Audit in ambito CRM: Rischi Operativi vs Compliance Linee ...Roberto Apollonio...

1

Audit inAudit in ambitoambito CRM:CRM:RischiRischi OperativiOperativi vsvs ComplianceComplianceLineeLinee GuidaGuida

Roberto [email protected] Audit Dept3 Italia

Milano, 12 Novembre 2008

2

page 2Audit in ambito CRM - Rischi Operativi vs Compliance, Linee Guida - Milano, 12 Novembre 2008

3 Italia ha come principale azionista il Gruppo Hutchison Whampoa(HWL), una delle più importanti Società quotate alla Borsa di Hong Kong(5 core business, oltre 220.000 dipendenti in 57 Paesi con unfatturato di 40 mld $ nel 2007, e 19 milioni di clienti UMTS nelmondo), oltre ad alcuni investitori Italiani:

HWL97.2 %

NHSInvestments

2.6 %

GEMINA0.2 %

8,45 milioni di clienti UMTS (20 Agosto 2008) 850.000 clienti DVB-H (TV Digitale Mobile) a Giugno 2008 Fatturato 2007: 2,1 miliardi di euro All’avanguardia nello sviluppo delle tecnologie mobili 3G grazie al lancio

dell’HSDPA e HSUPA

3 Italia: Azionisti e Risultati

3


Scenario: normativa vs businessScenario: normativa vs business

Protezione dei datiProtezione dei dati

ContinuitContinuitàà del serviziodel servizio

MajorMajor IssuesIssues

Gestione credenziali di accessoGestione credenziali di accesso

Messa in sicurezza di sistemi e applicazioniMessa in sicurezza di sistemi e applicazioni

Tracciamento delle operazioniTracciamento delle operazioni

Monitoring eMonitoring e ReportingReporting

4










5


Scenario: Normativa vs Business

Customer Relationship ManagementL'errore più comune in cui ci si imbatte quando si parla di Customer

Relationship Management (CRM) è quello di equiparare taleconcetto a quello di un software. Il CRM non è una semplicequestione di marketing né di sistemi informatici, bensì si avvale, inmaniera sempre più massiccia, di strumenti informatici o comunqueautomatizzati, per implementare la gestione del cliente.Il CRM è un concetto strettamente legato alla strategia, alla

comunicazione, all'integrazione tra i processi aziendali, allepersone ed alla cultura, che pone il cliente al centro dell'attenzionesia nel caso del business-to-business sia in quello del business-to-consumer.Le applicazioni CRM servono a tenersi in contatto con la clientela,

a inserire le loro informazioni nel database e a fornire loro modalitàper interagire in modo che tali interazioni possano essere registratee analizzate.

6



Call CenterPer Call Center o servizi chiamate s'intende l'insieme dei dispositivi,

dei sistemi informatici e delle risorse umane atti a gestire, in modoottimizzato, le chiamate telefoniche da e verso un'azienda o,verosimilmente, da e verso la propria clientela.L'attività di un Call Center può essere svolta da operatori specializzati

e/o risponditori automatici interattivi IVR al fine di offrire informazioni,attivare servizi, fornire assistenza, offrire servizi di prenotazione,consentire acquisti e organizzare campagne promozionali.

Contact CenterIl Contact Center rappresenta il canale di comunicazione diretto tra

azienda e mondo esterno e uno strumento privilegiato di gestione delcliente assumendo una rilevanza strategica nel contribuire adeterminare il livello di customer satisfaction e fidelizzazioneimpattando sull’andamento del business.Per essere efficace il Contact Center deve garantire facilità di

accesso, servizi personalizzati, tempi di risposta rapidi e qualità delleinformazioni.

7



Aree di gestione/trattamento dei dati del clienteGestione dati del cliente su sistemi e database aziendali: Dati anagrafici Portafoglio prodotti e servizi Coordinate bancarie Eventuale gestione in-house di numeri di carta di credito Traffico telefonico Traffico telematico

Supporto implementazione politiche commerciali effettuate sulla basedi monitoraggio ed analisi su scelte e comportamenti di acquisto,utilizzo di prodotti e servizi per valorizzare e fidelizzare la clientela.Ricerche di mercato basate su analisi ed elaborazione statistica dei

dati, acquisiti anche attraverso interviste e questionari, finalizzata allacommercializzazione di prodotti e servizi.

