DISASTER RECOVERY E BUSINESS CONTINUITY IN BANCA


La garanzia di continuità nei servizi finanziari è una vera e propria leva di business e inoltre risponde a normative specifiche

 

In seguito alle crescenti possibilità offerte dall’ICT, le banche e le aziende dei servizi finanziari si trovano a operare in un contesto competitivo in cui la garanzia di un adeguato livello di continuità e sicurezza diventa una componente essenziale dell’offerta e un asset da valorizzare. L’evoluzione della finanza online – intesa come cooperazione dell’istituzione finanziaria, con il suo ruolo specifico, con gli altri attori del processo di creazione del valore, attraverso l’interconnessione elettronica diffusa – richiede necessariamente soluzioni di sicurezza e continuità del business sempre più efficaci.

L’ultimo rapporto della Banca Centrale Europea (BCE – www.ecb.int) ribadisce, in particolare, che «i sistemi di pagamento e quelli di compensazione e regolamento dei titoli sono infrastrutture fondamentali, necessarie al corretto funzionamento delle economie di mercato». Essi sono indispensabili per l’efficienza dei flussi di pagamento a fronte di beni, servizi e attività finanziarie, e il loro regolare funzionamento è di primaria importanza per l’attuazione della politica monetaria e il mantenimento della stabilità e della fiducia nella moneta.

 

Il rischio informatico

Lo scenario delle frodi attraverso il phishing o il crimeware ha fatto segnare, in questi ultimi anni, un incremento sostenuto. L’elevata numerosità degli attacchi tentati fa sì che la banca debba innanzitutto sensibilizzare il cliente sulla reale entità del fenomeno e contribuisca alle attività di prevenzione e repressione delle Forze dell’Ordine. Le modalità operative dell’attacco sono in continuo e rapido cambiamento. Per esempio, in talune circostanze, si sta rivelando molto pericoloso il trojan denominato “man in the browser”, progettato per effettuare azioni di utilizzo fraudolento delle informazioni personali. Il malware sfrutta le vulnerabilità dei sistemi in uso per installare un codice che modifica la configurazione del browser. Nel momento dell’accesso all’Internet banking le informazioni vengono intercettate e modificate secondo un processo trasparente all’utente a cui viene restituita la corretta risposta. Le possibili contromisure a questo tipo di attacco fanno riferimento alla securizzazione del client e all’utilizzo di un secondo canale per l’invio della notifica.

I clienti individuali dei servizi finanziari rappresentano spesso l’anello debole della catena, in quanto meno consapevoli delle pratiche di protezione delle proprie apparecchiature e del reale valore delle informazioni personali. Sta infatti emergendo quella che viene definita “underground economy”, mercato clandestino di scambio delle credenziali digitali illecitamente sottratte. Il furto d’identità elettronica fa registrare una crescita continua, sia sotto il profilo della numerosità dei casi, sia sotto quello dei livelli di sofisticazione tecnologica.

La frode basata su credenziali contraffatte è in crescita e vede l’utilizzo delle carte prepagate e telefoniche come canale privilegiato di riciclaggio, provocando ingenti danni sia alle banche che ai clienti. La principale azione di contrasto, in tal caso, è la qualificazione del traffico anomalo, attraverso un’attività di monitoraggio continuo che, se ben condotto, può permettere di individuare la frode al suo esordio. Si avverte, quindi, la necessità di coordinare le azioni di contrasto della banca con quelle degli altri attori della catena del valore dei servizi finanziari.

La rilevanza che la sicurezza riveste per il cliente (privato o impresa) che si avvale dei servizi finanziari online ha indotto negli ultimi anni una particolare attenzione al fenomeno delle frodi elettroniche, con specifico riferimento al furto d’identità elettronica. In materia, l’Associazione Bancaria Italiana (ABI www.abi.it) ha avviato una collaborazione sistematica con Cipa (Convenzione Interbancaria per i Problemi dell’Automazione –  www.cipa.it) che è stata a suo tempo formalizzata in un “protocollo di intesa per una cooperazione nell’area della sicurezza informatica”.

 

Il Cloud computing

Il panorama dei sistemi informativi sta evolvendo verso l’interconnessione spinta in cui i processi e le tecnologie tradizionali si rivelano insufficienti per governare il conseguente aumento di complessità, richiedendo pertanto l’adozione di infrastrutture e architetture flessibili. In questo contesto il Cloud computing (CC) rappresenta un nuovo modello di utilizzo e di distribuzione delle risorse ICT e propone soluzioni concrete ai problemi di flessibilità e complessità.

