Cyber security in banca alla luce del GDPR

Di
Piero Bucci
-
Panda Security supera con successo il Business Security Test di AV-Comparatives

Verso la cyber-physical security. La sicurezza globale integrata e di sistema. La banca si sta trasformando e organizzando per contrastare sempre meglio il rischio cyber. La sicurezza cambia pelle adottando nuove strategie e soluzioni che in parte discendono dal GDPR e dalla direttiva NIS

Nell’attuale contesto di trasformazione digitale della finanza, la sicurezza dei servizi bancari è strategica per l’intero core business del settore. La minaccia cyber, per la sua natura diffusa, incontrollata e transnazionale, rappresenta oggi la sfida più impegnativa. I cyber attack sono in grado di produrre effetti devastanti, molto costosi e di incidere sull’esercizio stesso della libertà economica. La distruzione e il danneggiamento, anche parziale, della infrastruttura critica della finanza hanno un notevole impatto strategico, umano, economico e sociale: basti pensare alle reti di interscambio e ai sistemi di pagamento che includono effetti intersettoriali e transfrontalieri, con effetto “domino” dovuto alle interdipendenze. L’autorevole Global Risk Report 2018 del World Economic Forum (WEF), alla sua tredicesima edizione, pone il cyber risk al terzo posto in termini di probabilità e al sesto in termini di più alto impatto globale. E se confrontiamo i dati degli ultimi cinque rapporti vediamo che il rischio cyber è cresciuto sistematicamente fino ad arrivare alla posizione attuale.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

CYBER SECURITY

«La cyber security è certamente uno dei temi più rilevanti per il settore bancario. La posta in gioco è altissima e non tocca la semplice perdita di denaro a fronte di una piccola frode, ma la possibile compromissione dell’intero sistema dei pagamenti e del rapporto di fiducia sul quale si basa il convivere sociale» – conferma Alessandro Vallega del comitato direttivo CLUSIT. Il rapporto CLUSIT presentato al Security Summit del marzo scorso, delinea una situazione veramente preoccupante. Da una parte si stima che il cybercrime abbia causato, a livello globale, danni per 500 miliardi di dollari con un trend in aumento e, dall’altra, si afferma che il 2017 è stato, contemporaneamente, l’anno del trionfo del malware e degli attacchi industrializzati, realizzati su scala planetaria contro bersagli multipli, nonché della discesa in campo dei governi come attori di minaccia. «In ambito bancario, queste tre cose sono molto rilevanti» – spiega Vallega. «Il malware è un forte veicolo di compromissione della sicurezza dei sistemi usati dai clienti per accedere ai loro dati. In modo analogo, è anche un pericolo per i sistemi client e server degli istituti e della rete che trasporta l’informazione dagli uni agli altri». Negli ultimi anni, CLUSIT ha anche raccolto chiare ipotesi di attacco cyber provenienti da stati. «Si, in ambito bancario – conclude Vallega – alcuni ritengono che la frode, per un centinaio di milioni di dollari, ai danni della Banca Centrale del Bangladesh sia avvenuta tramite la compromissione del sistema di comunicazione dei pagamenti SWIFT e che sia collegata a un gruppo di hacker legato al governo nord coreano». Tutto ciò è risultato chiaro anche durante l’ultima edizione del Cyber Security Summit 2018, organizzato da The Innovation Group (www.theinnovationgroup.it) e tenutosi a Roma a marzo scorso. I keynote speaker e gli esperti internazionali hanno evidenziato chiaramente che la cyber security è oggi un’urgenza in tutto il mondo e in particolare nel settore finanziario. Le minacce odierne del cyber terrorismo, cyber crime e cyber warfare rappresentano una sfida sempre più importante, come hanno dimostrato alcuni eventi recenti, dalla divulgazione dei principali bug di sicurezza della CPU alla diffusione epidemica dei criptoworms (WannaCry, NotPetya e BadRabbit). Anche il presidente della Commissione Europea (CE) Jean-Claude Juncker, nell’ultimo discorso sullo stato dell’Unione ha sottolineato che la risposta al cyber crime è al quarto posto tra le priorità europee, e che stanno arrivando azioni concrete e nuovi regolamenti, come il preannunciato “Cyber Security Act” di cui ha parlato Sir Julian King, commissario per Unione della Sicurezza della CE. King ha presentato, inoltre, le azioni in corso per realizzare tutte le priorità relative alla Unione Europea della Sicurezza, soffermandosi sui progressi compiuti e descrivendo brevemente i lavori per i prossimi mesi.