Il cliente quale driver del business

8



Principali Rischi per il BusinessLe dinamiche di rapido sviluppo del business si traducono, il più dellevolte, in assenza di adeguati livelli di controllo che possano assicurarela corretta conduzione dello stesso business.Non è raro imbattersi in situazioni a rischio quali ad esempio:Accesso non autorizzato ad applicazioni e dati riservatiUtilizzo improprio dei dati del cliente, ad esempio:

Dati di carta di creditoTabulati di traffico telefonico e/o telematico

Frodi interneImpossibilità di tracciare le attivitàMancata applicazione di misure tecniche ed organizzative richieste

per assicurare la compliance alla normativa di legge vigente

… il rischio è il mio mestiere …

9



Quadro normativo di riferimento comunitarioDirettiva 2002/58/CE del 12 luglio 2002 relativa alla “vita privata e alle

comunicazioni elettroniche”Direttiva 2002/65/CE relativa alla “commercializzazione a distanza di servizi

finanziari ai consumatori”Direttiva 2000/31/46/CE del 2 giugno 2000 relativa al “commercio elettronico”Direttiva 97/7/CE del 20 maggio 1997 relativa alla “protezione dei consumatori

in materia di contratti a distanza”Direttiva 95/46/CE del 24 ottobre 1995 relativa alla “tutela delle persone fisiche

con riguardo al trattamento dei dati personali, nonché alla libera circolazione ditali dati”

Quadro normativo di riferimento nazionaleIl Codice in materia di protezione dei dati personali (D. Lgs. N.

196/2003)o Articoli da 1 a 45, 61, da 121 a 133, da 140 a 186;o Disciplinare tecnico in materia di misure minime di sicurezza

(Allegato B)

10










11


Protezione dei dati

Raccolta di dati personali dei clientiDati anagraficiRecapiti telefonici e telematiciInformazioni su: le attività svolte dal cliente Il nucleo familiare Gusti e preferenze

Raccolta dati presso terziListe elettoraliElenchi telefoniciAlbi professionaliRegistri ed elenchi pubbliciElenchi di categoriaListe ed elenchi forniti da privati

12


Protezione dei dati

Regole generali per la configurazione dei sistemi eprogrammi informatici (Privacy Compliance)Principi del Codice secondo i quali le società titolari dei trattamenti deidati sono tenute a:Attenersi ai principi e ai limiti stabiliti da Codice in materia di

protezione dei dati personali.Ridurre al minimo indispensabile le informazioni raccolte, le

modalità e le operazioni eseguibili, l’ambito di circolazione dei datie dei tempi di loro conservazioneRidurre al minimo l’utilizzo di dati informativi dei clientiAssicurare il trattamento dei dati personali pertinenti alle sole

finalità perseguiteUtilizzare tecniche di cifratura per la conservazione dei datiAssicurare la tracciabilità delle operazioni condotte sui dati

… Privacy vs Business …

13


Protezione dei dati

Regole generali per la configurazione dei sistemi eprogrammi informatici (Business Oriented)Il cliente è l’elemento cardine del business di un’azienda e come tale vaprotetto intervenendo e rafforzando la sicurezza nelle aree aziendali chegestiscono e utilizzano i dati del cliente:Analisi di mercatoDati del cliente “business oriented”Banche dati di diversa natura riconducibili direttamente o

indirettamente al clienteLeve di fidelizzazione del cliente

… Business …

14


Protezione dei dati

• Modalità di trattamento delle diverse tipologie di dati• Utilizzo dati clienti secondo normativa in materia• Esistenza di tecniche di cifratura e/o anonimizzazione• Modalità e tempi di conservazione dei dati• Tecniche utilizzate per la cancellazione dei datiObjects

Check List

Obiettivi e controlli

• Classificazione del dato• Misure a protezione dei dati in aderenza alla loro

classificazione (i.e. cifratura, profilazione utente, protezionedei sistemi e della rete)

