Nel sistema finanziario italiano è in atto un mutamento radicale nella concezione della business continuity che diventa sempre più attiva e, tramite servizi avanzati di monitoraggio, tende a prevenire per evitare che gli attacchi possano creare danni
L’attivazione del circolo virtuoso “più sicurezza uguale più qualità dell’offerta e maggiore fiducia della clientela” assume da sempre un’importanza strategica nella finanza che sull’elaborazione delle informazioni e sulla costruzione di un rapporto di fiducia con i clienti fonda la propria raison d’etre. In seguito alle crescenti possibilità offerte dall’ICT e dalla finanza online – intesa come operatività dell’operatore finanziario nell’interconnessione elettronica diffusa – il contesto operativo e competitivo è divenuto sempre più dinamico e con nuovi rischi. E’ quindi indispensabile ripensare e rinnovare il circolo virtuoso della sicurezza e continuità del business.
I NUOVI RISCHI
Le modalità operative degli attacchi informatici sono, infatti, in continua e rapida escalation. Si profilano all’orizzonte crescenti rischi che vanno sotto il nome di APT – advanced persistent threat – vale a dire attacchi prolungati nel tempo e focalizzati su specifici obiettivi che possono arrivare a bloccare un’intera istituzione finanziaria o l’intero sistema economico di un Paese.
Gli attori in gioco non sono più rappresentati dal singolo hacker dilettante, ma da vere e proprie organizzazioni criminali, talvolta sostenute da potenti organizzazioni internazionali o, addirittura, da Stati. Potenzialmente, possono essere perpetrate vere e proprie azioni di spionaggio via Internet e tradizionali con conseguenti operazioni che possono, talvolta, condurre anche all’abbattimento di un’impresa o di un tessuto economico.
Il rischio APT nella finanza è confermato dall’autorevole Global Risks Report 2012 del World Economic Forum che – analizzando le 50 principali minacce globali dei prossimi 10 anni e classificandole per impatto e probabilità, nella sezione rischi tecnologici – pone al primo posto il cyber crime e l’APT.
Non bisogna dimenticare che, a livello di competitività industriale, gli obiettivi di gruppi – anche piccoli ma ben organizzati – con una copertura istituzionale da parte di eventuali Paesi ostili, non sono solo i singoli conti dei clienti ma le informazioni strategiche di una banca o di grandi manovre finanziarie, economiche e industriali. Tutto ciò rappresenta il passaggio dalla “info security” alla cosiddetta “cyber security”.
Parallelamente, il panorama dei sistemi informativi sta evolvendo verso il cloud computing (CC), che rappresenta un nuovo modello di utilizzo e di distribuzione delle risorse ICT. L’attenzione del mondo della finanza si concentra in particolare sugli ambiti in cui a oggi tale approccio sembra in grado di apportare i maggiori benefici, ossia all’elevata resilienza di strutture tecnologiche distribuite e alla possibilità di svincolarsi dalle logiche abituali di acquisizione dei servizi. L’adozione del CC necessita, però, di alcune analisi preliminari su specifici punti quali:
1) il rischio della possibile perdita di controllo delle informazioni e delle infrastrutture ICT;
2) i tempi di latenza della rete;
3) le difficoltà di gestire risorse geograficamente distribuite;
4) le problematiche connesse alla condivisione di risorse tra differenti soggetti che rappresentano altrettanti rischi di discontinuità del servizio.
A questo proposito, Fabio Fregi, direttore della divisione enterprise & partner di Microsoft Italia evidenzia che «nella visione di Microsoft è fondamentale, in primo luogo, l’adozione di soluzioni CC secondo un approccio ibrido per ottenere la massima flessibilità e controllo. È inoltre utile prevedere aree e postazioni Microsoft Virtual Desktop Infrastructure per ripristinare immediatamente l’operatività di postazioni di lavoro e filiali o addirittura divisioni. Sono poi necessari strumenti di monitoraggio end to end».