Il ricorso ai sistemi CC permette di avere sempre in rete e dunque disponibili le informazioni necessarie grazie a sistemi di back-end estremamente performanti, elastici, basati su standard aperti che favoriscono l’interoperabilità. Il settore bancario sta muovendo i primi passi nell’adozione del CC, capitalizzando anni di esperienza su temi quali la virtualizzazione, l’automazione e la sicurezza. Le banche vedono il CC come un innalzamento dei modelli di servizio in essere, e valutano quali tipologie di carico computazionale far virare, privilegiando applicazioni di core business, nel rispetto delle policy di sicurezza. L’attenzione si concentra in particolare sugli ambiti in cui tale approccio sembra in grado di apportare i maggiori benefici, ovvero all’elevata resilienza di strutture tecnologiche distribuite e alla possibilità di svincolarsi dalle logiche abituali.

L’applicabilità del CC a un contesto come quello bancario necessita però di alcune considerazioni preliminari su specifici punti che, al momento, sembrano costituire dei fattori di inibizione rispetto a un’adozione su larga scala:

1)         il rischio ulteriore della possibile perdita di controllo delle informazioni e delle infrastrutture ICT;

2)         le difficoltà di gestire risorse geograficamente distribuite e i tempi di latenza della rete;

3)         le problematiche di sicurezza connesse alla condivisione di risorse tra differenti soggetti;

4)         la compliance con le norme vigenti.

È importante quindi che le opportunità legate all’adozione del modello CC siano declinate rispetto ai requisiti di sicurezza e di continuità definite sulla base di una valutazione dei costi e dei benefici associati.

L’aspetto più interessante, però, è che il modello CC stesso può essere potenzialmente molto utile proprio per gestire efficacemente la Business Continuity (BC) e il Disaster Recovery (DR), la definizione degli ambienti di sviluppo e test, il consolidamento dei server e la rapida reazione ai picchi di operatività.

 

Il Business Continuity Plan

È quindi necessario analizzare bene l’esposizione ai rischi, identificare le vulnerabilità e poi valutare e attuare adeguate soluzioni di BC e DR. Nonostante gli sforzi e le contromisure, gli incidenti finiscono, però, inevitabilmente per verificarsi. In tal caso è indispensabile che sia stato sviluppato e che sia operativo il Business Continuity Plan (BCP) che garantisca la continuità dei servizi offerti. Il BCP è un insieme formalizzato di procedure tecnico–organizzative atte a garantire che le attività di business si svolgano senza soluzione di continuità, anche in presenza di eventi di disturbo. Una delle fasi più critiche e importanti è sicuramente la Business Impact Analysis (BIA), in cui si sono identificati i processi critici, per questi sono state evidenziate le caratteristiche fondamentali e individuati gli obiettivi di ripristino e le risorse nei diversi domini. Il BCP presuppone che esista un censimento dei processi aziendali tra i quali individuare quelli critici, quelli cioè che, per la rilevanza dei danni conseguenti alla loro indisponibilità, necessitano di elevati livelli di continuità. Per ciascun processo critico sono individuati il responsabile, le procedure informatiche di supporto, il personale addetto, le strutture logistiche interessate, le infrastrutture tecnologiche e di comunicazione.

Gli obiettivi del BCP si concretizzano nel definire le attività necessarie a garantire la continuità dell’operatività della banca anche in condizioni estreme. Il BCP deve tenere conto degli eventi potenzialmente più disastrosi, compresi quelli che hanno effetti sulla disponibilità delle infrastrutture e delle risorse umane. Si vuole assicurare che non si verifichino interruzioni nell’erogazione dei servizi, partendo da quelli considerati vitali fino a coprire l’intera gamma dell’operatività, e disporre di contingency plans e procedure al fine di recuperare la piena operatività nei tempi più brevi possibili.

All’interno del BCP specifico rilievo rivestono le misure di DR tese a consentire la ripartenza dei sistemi informatici nel più breve tempo possibile, stabilito a priori e denominato RTO (Recovery Time Objective), attraverso la definizione del Disaster Recovery Plan (DRP) e il sistematico salvataggio delle informazioni presso la propria sede e presso una sede alternativa, opportunamente individuata, dotata di elaboratori in grado di prendere in carico l’attività primaria della banca.