#GDPR #NIS e attuazione della #PSD2 priorità assolute per il finance

Click To Tweet

NUOVE NORME

Come noto, l’Unione Europea ha già emanato la direttiva (UE) 2016/1148 “Network and Information Security (NIS)” e il regolamento (UE) 2016/679 “General Data Protection Regulation (GDPR)” per il “trattamento e protezione dei dati”, dove non si parla più solo di “privacy” bensì di “data protection”. Con il GDPR, già in vigore dal 2016 e che completa la sua attuazione il 25 maggio, la UE ha voluto cogliere tre obiettivi principali: 1) Innalzare il livello di protezione dei dati e dei sistemi di cyber security. 2) Uniformare, per tutti i paesi UE, le norme specifiche. 3) Proteggere i dati che nascono nell’UE anche se vengono esportati fuori dall’Unione. Il 2018 è un anno decisivo per la cyber security, non solo per il completo dispiegarsi del GDPR e della direttiva NIS, ma anche per l’attuazione della PSD2 (“Payment Services Directive 2”), che riguarda direttamente o indirettamente l’innalzamento della sicurezza per gli operatori dei servizi essenziali e della finanza. Ma, collegato a questi adempimenti, c’è anche il completamento del “Piano nazionale per la protezione dello spazio cibernetico”, con il rafforzamento della rete dei CERT in grado di far fronte a eventuali emergenze nazionali e la messa in funzione del Nucleo per la sicurezza cibernetica (NSC) deputato alla gestione e coordinamento delle crisi.

IMPLICAZIONI GDPR E NIS

«Una delle possibili chiavi di lettura del GDPR attribuisce a questa nuova disciplina il merito di ridisegnare un quadro normativo in materia privacy vecchio ormai di vent’anni, estendendone l’efficacia a livello di protezione del dato» – ricorda Andrea Violato, senior GDPR consultant di Augeos. «Tale visione appare del tutto condivisibile, in quanto riconosce al GDPR non tanto il merito di aver introdotto ex novo obblighi inediti e nuovi adempimenti, quanto l’aver riordinato una serie di buone prassi venutesi a concretizzare in materia di analisi del rischio, riconoscendone così una fondamentale dimensione. Più in particolare, l’introduzione, pressoché d’obbligo per tutto il settore finance, di predisporre e mantenere un apposito Registro dei trattamenti, al fine di un effettivo ed efficace data protection impact assessment, e la corretta gestione dei diritti degli interessati appaiono come alcuni dei più interessanti passi in avanti della disciplina rispetto al passato. «Tuttavia, per far fronte al GDPR – prosegue Violato – è necessario adoperarsi al fine di attuare quella che potrebbe rivelarsi una profonda riorganizzazione interna, che va dalla designazione del data protection officer (DPO) sotto forma di nuova figura di controllo, alla predisposizione di strutture organizzative idonee a far fronte agli obblighi di data breach notification, passando dal ridisegno dei processi aziendali di gestione del dato in ottica di privacy by default e privacy by design». In ogni caso, dal punto di vista economico, il GDPR non deve essere inquadrato solo ed esclusivamente come voce di spesa, ma anche e soprattutto, come occasione di crescita culturale in materia di data protection e di professionalità degli addetti aziendali. «A nostro avviso – dice Violato – uno dei punti strategici su cui puntare è rappresentato dalla individuazione delle misure tecniche e organizzative da applicare ai trattamenti al fine di tutelare i diritti degli interessati». Su tale argomento, sono di indubbio valore le sempre più diffuse tecniche di machine learning e di analisi del linguaggio capaci di rendere facilmente processabili e identificabili le lacune e le vulnerabilità rispetto al framework di riferimento. «Il GDPR – conclude Violato – è da intendersi come il migliore strumento operativo con cui formare i soggetti aziendali non solo dal punto di vista strettamente professionale, ma anche e soprattutto, sotto il profilo personale». Di conseguenza, l’avvento di un framework condiviso a livello UE che, per di più, riverbera i propri effetti a livello planetario, deve essere letto come opportunità di crescita e consolidamento delle proprie identità.

