole sala della BNL pronto a conoscere le sfide che mi attenderanno nei prossimi mesi.
La prima impressione è che la Compliance, così com’è per la Sicurezza ICT, riguarda solo gli uomini: non vedo una rappresentante del gentil sesso da nessuna parte se non tra la platea! Ma perché?
Comunque si comincia!
Inizia l’ingegner Anthony Cecil Wright [3] presidente dell’associazione che in modo semplice ma senza giri di parole, ci convince che dobbiamo cambiare mestiere (immediatamente il pensiero corre al mio impolverato CV: da quanto tempo non lo aggiorno?). Ecco la sintesi del suo intervento (pdf [4], 821 K).
La Business Continuity incombe e le scadenze sono ormai prossime. Dunque basta con i progetti di sicurezza autonomi: dobbiamo dotarci di un antivirus? Ci serve un firewall? Prima di spendere soldi (e tempo) dobbiamo chiederci se i nostri sforzi ed investimenti sono coerenti con la Security Governance aziendale che deve “tendere al perseguimento dei comuni obiettivi attraverso l’integrazione dei modelli di analisi, il coordinamento delle strutture organizzative ed infine alle possibili integrazioni fra procedure, al fine di cogliere le sinergie e aumentare l’efficienza interna, nonché migliorare l’immagine verso l’esterno, anche tramite le apposite certificazioni e metodologie internazionali che ultimamente si stanno sempre più affermando”.
Cavolo!
Per fortuna l’ingegner. Wright ha anche la soluzione: si chiama COSO [5] (che sta per Treadway Commission's Committee of Sponsoring Organizations) e che mette a disposizione dei security manager il suo ERM (Enterprise Risk Management -- Integrated Framework [6]). Il BC Manager deve allora diventare un Compliance Manager perché il rischio in Azienda deve essere gestito con metodi rigorosi ricordandosi sempre che la continuità del business è la priorità numero uno!
Un silenzio religioso segue a tali affermazioni e l’ingegner Wright ne approfitta per minacciarci ricordandoci che:
- la scadenza per il BCP (Business Continuity Plan) è ormai prossima (ne parlerà subito dopo di lui Bankit)
- importantissime iniziative in materia sono in cantiere da parte di ABI (che parlerà dopo l’organo di vigilanza)
- dovremo spendere ancora soldi su questi progetti (e ci spiegheranno come spenderli: KPMG, Banca Intesa e SIA).
Tocca al dottor Pietro Franchini della Banca d'Italia che affronta il tema della “normativa di vigilanza sulla continuità operativa e lo stato di preparazione del sistema bancario” (pdf [7], 28,7 K).
Andando al sodo ecco le scadenze per le banche:
- piano di disaster recovery: deve essere già attivo
- dicembre 2006: compliance sulla normativa generale relativa alla business continuity (ma possono essere segnalati, con congruo anticipo, slittamenti e difficoltà)
- fine 2007 (ma la data non è ancora definitiva): ulteriori requisiti particolari.
- principio 7 del Joint Forum [8] - inserimento nelle prassi di vigilanza di controlli sulla continuità operativa
- verifiche sui grandi gruppi bancari
- incontri con i principali fornitori ed outsourcer
- interventi per risolvere le principali criticità riscontrate
- indagini, tramite questionari, sullo stato di preparazione del sistema bancario
- collaborazione con ABI, Federcasse, etc. per rafforzare il livello di sicurezza del sistema bancario italiano.
- Disaster recovery (DR)
- 80% dispone di un piano di DR (90% fondi interm.)
- 63% conforme ai requisiti di vigilanza
- principali causa di non conformità: carenze nei sistemi non legacy (47% in corso), mancanza approvazione CdA (20% in corso)
- non sono conformi alcune banche incluse in gruppi medio - grandi
- anche chi non dispone del piano segnala attività di DR
- 2% segnala di prolungare i lavori oltre fine 2006
- Continuità operativa (BCP)
- 84% non dispone del BCP
- metà delle banche con BCP ne dichiara la non conformità
- in ritardo quasi tutte le BCC (ma iniziative federative), 70% banche in grandi gruppi, 36% filiali di banche estere
- stato di avanzamento:
- analisi d'impatto 57%
- progettazione interventi 27%
- approvazione progetto 21%
- conclusione lavori: 9% oltre dicembre 2006
Dopo Banca d’Italia è il turno di ABI per cui parla, a braccio e senza slide, il dottor Massimiliano Magi Spinetti sul tema “Una visione sinergica della Sicurezza: il parere e le attività in corso dell’ABI”.