La Banca d’Italia (www.bancaditalia.it) ha definito specifiche responsabilità per il consiglio di amministrazione (Cda), l’alta direzione (Ad) e il business continuity manager. Il Cda deve stabilire, in un documento ufficiale, obiettivi e strategie per la continuità del servizio assicurando le risorse umane, tecnologiche e finanziarie adeguate per il conseguimento degli obiettivi fissati, approvare il BCP ed essere informato, con frequenza almeno annuale, sulla adeguatezza dello stesso. L’Ad deve nominare un business continuity manager, cioè il responsabile del piano aziendale per la continuità; promuove il controllo periodico del piano e l’aggiornamento dello stesso a fronte di rilevanti innovazioni organizzative, tecnologiche e infrastrutturali nonché nel caso di lacune o carenze riscontrate ovvero di nuovi rischi sopravvenuti; approva il piano annuale delle verifiche delle misure di continuità ed esamina i risultati delle verifiche periodiche.

Leggi anche:  Il mobile favorisce l’inclusione finanziaria

Il business continuity manager cura la redazione e l’aggiornamento del BCP, effettua le verifiche periodiche, predispone la formazione e sensibilizzazione del personale. Il piano inoltre, sia nella sua prima realizzazione che negli aggiornamenti successivi, deve essere allineato rispetto ai processi aziendali. È necessaria dunque una stretta integrazione con la funzione Organizzazione e il personale deve essere sensibilizzato e informato sui contenuti e sulle relative procedure. Almeno annualmente, il BCP è soggetto a verifiche e controlli da parte sia di funzioni interne (BC management, compliance, internal audit, collegio sindacale) sia esterne (Banca d’Italia).

Banca d’Italia definisce in maniera chiara anche le relazioni fra BCP e DRP. Il BCP formalizza i principi, fissa gli obiettivi e descrive le procedure per la gestione della continuità operativa dei processi aziendali critici. Mentre il DRP stabilisce le misure tecniche e organizzative per fronteggiare eventi che provochino la indisponibilità dei centri di elaborazione dati. Il DRP, finalizzato a consentire il funzionamento delle procedure informatiche rilevanti in siti alternativi a quelli di produzione, costituisce parte integrante del BCP. La realizzazione del DRP non è responsabilità del business continuity manager, ma del responsabile dei sistemi informativi; tuttavia il business continuity manager deve integrare il BCP aziendale con il DRP e segnalare all’Ad qualsiasi criticità o insufficienza del DRP.

 

Le norme

L’adozione di metodologie di BC e DR nella finanza è stata notevolmente sostenuta, oltre che dall’esigenza vitale e di qualità, anche dalle norme Basilea 2 e 3, dalle regolamentazioni della BCE, che definiscono il ruolo chiave della BC in relazione al rischio operativo. La BCE, in particolare, ha emesso specifiche linee guida che definiscono i “cinque processi fondamentali” che caratterizzano la gestione della sicurezza. Questi sono:

  1. la Gestione del rischio informatico: consiste nell’identificazione, controllo, eliminazione o minimizzazione dei rischi riguardanti il conseguimento, secondo criteri di economicità, degli obiettivi aziendali di business. Tale processo include la gestione pianificata e controllata delle risorse al fine di assicurare il contenimento dei rischi entro limiti accettabili;
  2. il Controllo dell’attività di change management: ovvero il controllo di qualunque modifica apportata ai sistemi e alle infrastrutture. Tale controllo deve essere stringente, al fine di ridurre al minimo i problemi e garantire che la sicurezza non venga compromessa;
  3. il Controllo delle fasi di test e accettazione in produzione: le procedure di controllo devono essere particolarmente accurate al fine di garantire che vengano realizzate, e funzionino correttamente, tutte le funzionalità previste, incluse quelle concernenti le misure di sicurezza. Deve quindi essere formalizzata ed eseguita una procedura formale di accettazione in produzione;
  4. la Gestione degli incidenti di sicurezza: devono essere formalizzate procedure di controllo che prevedano la registrazione di ogni incidente e il reporting. L’esperienza ricavata da ogni accadimento dovrebbe essere acquisita come elemento utile ai fini di un eventuale aggiornamento del processo stesso;
  5. il Business continuity management (BCM): i piani di BCP, da sottoporre a costante aggiornamento, devono includere misure di sicurezza addizionali rispetto a quelle ritenute sufficienti con riferimento ai rischi, in modo da consentire all’azienda di fronteggiare eventuali accadimenti disastrosi.