Leggi anche:  ASL Viterbo sceglie Agger di Gyala per una difesa cyber tutta italiana

LA SICUREZZA È UN BENE COMUNE

«Mentre il GDPR ha un indirizzo molto specifico, legato alla protezione dei dati personali, la direttiva NIS ha un respiro più ampio, legato alla definizione di elevati standard di sicurezza comuni agli operatori di servizi essenziali» – afferma Cinzia Convertino, security consulting manager di HPE Pointnext. Tra questi, anche banche e assicurazioni, con un serio impatto sul risk management, IT in particolare, che deve essere adeguato per conformarsi alla normativa. «L’intelligenza artificiale, oltre a essere l’arma di punta dei cyber-criminali, può anche essere un efficace strumento di contrasto agli stessi soprattutto se combinata opportunamente con altre tecnologie» – sottolinea Cinzia Convertino. Aruba Networks, per esempio, fornisce una protezione a 360 gradi, unendo il controllo degli accessi alla rete di ClearPass con il rilevamento e gli avvisi sugli attacchi basati sull’analisi del comportamento degli utenti di Introspect. Le tecnologie di machine learning sono particolarmente efficaci in settori come la user and entity behavior analytics (UEBA), che studiando i comportamenti degli utenti, non solo umani, possono identificare comportamenti sospetti e potenziali pericoli. «Occorre però continuare anche a promuovere e diffondere la cultura della sicurezza a tutti i livelli, un’arma fondamentale contro la criminalità informatica – continua Convertino – che spesso sfrutta proprio la non adeguata preparazione di utenti e operatori». Di pari passo è necessario poter contare su strumenti organizzativi e tecnologici all’altezza. Sarebbe auspicabile che gli operatori del settore approfittassero dell’occasione fornita dall’entrata in vigore delle nuove normative per rivedere i propri modelli IT, magari evolvendo verso forme di Hybrid IT che sono in grado di garantire maggiore sicurezza e flessibilità e al tempo stesso minori costi. «Cooperazione e governance sono poi, senza dubbio, elementi chiave da considerare» – conclude Convertino. «Occorre comprendere che la sicurezza è un bene comune il cui livello non dipende da un singolo operatore». Un solo anello debole può mettere a repentaglio la sicurezza di tutti. Da un approccio di questo tipo, possiamo quindi aspettarci dei vantaggi per tutti, anche per gli utenti finali.

CONCENTRARSI SULL’UTENTE FINALE

«L’aspetto più rilevante è sicuramente il passaggio da una normativa, basata su richieste specifiche e a volte tendenti all’obsolescenza, a una basata sull’analisi dei rischi che richiede alle società finanziarie una comprensione molto più avanzata e completa delle problematiche attinenti la sicurezza» – afferma Michele Rivieri, chief information security officer di Cedacri. «In particolare, è importante che le aziende del settore finance comprendano che il GDPR non è solo una normativa in ambito IT, ma ha soprattutto un impatto organizzativo e procedurale». In Cedacri, le misure richieste sono già state in gran parte realizzate, in particolare l’implementazione di misure come la corretta segregazione degli ambienti, la mascheratura dei dati non di produzione, la cifratura dei dati in transito e la protezione dalle nuove minacce, perciò gli impatti delle nuove normative sono ridotti. Mentre in realtà più piccole e meno organizzate e strutturate potrebbero essere particolarmente costosi e impegnativi. «Già da alcuni anni – continua Rivieri – gli organismi regolatori del mondo finance sia a livello nazionale che europeo si sono mossi nella direzione indicata dalla direttiva NIS, quindi mi aspetto che sarà necessaria solo qualche correzione di rotta». I vantaggi maggiori saranno nella gestione delle terze parti che verranno finalmente spinte ad abbracciare anch’esse i principi base della sicurezza. «Ritengo, in definitiva – conclude Rivieri – che occorra concentrarsi sull’utente finale, che sempre di più sarà il vettore di ingresso ai sistemi finanziari da parte degli hacker».