Tutte le realtà bancarie hanno, in effetti, uno strumento per il monitoraggio infrastrutturale. Questi, però, con la crescente complessità delle strutture in gioco, non sono più sufficienti e in taluni casi sono addirittura fuorvianti, facendo perdere tempo e risorse preziose. Microsoft propone quindi di dotarsi di strumenti come System Center Operations Manager 2012 che permette un monitoraggio completo dell’intera prospettiva end user dall’accesso via web alle applicazioni, all’hardware, network, database tier…
IL QUADRO NORMATIVO
L’adozione di metodologie e soluzioni di business continuity (BC) e di disaster recovery (DR) nella finanza è stata imposta, oltre che dall’esigenza vitale di qualità e sicurezza, dalle norme Basilea 2 e 3 e dalle regolamentazioni della Banca Centrale Europea (BCE), che definiscono il ruolo chiave della BC e DR in relazione al rischio operativo e sistemico.
La Banca d’Italia (BI), a partire dal 2004, nelle “Istruzioni di vigilanza per le banche” (Titolo IV – Capitolo 111) e nel documento “Continuità operativa in casi di emergenza”, ha impartito disposizioni che rendono obbligatorio per gli intermediari finanziari la realizzazione del business continuity plan (BCP) volto a garantire che i servizi aziendali più importanti continuino a funzionare o siano ripristinati in tempi accettabili.
La BI ha poi emanato i “requisiti particolari per la continuità operativa dei processi a rilevanza sistemica”. La norma prevede requisiti particolari più rigorosi per minimizzare il rischio di blocco del sistema in caso di gravi incidenti. In particolare, individua i processi ad alta criticità da proteggere, denominati “processi a rilevanza sistemica” e definisce le misure aggiuntive per la BC. I processi ad alta criticità nel sistema finanziario che, per un “effetto domino”, possono provocare il blocco dell’operatività dell’intera piazza finanziaria si concentrano prevalentemente nei sistemi di pagamento e nelle procedure per l’accesso ai mercati finanziari.
Attualmente, è al centro dell’attenzione la Direttiva Europea per le Infrastrutture Critiche (2008/114/CE dell’8 dicembre 2008), recepita in Italia con il D.Lgs. n.61 del 11/4/2011, secondo la quale i sistemi di pagamento e della finanza sono “Infrastrutture Critiche Europee” e quindi soggette ad attenzioni normative e operative particolari in funzione del rischio sistemico.
La BCE in proposito ribadisce che “i sistemi di pagamento e quelli di compensazione e regolamento dei titoli sono infrastrutture fondamentali, necessarie al corretto funzionamento delle economie di mercato”. Essi sono indispensabili per l’efficienza dei flussi di pagamento a fronte di beni, servizi e attività finanziarie, e il loro regolare funzionamento è di primaria importanza per l’attuazione della politica monetaria della BCE stessa e il mantenimento della stabilità e della fiducia nella moneta, nel sistema finanziario e nell’economia.
Al fine di salvaguardare la continuità di servizio della piazza finanziaria italiana in caso di crisi di operatività è stato istituito il gruppo di lavoro CODISE, coordinato dalla BI d’intesa con la Consob, al quale partecipano i principali gruppi bancari e le società che gestiscono le infrastrutture di sistema. Il CODISE rappresenta la sede per il coordinamento delle iniziative per la gestione di eventuali crisi operative; partecipa al coordinamento degli interventi nei casi di crisi che riguardino l’intero Eurosistema; svolge le attività dirette all’organizzazione delle simulazioni concordate fra le banche centrali; progetta e coordina simulazioni ed esercitazioni cui prendono parte gli operatori partecipanti.
I PROCESSI A RILEVANZA SISTEMICA
I processi ad alta criticità nel sistema finanziario italiano che, per un “effetto domino”, possono provocare il blocco dell’operatività dell’intera piazza finanziaria nazionale si concentrano nei sistemi di pagamento e nelle procedure per l’accesso ai mercati finanziari.
Si tratta di un complesso strutturato di attività finalizzate all’erogazione dei seguenti servizi:
– servizi connessi con i sistemi di regolamento lordo in moneta di banca centrale e con i sistemi di gestione accentrata, compensazione, garanzia e liquidazione degli strumenti finanziari. Sono inclusi: Birel-Target2, Express 2, gestione accentrata di strumenti finanziari, sistemi di riscontro e rettifica giornalieri (RRG), servizi di controparte centrale;
– servizi connessi con l’accesso ai mercati rilevanti per regolare la liquidità del sistema finanziario. Sono inclusi: mercato interbancario dei depositi (e-Mid), aste BCE, operazioni di finanziamento del Tesoro effettuate tramite asta, MTS (comparto pronti contro termine);
– servizi di pagamento al dettaglio a larga diffusione tra il pubblico. Sono inclusi: bollettini postali, pagamento delle pensioni sociali.