La BCE ha, inoltre, definito anche i “principi organizzativi” che insieme ai “processi fondamentali” costituiscono la base per l’impostazione metodologica di un’efficace gestione della sicurezza e della BC in banca. Questi sono:

  1. Precisa imputazione delle azioni svolte sui dati e sulle risorse;
  2. Stretta correlazione tra accesso alle informazioni riservate ed effettive esigenze lavorative (need to know);
  3. Adozione del principio di “autorizzazione minima” (o “espressa”): tutto di norma è vietato tranne ciò che è espressamente autorizzato;
  4. Ridondanza delle risorse che devono avere alta disponibilità;
  5. Contrapposizione degli interessi ovvero separazione dei ruoli di: (i) gestione di un processo e di controllo dello stesso; (ii) progettazione ed esercizio; (iii) acquisto di beni e risorse e relativa contabilizzazione;
  6. Specializzazione o segregazione delle risorse con criticità alta sotto i profili della riservatezza, integrità o disponibilità;
  7. Controllo “duale” (four eyes) ovvero controllo da parte di almeno due soggetti sullo svolgimento di azioni relative a risorse che richiedono elevati livelli di sicurezza.

La Banca d’Italia, nelle “Istruzioni di vigilanza per le banche” (Titolo IV – Capitolo 111) e nel documento “Continuità operativa in casi di emergenza” pubblicato il 7 luglio 2004, ha impartito una serie di disposizioni che rendono obbligatorio per gli intermediari finanziari la realizzazione del BCP. La normativa di Banca d’Italia stabilisce anche che: “Per i gruppi bancari, i BCP possono essere definiti e gestiti in modo accentrato per l’intero gruppo o decentrato per singola società; in ogni caso la capogruppo assicura che tutte le controllate siano dotate di BCP e verifica la coerenza degli stessi con gli obiettivi strategici del gruppo in tema di contenimento dei rischi. Laddove alcuni processi critici siano svolti da soggetti specializzati appartenenti al gruppo (per esempio allocazione della funzione informatica o del back-office presso una società strumentale), i relativi presidi di emergenza costituiscono parte integrante dei piani di continuità delle banche”.

Il BCP deve essere integrato con i piani relativi alla sicurezza fisica (in particolare le procedure in essere per rispettare gli adempimenti del decreto legislativo 9 aprile 2008, n. 81 in materia di tutela della salute e della sicurezza nei luoghi di lavoro), alla sicurezza informatica, comprese le misure richieste dal decreto legislativo 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”. L’articolo 31 di quest’ultimo impone, infatti, la necessità di adottare misure di sicurezza, procedure e accorgimenti organizzativi per assicurare la custodia di copie di sicurezza e il ripristino della disponibilità dei dati e dei sistemi.

A marzo 2007 la Banca d’Italia ha poi emanato i “requisiti particolari per la continuità operativa dei processi a rilevanza sistemica”. La norma prevede requisiti particolari più rigorosi per minimizzare il rischio di blocco del sistema in caso di gravi incidenti. I processi ad alta criticità nel sistema finanziario che, per un “effetto domino” possono provocare il blocco dell’operatività dell’intera piazza finanziaria, si concentrano nei sistemi di pagamento e nelle procedure per l’accesso ai mercati finanziari. Si tratta di un complesso strutturato di attività finalizzate all’erogazione dei seguenti servizi:

–           servizi connessi con i sistemi di regolamento lordo in moneta di banca centrale e con i sistemi di gestione accentrata, compensazione, garanzia e liquidazione degli strumenti finanziari. Sono inclusi: Birel-Target, Express 2, gestione accentrata di strumenti finanziari, sistemi di riscontro e rettifica giornalieri (RRG), servizi di controparte centrale;

–           servizi connessi con l’accesso ai mercati rilevanti per regolare la liquidità del sistema finanziario. Sono inclusi: mercato interbancario dei depositi (e-Mid), aste BCE, operazioni di finanziamento del Tesoro effettuate tramite asta, MTS (comparto pronti contro termine);

–           servizi di pagamento al dettaglio a larga diffusione tra il pubblico. Sono inclusi: bollettini postali, pagamento delle pensioni sociali.

Tali processi vengono denominati, ai fini delle disposizioni citate, “processi a rilevanza sistemica” per la continuità operativa del sistema finanziario italiano. Per questi vengono definite misure aggiuntive specifiche per la BC.

La Consob (www.consob.it) a maggio 2007 ha inoltre previsto adempimenti a carico delle terze parti che svolgono il ruolo di “canale di comunicazione” per gli obblighi di transaction reporting. A tali soggetti viene richiesto di fornire:

v  una descrizione dei sistemi di back-up (sia nel caso di sistemi interni sia nel caso di altri canali di comunicazione);

v  la localizzazione di tali sistemi;

v  la tempistica di ripristino del sistema di comunicazione con gli intermediari;

v  la tempistica di ripristino dei collegamenti con la Consob;

v  i contratti di manutenzione e i tempi di intervento in caso di guasto.