Il settore finance sarà sempre di più impattato dai provvedimenti europei a causa dei cambiamenti al livello di business model, che stanno interessando il settore. «In risposta a questa escalation delle conformità, DXC Technology ha definito un nuovo approccio, recependo quello che è il messaggio sottostante i diversi presidi regolatori e cioè che alle organizzazioni è richiesto un cambiamento culturale che traguardi la protezione del proprio business a 360 gradi» – spiega Leonardo Nobile, security principal. «Tale nuovo apprestamento, secondo Nobile, dovrà tenere in considerazione quattro aspetti principali. Il primo: «Analizzare la propria postura di sicurezza rispetto al nuovo rischio cyber, ai nuovi attori e alle nuove minacce, tramite approcci strutturati e con modelli di valutazione che tengano in considerazione organizzazione, processi, tecnologie e risorse umane. Il secondo: «Processi di condivisione con gli altri attori del settore finanziario (information sharing) su quanto accade in termini di sicurezza cyber. Il terzo: «Processi e tecnologie che mirino non solo alla protezione ma anche alla early identification, risposta e recupero del business a seguito di incidenti cyber verso una nuova architettura di sicurezza. E infine, il quarto: «Adozione di modelli as a service e cloud based, ricorrendo a terze parti per i servizi di monitoraggio e gestione della sicurezza, con indubbi vantaggi in termini di efficacia ed efficienza della protezione».

La protezione, la prevenzione e la sicurezza sono beni comuni

Click To Tweet

SECURITY HUMAN-CENTRIC

Secondo Emiliano Massa, area vice president sales South EMEA di Forcepoint, le banche e gli istituti finanziari, per adempiere alla NIS e GDPR, devono assumere misure tecniche e organizzative adeguate e proporzionate per gestire i rischi e la sicurezza, prevenire e ridurre al minimo l’impatto degli incidenti informatici ed essere in grado di rilevare eventuali incidenti. «Il punto di partenza è identificare e mappare correttamente i dati critici e sensibili, garantirne la protezione, mitigando i rischi, ed essere in grado di rilevare eventuali incidenti in tempi molto brevi per segnalarli agli enti preposti». Forcepoint risponde a queste tre necessità con il proprio approccio di security human-centric, basato su una cyber security che pone l’individuo al centro di ogni processo. Attraverso il DLP (data loss prevention), e in particolare della funzionalità di data discovery, con l’utilizzo di policy ad hoc per il mercato italiano pre-impostate, offre un prezioso supporto per identificare i dati critici o sensibili. Inoltre, è in grado di contribuire fortemente alla mitigazione del rischio informatico, attraverso soluzioni di data protection e alle nuove soluzioni che mirano a comprendere il comportamento degli utenti e a prevenirne azioni rischiose, come insider threat e UEBA (user and entity behavior analytics). «Tali soluzioni di identificazione real time del rischio – conclude Massa – si basano sul risk scoring, per focalizzare l’attenzione sulle sole minacce pericolose, permettendo agli enti di evitare di disperdere energie su attacchi secondari e/o falsi positivi. Forcepoint è in grado di rilevare in tempo reale eventuali incidenti, diminuendo nettamente il cosiddetto “dwell time” (tempo di permanenza) e consentendo agli enti di segnalare gli incidenti con la richiesta tempestività».