Tali processi sono denominati, ai fini delle presenti disposizioni, “processi a rilevanza sistemica” per la continuità operativa del sistema finanziario italiano. (Fonte: Banca d’Italia, ”Disposizioni di Vigilanza” – Roma 21 marzo 2007).
IL BUSINESS CONTINUITY PLAN
In caso di incidente, per ogni singola organizzazione, è indispensabile che sia stato sviluppato, reso operativo e testato il business continuity plan (BCP) per garantire realmente la continuità del servizio. Il BCP presuppone che a monte esista un censimento dei processi aziendali tra i quali siano stati individuati quelli critici che, per la rilevanza dei danni conseguenti alla loro indisponibilità, necessitano di assoluta continuità. All’interno del BCP specifico rilievo rivestono le misure di DR tese a consentire la ripartenza dei sistemi informatici, nel più breve tempo possibile, stabilito a priori e denominato RTO (recovery time objective), attraverso la definizione del disaster recovery plan (DRP) e il sistematico salvataggio delle informazioni presso la propria sede e presso una sede alternativa, opportunamente individuata, dotata di elaboratori in grado di prendere in carico l’attività primaria della banca.
La BI definisce specifiche responsabilità per il consiglio di amministrazione, l’alta direzione e il business continuity manager (BCM). Il BCM, in particolare, cura la redazione, l’aggiornamento e il test periodico del BCP, effettua le verifiche, predispone la formazione e sensibilizzazione del personale. La BI definisce anche in maniera chiara le relazioni fra BCP e DRP.
Il BCP è il piano globale di emergenza che formalizza i principi, fissa gli obiettivi e descrive le procedure per la gestione della continuità operativa, mentre il DRP è parte del BCP è stabilisce le misure tecniche e organizzative per fronteggiare eventi che provochino l’indisponibilità dei centri di elaborazione dati e ICT.
In relazione a ciò, Fabio Fregi (Microsoft) sottolinea che: «Implementare soluzioni di DR e BC richiede uno sforzo importante e continuativo da parte delle persone IT che devono garantire la piena funzionalità del datacenter principale. L’utilizzo dell’Hybrid Cloud di Microsoft può semplificare e ridurre notevolmente gli investimenti in questa area».
«Il nuovo modello di BC parte dalla considerazione che in ambito finanziario i parametri di RPO ed RTO devono avere valori molto ridotti e in linea con le valutazioni di impatto prodotte dalla risk analysis» – afferma Elena Chiesa, presales director server & storage systems di Oracle Italia. Dunque, il nuovo modello evidenzia la sua natura pro-attiva configurandolo come l’insieme di tutte le attività da intraprendere prima del verificarsi di un disastro.
Viceversa, il nuovo modello di DR tratta i processi e le procedure, definite comunque nel piano BCP, da implementare dopo il disastro, in modalità reattiva, e fino alla fine della crisi. «In altre parole – continua Chiesa – si vuole superare la classica implementazione di business continuity site – inteso come data center metropolitano ricevente uno stream sincrono di dati – e di disaster recovery site – inteso come data center remoto ricevente uno stream asincrono di dati – spostando l’attenzione verso una visione nella dimensione del tempo piuttosto che dello spazio».
Il modello emergente, che Oracle definisce nei suoi principi, si basa quindi su un approccio strutturato, organizzato in fasi, svincolato dalla tecnologia, che si rinnova continuamente con l’evoluzione delle necessità di business. Le principali fasi si articolano: nell’analisi dell’impatto sul business; nella valutazione dei rischi, dei costi e dei benefici derivanti dalle soluzioni selezionate; nell’organizzazione della risposta alle emergenze e del relativo coinvolgimento dei fornitori durante la crisi; nello sviluppare, implementare e manutenere il BCP; nel definire i programmi di training appropriati ai ruoli e alle responsabilità; nella preparazione di test e simulazioni; nelle comunicazioni esterne. «La nuova chiave di interpretazione è quindi una visione olistica della soluzione ristrutturabile nel tempo» – conclude Chiesa.