Leggi anche:  Connected banking. Verso la banca 4.0

Il ripristino del sistema di comunicazione e telefonico con gli intermediari riveste, come si può facilmente intuire, un’importanza cruciale nella finanza. Su questo aspetto specifico sono state sviluppate soluzioni e metodologie di grande efficacia come, per esempio, il sistema di PhonEtica (www.phonetica.it). La soluzione integra l’intervento in caso di “Emergency Receptionist” con quello di “Disaster Recovery” delle linee telefoniche. PhonEtica ha un’esperienza pluriennale nello svolgimento del servizio, oltre a dispositivi di connessione brevettati (Ph-R.O.L.Ex.) e il software proprietario CCM (Company Communications Manager).

Attualmente si sta lavorando all’attuazione della “Direttiva Europea per le Infrastrutture Critiche” (2008/114/CE dell’8 dicembre 2008), recepita in Italia con il D.Lgs. n.61 del 11/4/2011, secondo la quale i sistemi di pagamento sono una “Infrastruttura Critica Europea” e quindi soggetta ad attenzioni normative e operative particolari in funzione del rischio sistemico a livello europeo. A tutto ciò si aggiungono temi, altrettanto caldi, in corso di analisi, quali: la normativa BCE sulle misure di sicurezza e continuità del sistema Target2, l’opportunità di prevedere la certificazione ISO/IEC 17799.

 

Gli standard

In Inghilterra, a inizio secolo, è nato il Business Continuity Institute (BCI – www.thebci.org), il primo organismo al mondo sull’argomento, che offre accreditamento professionale nel campo della continuità operativa e ha migliaia di membri in più di 85 Paesi. Nel 2002 il BCI ha emesso le sue prime “Linee Guida di Buona Pratica” redatte con la collaborazione di molti esperti del settore. Queste Linee Guida hanno fornito l’ossatura sulla quale si sono modellate le prime attività del British Standards Institution nel campo della gestione della continuità operativa, che hanno portato all’emissione di una specifica sulla BC denominata PAS 56. Nel 2006 la pubblicazione della BS 25999-1 che sostituisce la PAS 56, e successivamente nel 2007 la pubblicazione della BS 25999-2 hanno posto le basi per una nuova famiglia di norme sulla BC.

In generale è indispensabile riferirsi agli standard e alle indicazioni del BCI per quanto riguarda le fasi metodologiche e i “livelli di maturità”. Il BCI, infatti, come a suo tempo fece il Software Engineering Institute (SEI – www.sei.cmu.edu), ha definito 6 livelli crescenti di maturità nella BC. Tali livelli possono essere razionalmente misurati per ogni banca e si può passare al livello superiore con opportune misure organizzative, tecnologiche e di qualità da pianificare e realizzare nel tempo.

Il rapporto BCI “Good practice guidelines” di fine 2007 definisce le principali linee guida per mettere in piedi e gestire nel tempo la BC Management (BCM). Per ogni fase della metodologia proposta individua specifici Key BCM Indicators (KBI) con cui misurare la situazione di ogni realtà organizzativa ed eventualmente poter effettuare benchmarking. L’attività di BCM si basa su una metodologia articolata in macrofasi e l’insieme completo delle macrofasi costituisce il processo BCM, contraddistinto dall’essere un processo continuo che evolve nel tempo e recepisce i mutamenti di business, organizzativi e tecnologici delle realtà in cui è applicato.

L’infrastruttura di BCM si basa sul ciclo continuo di miglioramento Plan-Do-Check-Act (Pdca) applicato in modo continuativo su più livelli dell’organizzazione e sull’approccio sistemico allo scopo di identificare, capire e gestire i processi tra loro correlati contribuendo all’efficacia e all’efficienza dell’organizzazione nel conseguire i propri obiettivi. In buona sostanza il ciclo Pdca è il motore dello standard BS 25999-2:2007 come tutte le norme che hanno preceduto questo standard (ISO 9001:2000, ISO 14001:2004, ISO 20000-1:2005, ISO 27001:2005).