Leggi anche:  SoftwareReviews nomina Kaspersky Champion nel report Endpoint Protection Emotional Footprint 2023

INTEGRARE PROCESSI E NORMATIVE

«Il concetto di “governo e tutela dei dati” introdotto dal GDPR e l’esigenza di garantire la continuità dei servizi essenziali sottolineata dalla direttiva NIS, richiedono la definizione di strategie e l’adozione di misure specifiche su larga scala» – sottolinea Giulio Vada, country manager di G DATA. Uno sforzo notevole alla luce delle diverse infrastrutture e modalità di lavorazione dei dati presenti presso gli operatori finanziari. La spesa effettiva è difficilmente quantificabile poiché del tutto dipendente dalla situazione in cui versa il singolo operatore. L’effetto però è dirompente: occorre mettere mano a tutti i processi di business e alle infrastrutture in essere per assicurare che la resilienza e la privacy, ovvero la protezione e il governo del dato, siano davvero garantite “by default e by design”. «Entrambi i provvedimenti – continua Vada – richiedono di assegnare la massima priorità alla cyber security adottando un atteggiamento proattivo: una gestione matura dei rischi deve necessariamente includere la stima continua dei propri asset, dei rischi cyber, dei punti di forza e delle vulnerabilità».

La formazione del personale si rivela essenziale per ridurre il rischio di incidente. «Inoltre – conclude Vada – risulta necessario ingegnerizzare l’aggiornamento dei sistemi e degli applicativi con una moderna soluzione di patch management, oltre che adottare soluzioni di elevata qualità per la sicurezza degli endpoint (inclusi eventuali smartphone) e per il monitoraggio costante dell’operatività di host e periferiche di rete». Per Angelo Bosis, sales consulting director di Oracle il recepimento della direttiva NIS rappresenta un ulteriore passo avanti rispetto al tema della cyber security di cui ormai nessuno nega l’importanza a fronte dell’ineluttabile trasformazione digitale del modello di produzione e consumo. «Nello specifico settore bancario, uno dei più regolamentati, esistono da tempo numerose norme e regolamenti che hanno già contribuito ad alzare il livello di sicurezza. «Il valore aggiunto della NIS lo vedo quindi maggiore in quei settori industriali dove all’IT si complementa l’OT, l’operational technology» – spiega Bosis . «Nelle banche, si pone il tema di come integrare i processi di gestione della NIS con i regolamenti di Banca d’Italia, la PSD2 e il GDPR. Si pensi per esempio al tema della notifica dei data breach: sarebbe auspicabile raggiungere una certa omogeneità delle definizioni e dei criteri per le notifiche». Un aspetto positivo della NIS è sicuramente che si razionalizzano le strutture di coordinamento europee e nazionali e si facilita in ambito security una collaborazione intersettoriale e, quindi, per l’ambito bancario la NIS migliora cooperazione, resilienza e governance anche se il settore aveva già una discreta maturità pregressa.

INFORMATION CENTRIC SECURITY

Vi sono forti implicazioni in termini di tipo di soluzione IT e della loro disponibilità a coprire i temi del GDPR. «Nonostante molti fornitori di software e servizi abbiano aggiunto frasi come “conforme GDPR” agli script di vendita e alle campagne di marketing, è importante ricordare che il software non può mai essere veramente conforme al GDPR» – afferma Fabio Rizzotto, associate vice president research and consulting di IDC Italia. È un software e, quindi, solo uno strumento. Certo un buon tool può aiutare un’organizzazione a soddisfare i requisiti normativi, ma questi debbono essere controllati da responsabili della conformità e dai team legali per garantire che il servizio sia effettivamente allineato a tutte le regole e le restrizioni previste. «Più in generale – continua Rizzotto – quando le banche si trasformano, ogni cambiamento deve essere verificato a livello internazionale, nazionale, statale e talvolta a livello di città». Le autorizzazioni normative già in vigore devono essere esaminate attentamente per garantire la conformità con l’attività pianificata. Le procedure di segnalazione degli incidenti, la sicurezza delle informazioni e i protocolli di continuità devono essere aggiornati. «Le politiche che regolano l’uso dei dati sensibili – conclude Rizzotto – devono essere sempre aggiornate e i normali test e revisioni delle procedure di conformità devono essere parte integrante delle attività aziendali». A questo proposito, un’oncia di prevenzione vale un chilo di cura. La creazione di una task force in grado di controllare rapidamente ogni modifica durante la pianificazione eviterà probabilmente correzioni e multe costose lungo la strada. Vi sono anche forti implicazioni del GDPR nel contesto dei vari canali e dell’ecosistema, poiché molte società possono essere coinvolte con i dati di un cliente. Qui le complessità del GDPR sono amplificate. In particolare, se un determinato utente finale dovesse cadere in errore rispetto al GDPR, e si dovesse procedere alle opportune riparazioni, è probabile che si cerchi di individuare la tecnologia o l’azienda da biasimare attraverso la specifica catena del valore. Questo, secondo IDC, sarebbe un compito difficile, a causa del complesso impatto sul canale del GDPR. Pertanto, accertarsi che le prove di conformità siano raccolte e organizzate correttamente è essenziale.