SITUAZIONE ATTUALE E PROSPETTIVE
A oggi, la quasi totalità delle banche e delle istituzioni finanziarie ha un BCP formalizzato e in esercizio. Affinché sia veramente efficace, è necessario procedere a simulazioni reali e frequenti di eventi disastrosi, perché solo ciò consente di gestire in modo appropriato e tempestivo la sequenza delle azioni previste. L’attenzione è quindi focalizzata sulla gestione, manutenzione, ottimizzazione, sulle esercitazioni e attività di testing e sulla ricerca e adozione di strumenti di automazione per tali attività.
Esaminando la tipologia prevalente di prove effettuate c’è ora la consapevolezza della necessità di effettuare test che coinvolgano, con le dovute cautele, anche l’utente finale. L’indicazione fornita dalla normativa di vigilanza di svolgere, con frequenza almeno annuale, una verifica complessiva “il più possibile realistica” del ripristino dell’operatività in condizioni di emergenza ha indotto molte banche a svolgere prove “di business con dati veri”. E’ quindi fondamentale pianificare ed eseguire periodicamente esercitazioni per la gestione delle crisi e da queste trarre spunti di miglioramento continuo.
Dario Bonavitacola, responsabile direzione infrastrutture tecnologiche, servizi e sicurezza di gruppo di Cedacri sottolinea che «è in forte crescita il numero degli istituti che scelgono il modello organizzativo dell’outsourcing per la gestione della BC. Infatti, affidandosi a un operatore come Cedacri, che mette le proprie tecnologie a fattor comune per un elevato numero di istituti, le banche hanno l’opportunità di ridurre i propri costi IT fino al 30% potendo contare al contempo su infrastrutture di DR e BC all’avanguardia e corredate di strumenti, la cui implementazione in autonomia richiederebbe al singolo istituto sforzi molto significativi».
Nello specifico, Cedacri mette a disposizione un’architettura three-site, caratterizzata da un’infrastruttura di BC erogata in campus nella sede centrale di Collecchio e un sito di DR a 180 km di distanza: ciò garantisce la conformità rispetto alle più stringenti normative emanate dagli enti regolatori dei principali settori. A ciò si aggiunge una particolare attenzione agli standard tecnici e operativi di progettazione e gestione dei datacenter, che ha portato Cedacri a raggiungere i requisiti previsti dall’Uptime Institute (uptimeinstitute.com) per la certificazione Tier III (Concurrently Maintainable Site Infrastructure).
Per quanto riguarda gli strumenti automatici di supporto è necessario che sia verificata la consistenza delle assunzioni temporali e la compatibilità delle azioni previste dai BCP: cosa che può essere molto facilitata dall’utilizzo di strumenti di simulazione. Tali strumenti, infatti, possono essere utilizzati sia per l’addestramento del personale che per la successiva evoluzione del sistema stesso, ma anche come strumento operativo, nel caso di disastro, per accompagnare e guidare le fasi di ripristino.
Grande attenzione è anche posta al tema della necessaria integrazione e armonizzazione degli strumenti con gli altri sistemi aziendali (ad es. per la mappatura dei processi) e con i database aziendali. E’, infatti, evidente che tra le funzionalità necessarie per la gestione della sicurezza e BC, rientrino anche quelle che spesso sono gestite da altri strumenti già presenti. Altro aspetto cruciale è quello della facilità d’uso che deve essere notevolmente migliorata. Un ulteriore problema si pone poi per quegli strumenti nati in contesti internazionali in cui si riscontra l’adozione di metodologie diverse da quelle adottate dal sistema bancario italiano.
CONCLUSIONI
Nel sistema finanziario italiano è in atto un mutamento radicale nella concezione della BC, che diventa sempre più attiva e, tramite servizi avanzati di monitoraggio, tende a prevenire per evitare che gli attacchi possano creare danni irreparabili. L’attenzione è ora incentrata sulla gestione, manutenzione dei piani, l’attività di testing ed esercitazione e sulla ricerca e adozione di strumenti di automazione.
In considerazione dei notevoli investimenti richiesti per completare le attività descritte, nel sistema italiano, si sta verificando un interessante fenomeno: la stretta collaborazione tra banche, spesso anche concorrenti. La collaborazione si traduce, infatti, in concreti vantaggi operativi, organizzativi ed economici, non solo perché ciò consente di condividere i costi e i rischi, ma anche e soprattutto perché è l’unica strada praticabile per replicare e spesso condividere le infrastrutture e le competenze necessarie.