Al BCI si affianca il Disaster Recovery Institute International (DRI – www.drii.org) che è un altro punto di riferimento mondiale del BCM e DRP e il più noto ente di certificazione dei professionisti del settore (più di 12mila professionisti hanno sostenuto gli esami per accedere al network DRI dal 1988 a oggi). In Italia è rappresentato dal DRI-Italy (www.dri-italy.com). Attualmente i due organismi stanno lavorando per ottenere un’accettazione chiara e standardizzata della gestione della BC globale. È un compito molto arduo perché ciò che risulta applicabile in un settore o in uno Stato potrebbe non essere accettabile in un altro.

ABILab (Centro di Ricerca e Sviluppo delle Tecnologie per la Banca promosso dall’ABI – www.abilab.it) ha messo a punto, a suo tempo, una metodologia, condivisa dal sistema bancario italiano, per la realizzazione del BCP che si articola in 5 fasi (pre-project planning; business impact analysis (BIA); design; implementation, maintenance, testing & continuous improvement).

Per la BC e la sicurezza è, infine, importante rifarsi agli standard internazionali in materia (BS7799/ISO/IEC17799, Common Criteria, ISO27001:2005, ITSec, Cobit, in primis) attuandoli in banca a cominciare dal livello organizzativo e manageriale con la nomina del Cso (Chief security officer).

 

La gestione della sicurezza

La Cipa nel suo rapporto annuale sulla sicurezza, che è parte integrante della più ampia “Rilevazione sullo stato dell’automazione del sistema creditizio”, sottolinea che la gestione della sicurezza assume sempre maggiore rilievo per la banca. La gestione del rischio richiede che siano adottate politiche di controllo dell’accesso alle risorse informative coerenti con l’importanza dei beni da proteggere. Non a caso le risorse destinate dalle banche alla sicurezza sono in continua crescita, per effetto sia dell’emergere di nuove minacce sia dell’accresciuta sensibilità, in materia, da parte dei vertici aziendali.

La gestione della sicurezza si fonda su un insieme coordinato di azioni, con molteplici direttrici e a cui ricondurre anche le misure di carattere prettamente tecnologico. Queste ultime, in particolare, debbono essere informate dalle misure organizzative e dalla comunicazione al cliente. La comunicazione con la clientela costituisce l’elemento indispensabile per un’efficace azione preventiva e di contrasto. In coerenza con tale principio, la generalità delle banche ha posto in essere iniziative di carattere informativo, spesso ricorrendo anche a molteplici modalità di comunicazione.

Oltre alla comunicazione esterna, le banche hanno attivato una serie di misure organizzative che vanno dal monitoraggio sull’operatività della clientela alla formazione del personale del call center, alla creazione di una struttura permanente per una rapida reazione contro i tentativi fraudolenti, alla definizione di specifiche procedure d’azione di risposta rapida. Diffusa è anche l’attivazione di collaborazioni sistematiche, sempre a fini preventivi, sia con le forze dell’ordine sia con gli internet service provider. L’opera di prevenzione e contrasto comprende anche attività per l’individuazione di possibili azioni fraudolente tese alla simulazione del sito Internet della banca. Tali attività consistono nella scansione periodica del Web con particolari software di ricerca e nell’analisi dei log.

Le misure tecnologiche debbono essere adottate in maniera sinergica, ricorrendo a dispositivi – utilizzati in combinazione tra loro – con livelli diversificati di sofisticazione in relazione alla tipologia di operatività cui il cliente accede (solo informativa o anche dispositiva), all’importo delle transazioni, al segmento di clientela interessato. A login e password statica si aggiungono, infatti, a seconda dei casi, l’assegnazione di Pin multipli, login e password dinamica Otp (One time password), la consegna al cliente di dispositivi fisici (per esempio token) per la generazione di password di secondo livello, il certificato digitale e la smart card. Le differenti specializzazioni operative, la configurazione dei canali distributivi (con il diverso peso relativo dei punti di vendita a maggior grado di intensità tecnologica), le stesse scelte organizzative e tecniche adottate per il controllo del rischio informatico determinano significative differenze dei costi tra un istituto e l’altro.

 

La sicurezza integrata e di sistema

Da quanto precede e dalle esperienze di questi anni risulta ormai ineludibile la necessità di un nuovo approccio alla gestione della sicurezza e della BC. La classificazione corrente, infatti, come attività di sicurezza fisica, di sicurezza dei sistemi informativi, di risk management, di privacy e tutela dei dati personali, di compliance, di sicurezza nel posto di lavoro e di BC, dimostra i limiti di un’arbitraria suddivisione e di un’oggettiva difficoltà d’identificazione delle priorità e delle gerarchie.