«Il GDPR applica stretti criteri di privacy alla data governance e al ciclo di vita dell’informazione» – mette in evidenza Stefano Volpi, country manager di Symantec. «Per proteggere i dati personali, compresi quelli sensibili, occorre pertanto agire secondo criteri di information centric security, per esempio con soluzioni di data loss prevention ed encryption, che, se adottate, diventano anche solidi fattori mitiganti, nei casi di indagine dell’autorità su specifici data breach». Un altro aspetto è quello della cyber-intelligence e dei servizi di sicurezza gestiti: le proposte Deepsight e Managed Security Services di Symantec sono in grado di monitorare ambienti sensibili, analizzare le minacce, e rispondere adeguatamente agli attacchi. Un terzo aspetto notevole è quello della protezione nel cloud e nella dinamica Internet. «Da una parte occorre agire con tecnologie CASB (cloud access security broker) – sottolinea Volpi – per mitigare l’esposizione del dato e monitorare le app nel cloud, comprese quelle che gli utenti utilizzano all’insaputa dell’IT – la cosiddetta “shadow IT”: queste possono presentare insidie di compliance GDPR, nel caso in cui trattino dati personali. Dall’altra con strumenti di “web isolation”, che eseguono le sessioni web lontano dagli endpoint e isolano il traffico da siti o URL sospetti, inviando solo informazioni di rendering sicure ai browser degli utenti».

Leggi anche:  Kaspersky, leader nel Security Awareness & Training Data Quadrant di SoftwareReviews 2023

INVESTIRE IN SICUREZZA

La cyber security è, quindi, una priorità assoluta per la resilienza delle infrastrutture strategiche della finanza. Una “buona cyber security” è fondamentale per le piattaforme cyber-​​physical su cui basare lo sviluppo di servizi innovativi ed è una risorsa cruciale per consentire la migliore sostenibilità e lo sviluppo. Gestire i rischi in ottica di sicurezza integrata e di sistema vuol dire rispondere a una richiesta precisa e pressante del mercato e delle norme che impone alla banca di acquisire una complessa visione d’insieme, caratteristica fondamentale della cyber-physical security: le criticità della singola filiale e la tutela del dipendente, le esigenze di interlocutori esterni sempre più diversificati, l’autenticazione robusta, la difesa del patrimonio informativo, la prevenzione rispetto alle minacce derivanti dalla escalation dei cyber attack, sono solo i principali aspetti di questa visione. È quindi necessario sviluppare capacità superiori di incident management, una security intelligence e un monitoraggio evoluto delle minacce per la migliore risposta alle minacce informatiche. Secondo IDC, complessivamente, la spesa mondiale per hardware, software e servizi relativi alla sicurezza raggiungerà 91,4 miliardi di dollari nel 2018, con un aumento del 10,2% rispetto alla spesa del 2017. «Le analisi IDC evidenziano come la spesa in sicurezza IT da parte delle imprese europee e italiane sia già, e lo sarà ancor di più in prospettiva, influenzata dall’entrata in vigore del GDPR» – afferma Fabio Rizzotto di IDC Italia. L’adeguamento alla regolamentazione europea avviene in un contesto di evidente e forte evoluzione, in cui non solo una parte sempre più importante dell’IT risiede al di fuori del perimetro aziendale, ma, con la cyber-physical security, vanno anche sbiadendo sempre di più i confini tra ambienti fisici e digitali. «L’allineamento alle norme europee – prosegue Rizzotto – trasformerà sensibilmente i processi aziendali di gestione, archiviazione, governo e protezione dei dati, e si aspetta che il GDPR continuerà a trainare una porzione significativa della spesa aziendale in sicurezza IT per i prossimi quattro anni, così come già avvenuto nel corso del 2017, andando a incidere sia sul valore del mercato del software che su quello dei servizi di sicurezza». Più nel dettaglio, in Europa IDC prevede che la spesa in sicurezza IT direttamente correlata al GDPR crescerà con un CAGR 2017-2021 del 19,5%. Il picco della spesa in sicurezza influenzata dal GDPR si avrà secondo IDC l’anno prossimo, nel 2019, con investimenti aziendali che supereranno i 3,7 miliardi di dollari. In Italia, la spesa in sicurezza IT trainata dal GDPR crescerà nel medesimo arco di tempo con un CAGR del 15,3% e culminerà anch’essa nel 2019 sfiorando i 230 milioni di dollari. Quest’anno, IDC prevede per le imprese italiane un valore di spesa di quasi 200 milioni di dollari.