Finalmente alle 11, tra scroscianti applausi, viene annunciato il coffee break che si rivela conforme (ops: volevo dire compliant…) alle aspettative. Ne approfitto per scambiare impressioni e commenti, in generale i giudizi sull’organizzazione del convegno e la qualità dei relatori sono ottimi. Moltissimi parlano però della Nazionale italiana che da lì a poche ore si giocherà la qualificazione mondiale contro la Repubblica Ceca (i meno informati parlano ancora di Cecoslovacchia…).
Sazio per il ricco banchetto riprendo posto in sala dove è il turno del dottor Roberto Masotti, Corporate Security Director di SIA - Società Interbancaria per l’Automazione [9]. Il titolo del suo intervento è “Sicurezza: una convergenza possibile”.
Non ha proiettato slide, ma il suo intervento sottolinea alcuni passaggi dei precedenti colleghi dandone una sua personale interpretazione. Ci spiega, appunti alla mano, l’importanza per una azienda nello scegliere soluzioni di sicurezza, che permettano quindi di non sottovalutare fenomeni come lo spamming, divenuto ormai un “cancro” per le comunicazioni digitali.
Si dimostra come al solito una persona con le idee chiare sulla materia e con uno spiccato senso dell’houmor, un atteggiamento di sicuro aiuto alla platea nel digerire alcuni concetti a volte “indigesti”.
Il successivo intervento e del dottor Raoul Savastano, Associated Partner e responsabile servizi Sicurezza di KPMG [10] Irm. Il titolo della presentazione è “Verso l’integrazione dei sistemi di gestione del risk management” (pdf [11], 1,08 M)
La sua parola magica è: “Governance”: non si deve più parlare di privacy, business continuity e sicurezza ma rispettivamente di “Privacy Governance”, “Business Continuity Governance” e (indovinate un po’?) “Security Governance”.
Ma che differenza c’è tra la vecchia “ICT Security” e la “Security Governance”? Altra parola magica: “analisi dei processi”. Chi fa “Security Governance” utilizza l’analisi dei processi per “definire l’asset inventory e il valore delle informazioni e al termine dell’analisi dei rischi per poter avere un link tra informazione - livello di rischio e processo di appartenenza, risorse umane, flussi informativi, procedure manuali, componenti applicative, componenti architetturali e infrastrutture di rete”.
Mi piace! Sottolineo “Security Governance” nel mio block notes e mi riprometto, non appena tornato in ufficio di approfondire l’argomento.
Savastano conclude ribadendo il concetto già proposto da Wright: bisogna “intraprendere un nuovo cammino che porti all’integrazione di procedure, modelli di analisi e strutture organizzative al fine di cogliere le sinergie aumentare l’efficienza interna, nonché migliorare l’immagine verso l’esterno, anche tramite le apposite certificazioni (es. ISO27001)”.
Ore 12:45: in perfetto orario con la tabella di marcia è il turno di Paolo Murgia della Direzione Sicurezza del Servizio Continuità Operativa dell’Ufficio Continuità Operativa (!) di Banca Intesa [12]. Anche lui parla di sicurezza integrata e di come questo si applica alla Business Continuity (pdf [13], 1,69 M).
In sintesi:
- la Sicurezza e la Business Continuity costituiscono una questione di competenza dell’Alta Direzione in quanto richiedono di saper conciliare l’efficacia delle misure di mitigazione dei rischi con l’ottimizzazione delle risorse utilizzate;
- la costruzione di una funzione di presidio complessivo della sicurezza a diretto riporto del CEO è il primo passo di una trasformazione della cultura aziendale che richiede anni;
- si pone la necessità del presidio del percorso di integrazione rispetto alle diverse tematiche (sicurezza, business continuity, compliance, Basilea II, ...):
- bilanciato tra integrazione di strutture e integrazione di processi/metodologie,
- coerente con contesto esterno e “storia” dell’azienda,
- dinamico nel bilanciamento dell’integrazione.
Alle 13,30 mentre per strada si odono già i primi squilli di trombe e cori da stadio viene dichiarato chiuso il convegno. Ultimi saluti e scambio di email e numeri di cellulari. Molti ci ritroveremo nei convegni già previsti per le prossime settimane(dura la vita del security manager…) e quindi ci diamo appuntamento al prossimo evento.
Alain De Cristofaris
Security Manager
IsacaRoma Newsletter link
Incontro sulla Compliance [14]Privacy: una opportunità per gli IS Auditor? [15]