Gli eventi disastrosi, anche se per fortuna limitati, hanno provocato un senso di insicurezza pervasivo che ha accresciuto il livello di consapevolezza della comunità finanziaria sulla sicurezza e BC. È quindi evidente che oggi il tema costituisce una questione di competenza dell’alta direzione in quanto richiede necessariamente di conciliare l’efficacia della prevenzione e delle contromisure con l’ottimizzazione delle risorse da impiegare a livello dell’intera azienda.

Leggi anche:  Nuova affermazione della piattaforma Cashless 3.0 di TAS Group sul mercato USA

La maggiore sensibilità dell’alto vertice sta portando alla costituzione di una “direzione centrale sicurezza”, con la nomina del Cso. In tal modo si passa da un approccio per ambiti di competenza al governo unitario della sicurezza e delle risorse. Ciò consente di avere un centro di competenza unico per indirizzare la strategia, le policy, i controlli e gli aspetti comuni delle diverse discipline, con l’unico obiettivo di mitigare il reale rischio connesso al patrimonio e al business della banca.

L’approccio integrato e sistemico al governo della sicurezza ha proprio l’obiettivo fondamentale di mediare tra le diverse e talora contrapposte esigenze del business evitando situazioni di blocco reciproco e di mancanza di coerenza e consistenza. La realizzazione del modello di “sicurezza integrata e di sistema” consente di concentrare la responsabilità delle varie direzioni della banca in un unico punto di raccordo e di gestione al più alto livello manageriale e di perseguire l’ottimizzazione dei relativi processi.

Il modello di sicurezza integrata riguarda quindi tutti i processi con particolare riferimento a quelli di business e a quelli di supporto quali l’ICT e le infrastrutture fisiche. Nell’attuale scenario di mercato, forte attenzione va posta alla compliance ovvero all’aderenza ai requisiti di sicurezza espressi da normative o da specifici standard di riferimento come quelli citati in precedenza. L’apertura verso i mercati europei ha notevolmente amplificato tale necessità al punto di dover rafforzare l’organizzazione interna di sicurezza per assicurare un’adeguata gestione delle verifiche di audit volute da entità esterne e da clienti.

Di conseguenza, il modello di sicurezza da adottare deve essere coerente con il mercato in cui la banca opera e con le normative a esso correlato. Le normative, però, non spiegano da sole come un determinato controllo debba essere applicato; pertanto, l’uso di best practice o l’adozione degli standard di riferimento citati possono effettivamente costituire un buon punto di partenza.

 

Le prove, i test e il kaizen

Già da un paio d’anni, sotto la spinta delle norme richiamate, la BC è stata progettata, realizzata e, più o meno bene, resa operativa dagli operatori della finanza. Tant’è che oggi la BC rappresenta, con Basilea 2 e 3 e i principi contabili IAS, la quota prevalente del cashout ICT per interventi evolutivi ai fini della compliance. La situazione è necessariamente in continua evoluzione e la sua gestione nel tempo è ora l’aspetto critico.

A seguito dell’opera di sensibilizzazione delle authority di vigilanza sulla BC del sistema finanziario gli istituti finanziari si sono mossi. Oltre il 90% delle banche ha un BCP formalizzato e la presenza del BCP è accertata nel 99,3% di tutte le banche. Ormai generalizzata è anche la presenza del DRP. Attualmente, facendo riferimento alla metodologia BCM, siamo nella fase 4 in cui gioca un ruolo cruciale il “kaizen” o miglioramento continuo.

Perché il DRP e il BCP siano efficaci risulta ora necessario procedere a simulazioni “reali” di eventi disastrosi, perché ciò consente, nel momento dell’effettiva occorrenza, di gestire in modo appropriato la sequenza di azioni previste. Tenuto conto di ciò, l’attenzione è quindi incentrata sulle tematiche della gestione e della manutenzione dei piani, sull’attività di testing e sulla ricerca e adozione di strumenti di automazione.

Relativamente alla qualità dei risultati occorre dire che si misura sempre di più l’efficacia dell’attività di testing. Per Cipa il giudizio complessivo sui risultati delle prove e test effettuate viene espresso sulla base di un range predeterminato di quattro livelli e correlato a precise caratteristiche dei risultati:

v  eccellente: tutte le prove hanno raggiunto gli obiettivi posti nei tempi stabiliti;

v  buona: almeno una serie di prove ha raggiunto tutti gli obiettivi posti;

v  discreta: almeno una serie di prove ha raggiunto il 75% degli obiettivi posti;

v  scarsa: nessuna serie di prove ha raggiunto almeno il 75% degli obiettivi.

