Symantec al fianco di BPER nella transizione al GDPR

Già in produzione la soluzione di Data Loss Prevention che affianca endpoint protection ed encryption di Symantec. Christian Ciceri, responsabile Architetture e Sicurezza Logica di BPER Banca: «Il giusto equilibrio tra controlli e prestazioni del network e delle postazioni»

BPER Banca, sesto gruppo bancario in Italia, con più di 11mila collaboratori e una rete di 1.273 filiali e sportelli, ha scelto la soluzione di Data Loss Prevention (DLP) di Symantec per la prevenzione della perdita di dati per la propria infrastruttura di sicurezza. «Una scelta che è il frutto di una valutazione fatta nel 2015» – afferma Christian Ciceri, responsabile Architetture e Sicurezza Logica di BPER Banca. «Allora, cercavamo una soluzione per migliorare l’efficienza e la postura di cybersecurity all’interno del gruppo BPER. Una tecnologia che ci consentisse di analizzare il traffico in uscita dei canali di posta elettronica e Internet, generato dai dipendenti. Avevano già in casa la soluzione di endpoint protection e cifratura di Symantec. È stato naturale valutare – insieme ad altre – la soluzione di DLP, sulla quale è poi ricaduta la scelta. All’inizio del 2015, eravamo in pieno roll out per la compliance della conservazione dei dati personali riguardanti la clientela per attività di profilazione e di marketing. E stavamo cioè implementando la fase finale di tutta una serie di soluzioni di security, anche per venire incontro ai dettami del regulator. Nei primi mesi del 2016, siamo andati di fatto in produzione». Da lì in poi, è partito un processo di affinamento della soluzione protrattosi per alcuni mesi. «Una soluzione con queste caratteristiche ha bisogno di una messa a punto continua. Noi non avevamo una particolare esperienza in materia, né competenze specifiche su quel tipo di soluzione, perciò abbiamo dovuto migliorare alcune scelte, per arrivare a un tuning più puntuale. Tutta una serie di regole – infatti – sono state riviste e corrette, sino a trovare il giusto equilibrio tra controlli e prestazioni del network e delle postazioni» – spiega Ciceri.

Leggi anche:  La mancanza di competenze spinge le aziende europee ad esternalizzate i servizi IT

SVILUPPO DELLA SOLUZIONE

«Scartata a priori l’opzione di muoversi in autonomia, l’implementazione della soluzione ha visto l’apporto fattivo di partner esterni, tra i quali Puntoit per l’implementazione di progetto» – conferma Ciceri. «Partner molto attivi. Puntoit si è avvalsa a sua volta di alcune consulenze Symantec, quando abbiamo avuto necessità di creare delle regole più sofisticate. Il supporto del system integrator è stato essenziale in tutta la fase di implementazione del prodotto e per aiutarci ad acquisire maggiore autonomia, che abbiamo raggiunto negli ultimi mesi nella gestione della soluzione, che – una volta comprese le regole e la logica con cui si applicano certe politiche – si presta a essere facilmente gestita. In questa fase, stiamo analizzando tutta una serie di dati ritenuti sensibili e stiamo verificando il flusso di informazioni provenienti dal CdA, dal Collegio sindacale, e così via. Dati cioè che potrebbero riguardare persone ritenute sensibili all’interno della banca, in termini di posizione o di caratteristiche operative. Facciamo però analisi anche sui correntisti, sulle carte di credito, i titoli, e su tutte quelle informazioni riconducibili a una serie di documenti oggetto di opportune verifiche. Inoltre, monitoriamo il pericolo di fenomeni anomali di uscita di informazioni verso destinazioni – account di posta come Gmail o Yahoo!, per esempio – non riconducibili ad attività professionali».

