Ma il gioco è una cosa seria. BNL Gruppo BNP Paribas impegnata a trasformare la cyber security awareness in prevention e valore di business, utilizzando un percorso di apprendimento realizzato con la piattaforma Cyber Guru Enterprise, del Gruppo Daman, che stimola l’apprendimento e coinvolge tutta l’organizzazione in una competizione virtuosa
Nell’attuale contesto di trasformazione digitale della finanza, la sicurezza dei servizi bancari è strategica per l’intero core business del settore. La minaccia cyber, per la sua natura diffusa, incontrollata e transnazionale, rappresenta oggi una delle sfide più impegnative come ci spiegano Marco Tulliani, CISO ed Enrico Picano, responsabile cyber prevention & transformation di BNL Gruppo BNP Paribas, tra i maggiori gruppi bancari italiani con circa 2,5 milioni di clienti privati, impegnato in un importante piano triennale di investimenti per la governance della cybersecurity che mette a sistema attività di intelligence, prevention e di awareness.
«Dal 2017 – spiega Marco Tulliani – abbiamo aumentato i nostri sforzi sul programma di cyber security basato sul Framework NIST, con una importante focalizzazione nella prevention, perché secondo noi in questo ecosistema è fondamentale poter definire una serie di regole e attivare le fasi di prevenzione. Abbiamo investito molto in tecnologia con nuovi sistemi di “threat intelligence” e stiamo facendo accordi con terze parti. Inoltre abbiamo implementato una serie di processi per cui le nostre applicazioni hanno una security by design e stiamo creando una solida cyber security awareness». La cyber security rappresenta un elemento strategico nelle politiche di governance aziendale e richiede non solo una risposta coordinata pubblico-privato, ma anche un’azione sinergica dentro e fuori il perimetro sempre più esteso della banca. BNL ha stretto un accordo con il CERTFin nazionale e con la Polizia Postale, con cui ha partecipato al progetto europeo OF2CEN (On-line Fraud Cyber Centre and Expert Network) ed è allo studio anche una collaborazione con il CERT nazionale israeliano.
«BNL crede fortemente nell’information sharing – afferma Tulliani – perché lo scambio di informazioni tempestive non solo sulle minacce, ma anche sulle regole e tecnologie, è alla base della lotta al cyber threat».
Come aumentare il livello di awareness
La cyber physical security ha bisogno di un’attenzione particolare al fattore umano che è l’anello più debole della catena della sicurezza, ma al tempo stesso l’elemento che può fare la differenza, agendo sul livello di conoscenza e consapevolezza. «La cyber security awareness – spiega Picano – non è solo una locuzione vuota ma un pilastro di “cyber culture” con un programma concreto e strutturato. Siamo giunti a questo obiettivo osservando che la cyber security awareness non riguarda solo pochi specialisti ma la totalità dei colleghi della banca, cittadini e clienti compresi. Anche in base al NIST Assessment siamo partiti con una survey che ha dato risultati importanti e ci ha fatto capire come ci dovevamo muovere. Abbiamo poi intrapreso diverse iniziative, tra cui quella sull’ethical phishing. Abbiamo capito che bisognava fare molta formazione». Ma in molti casi, la formazione sulla Intranet aziendale è vissuta come qualcosa di imposto. «L’idea vincente è stata quella di cercare una piattaforma di e-learning specifica che ci permettesse di adottare un diverso modello più coinvolgente».
Un Cyber Guru per allenare alla sicurezza
Dopo un’accurata selezione, BNL ha individuato la Cyber Guru Enterprise del Gruppo Daman, come soluzione per rafforzare il livello di sicurezza, riducendo l’esposizione al rischio per evitare di diventare vittime di attacchi cyber. Ma c’è di più. Sulla soluzione Daman, BNL ha montato un vero e proprio “campionato di cyber security awareness”, che vede i 13mila dipendenti divisi in 105 team, impegnati in una vera e propria competizione. «Il lancio è avvenuto il 29 maggio 2018 – ci racconta Picano – e ogni mese coinvolgiamo tutti i colleghi per 12 minuti. Ogni squadra ha un capitano referente che contattiamo ogni volta che partiamo con un nuovo modulo formativo. Oggi, siamo molto soddisfatti dei risultati conseguiti e quindi continueremo almeno per un altro anno l’operatività dello strumento. L’obiettivo è far diventare i comportamenti di tutti i colleghi della banca sicuri, conformi e interiorizzati». La partnership con il Gruppo Daman si traduce in un rapporto di collaborazione quotidiano, per adeguare la soluzione alle specifiche esigenze della banca. «La piattaforma è assolutamente dinamica e in questo momento, per esempio, abbiamo inserito un modulo sulle frodi su carte di credito, con tecniche di social engineering collegate al phishing. E in parallelo stiamo preparando la partita che si farà sul tema con l’inserimento di pillole formative ad hoc». Per quanto riguarda il calendario del campionato – «siamo nella fase di nomina del campione d’inverno. Sono, infatti, 12 moduli formativi e abbiamo fatto 6 partite». A dicembre quindi si saprà chi è il campione d’inverno e verrà premiato nella staffetta BNL per Telethon. Per la gestione c’è un pool di governance del campionato i cui componenti sono le funzioni BNL e gli specialisti Daman.
Come misurare i risultati
Phishing, USB, l’uso corretto della password, l’uso dei dispositivi mobili, le fake news, le mobile app, il social engineering e le frodi e truffe informatiche all’ordine del giorno, il traveling e, infine, il GDPR sono i temi principali su cui BNL sta lavorando per aumentare il livello di awareness. Come sono stati misurati i risultati raggiunti? «Il primo indicatore di misura dei risultati – risponde Picano – è la partecipazione dei colleghi al campionato che è stata quasi totale. Altra importante misurazione che abbiamo fatto e che continueremo a fare è il numero e la qualità delle risposte alle nostre periodiche campagne di ethical phishing, che ci consente di capire come migliora la cultura cyber. Altro aspetto rilevante è l’aumento dei contatti e ticket verso di noi per segnalare all’incident response team casi sospetti o situazioni che meritano un approfondimento. Infine, è aumentata notevolmente anche la sensibilità del top management, che vuole mantenersi costantemente aggiornato rispetto all’andamento dell’iniziativa».
Evoluzione del progetto
Dopo il campionato il passo successivo è la “coppa Italia” con il coinvolgimento delle società del gruppo con le stesse logiche implementate in BNL. «Stiamo pensando di presentare BNL come una value proposition verso i nostri grandi clienti – spiega Marco Tulliani – e stiamo ragionando di valorizzare a livello di business l’esperienza di trasformazione sulla cyber security awareness.
D’altronde crediamo nella sicurezza dell’ecosistema in cui solo se l’intero sistema è sicuro anche la singola realtà lo è. Solo così si può parlare di sicurezza globale integrata e di sistema.
L’information sharing, oltre allo scambio informativo relativo alle minacce, dovrebbe riguardare anche cosa si sta facendo all’interno di ogni singola banca. Su questo, purtroppo, c’è ancora una qualche chiusura per non svelare le strategie. Stiamo comunque dialogando con il sistema ABI per poter superare tali limiti e poter effettivamente condividere in modo ampio molte questioni, le progettualità e i programmi di trasformazione. Per il momento, c’è da segnalare che la nostra iniziativa è piaciuta molto anche ai colleghi francesi di BNP PARIBAS ed è partita una sorta di collaborazione che sta valutando la piattaforma Cyber Guru nella versione inglese e francese. Non appena sarà possibile ci piacerebbe estendere il campionato a una sorta di Europa League».