#Finance La spesa in #sicurezza IT trainata dal #GDPR: picco nel 2019 – @IDCItaly

Click To Tweet

CONCLUSIONI

L’attivazione del circolo virtuoso “più sicurezza uguale più qualità dell’offerta e maggiore fiducia della clientela” assume importanza strategica nell’attività finanziaria, che sul trattamento delle informazioni e sulla costruzione di un rapporto di fiducia con i clienti fonda la propria operatività. Si profilano all’orizzonte importanti rischi cyber che possono creare veri e propri disastri. La banca si sta, quindi, trasformando e organizzando per coprire tale rischio. Ed è in atto un mutamento radicale: la realizzazione del modello di “sicurezza integrata e di sistema” o cyber-physical security, anche in attuazione delle nuove norme europee GDPR e NIS. Tale nuovo approccio consente di concentrare la responsabilità al più alto livello manageriale e di gestire il fenomeno anche all’esterno con i necessari raccordi con il sistema bancario, ma anche con il sistema di sicurezza nazionale ed europeo.

Sicurezza integrata e GDPR

Kaspersky Lab, una strategia per il finance in 5 punti

Definito il framework GDPR e NIS, se l’intelligenza artificiale diventa l’arma di punta nell’arsenale di attacco del cybercrime, quali sono i cinque punti fondamentali per una strategia efficace per il settore finance? Secondo Morten Lehn, general manager Italy di Kaspersky Lab il settore finanziario rappresenta una realtà altamente regolamentata, trattando grandi quantità di informazioni personali e sensibili ogni giorno. «A causa del volume di questi dati, finanza e contabilità costituiscono un importante banco di prova per i responsabili della protezione dei dati. Per chi è già abituato a operare sotto stretti controlli regolamentari, il GDPR contribuirà solo a rafforzare la natura solida e trasparente della funzione finanziaria».

I cinque punti per una strategia efficace prevedono:

  1. La definizione di un processo di escalation chiaro all’interno del dipartimento in modo da segnalare subito eventuali violazioni dei dati alle autorità.
  2. La verifica dei dati e la valutazione delle modifiche da apportare alle pratiche attuali per garantire la conformità.
  3. L’automatizzazione dei processi che contribuirà a ridurre l’errore umano e i rischi legati a un’eventuale violazione, intenzionale o meno, dei dati.
  4. La revisione della procedura di memorizzazione dei dati per la conservazione e la distruzione dei dati personali, dal momento che i parametri cambieranno in virtù del GDPR.
  5. L’importanza della protezione dei dati per tutti i processi in corso: è importante pensare alla procedura come a una parte fondamentale per l’azienda. Soluzioni come quelle offerte da Kaspersky Lab sono in grado di aiutare le aziende con strategie di sicurezza mirata, volte alla protezione di sistemi e di dati dalle minacce avanzate; le varie soluzioni, infatti, rilevano attacchi mirati, proteggono sistemi endpoint, ATM e POS, garantiscono la sicurezza in ambienti cloud e monitorano le minacce anche nelle reti isolate.