• Modalità di archiviazione dei dati, ripristino e conservazione(backup, restore, retention)

• Procedure operative per la distruzione dei dati• Tracciamento degli accessi ai dati• Reporting

15










16


Credenziali di accesso

Quanto definito dal CODICEArt. 4.Definizioni3. Ai fini del presente codice si intende, altresì, per:

c) "autenticazione informatica", l'insieme degli strumenti elettronici e delleprocedure per la verifica anche indiretta dell'identità;

d) "credenziali di autenticazione", i dati ed i dispositivi, in possesso di unapersona, da questa conosciuti o ad essa univocamente correlati, utilizzatiper l'autenticazione informatica;

e) "parola chiave", componente di una credenziale di autenticazioneassociata ad una persona ed a questa nota, costituita da una sequenzadi caratteri o altri dati in forma elettronica;

f) "profilo di autorizzazione", l'insieme delle informazioni, univocamenteassociate ad una persona, che consente di individuare a quali dati essapuò accedere, nonché i trattamenti ad essa consentiti;

g) "sistema di autorizzazione", l'insieme degli strumenti e delle procedureche abilitano l'accesso ai dati e alle modalità di trattamento degli stessi,in funzione del profilo di autorizzazione del richiedente.

17



Quanto richiesto dal CODICEArt. 34. Trattamenti con strumenti elettroniciIl trattamento di dati personali effettuato con strumenti elettronici è consentitosolo se sono adottate, nei modi previsti dal disciplinare tecnico contenutonell'allegato B), le seguenti misure minime:

a) autenticazione informatica;b) adozione di procedure di gestione delle credenziali di autenticazione;c) utilizzazione di un sistema di autorizzazione;d) aggiornamento periodico dell'individuazione dell'ambito del

trattamento consentito ai singoli incaricati e addetti alla gestione oalla manutenzione degli strumenti elettronici;

Quanto richiesto per il BusinessIl trattamento di dati aziendali sia consentito secondo il criterio del need-to-know, in aderenza alle modalità previste dalla procedura di classificazione deidati assicurando le seguenti misure minime:

a) autenticazione informatica;b) adozione di procedure di gestione delle credenziali di autenticazione;c) utilizzazione di un sistema di autorizzazione.

18



• Processo formale per la gestione delle credenziali di accesso• Accesso controllato ai sistemi/applicazioni/dati• Review periodica delle credenziali di accesso, dei profili

utente del sistema delle autorizzazioni• Ove necessario, utilizzo di strumenti di strong authentication• Monitoring e reportistica

Objects

Check List


• Procedura gestione user accounts e profili utenze• Regole gestione password di accesso• Piani di formazione• Evidenze di tentativi di violazione all’accesso• Strumenti di monitoring, produzione e condivisione di

reportistica• Modalità di utilizzo e gestione di dispositivi di strong

authentication

19










20


Tracciamento delle operazioni

Perché …La necessità del tracciamento delle operazioni condotte su sistemi,applicazioni e dati, ove necessaria per il business e per lanormativa, è fondamentale per le seguenti ragioni:

1. Ricostruire a posteriori la sequenza delle azioni condotte;2. Conservare traccia di chi ha condotto le attività;3. Porre in relazione azioni condotte su unità differenti;4. Rilevare eventuali tentativi di accesso non autorizzati;5. Rilevare accessi anomali se pur per account autorizzati;6. Reportizzare accessi e utilizzo delle risorse;7. Individuare situazioni di reale o potenziale frode;8. …9. …

… Business & Privacy …

21



Quanto richiesto dal CODICEdovrà essere tenuta preventivamente traccia in un apposito "registro degli

accessi" dell'evento, nonché delle motivazioni che lo hanno determinato, conuna successiva descrizione sintetica delle operazioni svolte, anche mediantel'utilizzo di sistemi elettronici; tale registro deve essere custodito dal fornitore presso le sedi di elaborazione

e messo a disposizione del Garante nel caso di ispezioni o controlli,unitamente a un elenco nominativo dei soggetti abilitati all'accesso ai diversisistemi di elaborazione con funzioni di amministratore di sistema, che deveessere formato e aggiornato costantemente dal fornitore

Quanto richiesto per il BusinessDati company confidential, business related e altre tipologie di dati riservatiimpongono l’adozione di tecniche di tracciamento degli accessi e delle attivitàcondotte sui sistemi, applicazioni e dati alla stessa stregua di quanto previstoda normative sul trattamento di dati riservati e/o sensibili.