Nessuna banca al momento ha assegnato un giudizio di qualità “scarsa” alla propria attività di testing. Una quota contenuta ha giudicato tale attività come “discreta” e le attività delle altre banche si sono ripartite tra il giudizio di “buona” e di “eccellente”. Esaminando la tipologia prevalente di prove e test è confermata l’acquisita consapevolezza della necessità di effettuare test che coinvolgano anche l’utente finale. Le prove di carattere unicamente tecnico sono, infatti, poste in essere solo presso un’aliquota trascurabile di banche, mentre la gran parte effettua vere prove “di business con dati a perdere”.

L’indicazione fornita dalla normativa di vigilanza di svolgere, con frequenza almeno annuale, una verifica complessiva “il più possibile realistica” del ripristino dell’operatività in condizioni di emergenza ha indotto molte banche a svolgere prove “di business con dati veri”. È quindi fondamentale pianificare ed effettuare periodicamente vere e proprie esercitazioni, il più realistiche possibile, per la gestione delle crisi e da queste trarre spunti di miglioramento continuo.

 

Gli strumenti automatici di supporto

È anche necessario che sia verificata propedeuticamente la consistenza delle assunzioni temporali e la compatibilità delle azioni previste dai BCP e DRP: cosa che può essere facilitata dall’utilizzo di strumenti di simulazione. Tali strumenti possono anche essere utilizzati sia per l’addestramento del personale che per la successiva evoluzione del sistema stesso, oppure come strumento operativo, nel caso di disastro, per accompagnare e guidare le fasi di ripristino.

Grande attenzione viene quindi posta al tema degli strumenti automatici di supporto e alla loro indispensabile integrazione con altri strumenti aziendali (per esempio per la mappatura dei processi) e con i database aziendali che già contengono i dati necessari per la gestione della continuità operativa. È infatti evidente che tra le funzionalità necessarie per la gestione della sicurezza e BC, rientrino anche quelle che spesso sono gestite da altri strumenti già presenti in azienda. Due esempi per tutti: la modellazione dei processi e l’invio di comunicazioni per la gestione della crisi.

Negli strumenti automatici particolare importanza deve avere la gestione delle planimetrie, che permettono di legare le strumentazioni, i processi a esse associati e il personale che vi opera, che devono essere gestite a runtime per seguire passo-passo l’evoluzione del sistema di ripristino.

È indispensabile che si realizzino quanto prima i necessari raccordi tra questi strumenti, piuttosto che veder estendere le funzionalità degli strumenti per la BC e la sicurezza ad ambiti coperti da altri. Altro aspetto cruciale è quello della facilità d’uso, sia da parte delle persone che si occupano di BC, sia da parte di un numero più esteso di utenti coinvolti nel processo di manutenzione del BCP. Un ulteriore problema si pone poi per quegli strumenti nati in contesti internazionali in cui si riscontra l’adozione di metodologie diverse da quelle adottate dal sistema bancario italiano.

 

Conclusioni

Nel sistema bancario italiano è in atto un mutamento radicale nella concezione della sicurezza e BC, che diventa sempre più attiva e, tramite servizi avanzati di monitoraggio, tende a prevenire per evitare che gli attacchi possano creare danni irreparabili all’immagine dell’azienda fino a comprometterne il business.

L’attenzione è ora incentrata sulla gestione, manutenzione dei piani, l’attività di testing e sulla ricerca e adozione di strumenti di automazione. In tale fase è fondamentale pianificare ed effettuare periodicamente vere e proprie esercitazioni, il più realistiche possibile, per la gestione delle crisi e da queste trarre spunti di miglioramento continuo nella migliore tradizione kaizen.

È importante osservare che, in considerazione dei notevoli investimenti per la sicurezza e la BC, nel panorama bancario italiano si è verificato un interessante fenomeno: la stretta collaborazione tra le banche, spesso anche concorrenti. La collaborazione si traduce, infatti, anche in concreti vantaggi operativi, organizzativi ed economici, non solo perché ciò consente di condividere i costi e i rischi, ma anche e soprattutto perché è l’unica strada praticabile per replicare e spesso condividere le infrastrutture e le competenze necessarie.

L’attivazione del circolo virtuoso “più sicurezza e garanzia di continuità uguale più qualità dell’offerta e maggiore fiducia della clientela” assume, infatti, importanza strategica nell’attività bancaria, che sul trattamento delle informazioni e sulla costruzione di un rapporto di fiducia con il cliente fonda la propria raison d’etre.