VERIFICA DEI PROCESSI

La griglia di regole su cui opera la soluzione Symantec di Data Loss Prevention è molto estesa. «Abbiamo creato circa 40/45 regole diverse: alcune indicizzano delle porzioni di documenti, altre individuano specifiche aree documentali aziendali» – conferma Ciceri. Ma un numero così esteso di policy non può produrre troppe segnalazioni errate, difficili da gestire nell’operatività quotidiana? «Appena andati in produzione – risponde Ciceri – c’è stato un momento in cui i falsi positivi erano eccessivi rispetto alla nostra capacità di gestire i singoli eventi. Perciò abbiamo dovuto aggiustare il tiro. Ci siamo resi conto che alcune regole potevano essere scritte meglio. In altri casi, bisognava cambiare tecnica per analizzare certi documenti. In questo passaggio, la soluzione Symantec ci ha consentito di fare e capire meglio i processi, aiutandoci a raggiungere l’obiettivo». Detto questo, alcune regole si sono rivelate più efficaci di altre. «Alcune possono produrre al massimo uno o due eventi giornalieri, mentre altre ne producono da venti a cinquanta». In qualche caso, potrebbe trattarsi di modalità distorte di operare all’interno dell’azienda. «Prendiamo per esempio una chiamata al call center per risolvere una problematica con le carte di credito. Alla chiusura del ticket, potrebbe comparire nella cronologia il numero della carta. Se ho una regola che cerca i numeri di carta di credito, tutte queste notifiche saranno segnalate. Mentre in realtà sono falsi positivi. In questi casi, non è tanto il DLP che sbaglia. Ma si tratta di calibrare meglio il modello operativo interno. Dinamiche come queste, silenti fino a che non si va ad analizzare il processo, vengono portate alla luce da uno strumento come il DLP» – rileva Ciceri.

Leggi anche:  La privacy condizione essenziale per le aziende di tutto il mondo

PRIVACY E PROTEZIONE DEI DATI

Tracciare il flusso di informazioni nel modo sviluppato dalla soluzione di Data Loss Prevention, impatta in maniera positiva anche sul dettato legislativo del GDPR. «Se nel 2015, qualcuno mi avesse chiesto se stavamo implementando la soluzione Symantec per il GDPR, la risposta sarebbe stata negativa. All’epoca ci interessava soprattutto proteggere i dati sensibili dell’azienda» – riconosce Ciceri. «Di fatto però i dati personali contenuti nel sistema informativo aziendale diventano dati sensibili e quindi vanno protetti allo stesso modo». Far accettare ai collaboratori le dinamiche della soluzione è stato un passaggio lineare. «Sin dalle prime fasi di implementazione, abbiamo previsto di coinvolgere il personale in modo da consentirgli di capire quale tipo di impatto poteva esserci sui flussi di informazione».

MAGGIORE GRANULARITÀ DEI CONTROLLI

Per l’IT e il team di sicurezza è chiaro quali informazioni possono essere condivise anche fuori dal perimetro aziendale e quali invece devono essere blindate. La stessa consapevolezza però potrebbe non esserci per tutti i collaboratori. «Per noi la distinzione è chiara perché ci siamo confrontati con una serie di unità organizzative che ci hanno dato il loro punto di vista. Per esempio, abbiamo lavorato molto con le strutture che si occupano della segreteria bancaria, dei rapporti con il CdA, i collegi sindacali, i comitati esecutivi, l’AD e così via. Sapevamo che all’interno di quelle strutture gravitavano tutta una serie di informazioni molto sensibili» – chiarisce Ciceri. «Però potremmo aver tralasciato delle zone che per qualche motivo abbiamo ritenuto meno impattanti, ma che invece in futuro potrebbero esserlo». Il passaggio successivo sarà quello di dare ancora maggiore granularità al controllo. «In questo caso, rientrerà in gioco l’azione di data classification. Un passaggio che sarà messo a terra solo dopo essere passato attraverso l’analisi di ogni singola unità organizzativa e aver sviscerato tutti i contenuti informativi che ogni struttura può generare. A quel punto, passeremo alla fase di valutazione del rischio, stabilendo una nuova gerarchia di regole. Un lavoro che potrà essere completato solo attraverso un confronto puntuale con le singole unità che generano e sono proprietarie di quelle informazioni» – conclude Ciceri.