22



• Accessi e modifiche a dati di business e privacy orientedsiano tracciati adeguatamente

• Archiviazione secondo quanto previsto da normativa enecessità di business

• Integrità e confidenzialità dei logObjects

Check List


• Successful e unsuccessful logons• Traccia (log) delle attività rilevanti condotte su sistemi,

applicazioni e dati e loro archiviazione• Modifiche dei profili di accesso per utenze e loro

autorizzazioni• Gestione di black-list per utenze, postazioni, subnet• Gestione di tentativi ripetuti di accesso

23










24


Monitoring e Reporting

MonitoringUna generica definizione del processo di monitoring recita:

….. to be aware of the state of a system …..Essere dunque a conoscenza dello stato dei sistemi, delleapplicazioni e dei dati: monitorare, quanto rilevante, al fine dirilevare eventuali situazioni a rischio (i.e., performance dei sistemi,service continuity, accesso alle risorse)

ReportingIl Reporting è il processo di accesso, formattazione e distribuzionedei dati all’interno e all’esterno dell’organizzazione attraverso ilquale vengono indirizzate sia le informazioni storiche e prospettichenecessarie ad orientare giornalmente il processo decisionale sia leevidenze di eventuali situazioni a rischio e/o attività anomale.


25



Quanto richiesto dal CODICESistema di autorizzazione

• I profili di autorizzazione, sono individuati e configurati in modo da limitarel'accesso ai soli dati necessari per effettuare le operazioni di trattamento

Altre misure di sicurezza• I dati personali sono protetti contro il rischio di intrusione e dell'azione di

programmi di cui all'art. 615-quinquies del codice penale, mediantel'attivazione di idonei strumenti elettronici.

• dovrà essere tenuta preventivamente traccia in un apposito "registro degliaccessi" dell'evento, nonché delle motivazioni che lo hanno determinato,con una successiva descrizione sintetica delle operazioni svolte, anchemediante l'utilizzo di sistemi elettronici;

Quanto richiesto per il BusinessMonitoring e reporting costituiscono nel loro insieme uno strumento di controllosulla corretta conduzione delle attività svolte nell’ambito dell’area in esame.Le banche dati dei clienti gestite dalla società contengono, oltre ai datiriservati/sensibili secondo legge, anche dati “business” confidential o in alcunicasi coordinate finanziare degli stessi clienti che devono essere protette.

26



• Processo di monitoring e reporting finalizzato al rispetto dinormative di legge e obiettivi di controllo interno

• Rilevazione di control exceptions, successiva loro analisi,identificazione e rimozione delle root causes.

• Servizi in outsourcing: verifica sullo stato dei controlli interni ecompliance alle normative di legge

Objects

Check List


• Procedure/Processi/tools di monitoring & reporting (i.e.accesso, modifica, archiviazione, cancellazione, distruzione)

• Processo di gestione delle exceptions con particolare focussulle azioni d follow-up (i.e. tentativi di accesso falliti, mancatotracciamento delle operazioni, gestione backup non conformealle normative di legge)

• Verifica corretta applicazione delle normative di legge• Condivisione di report con il management

27










28


Messa in sicurezza

HardeningUn computer, sistema operativo più hardware, assolutamente sicuro nonesiste. Non solo, la definizione stessa di sicurezza è relativa a cosa si vuoleproteggere. In pratica più un sistema è sicuro, più è difficile il suo utilizzopoiché le procedure di sicurezza si scontrano spesso frontalmente con lafruibilità. Questo implica anche che la sicurezza costa e riduce la produttività.D’altra parte, la sicurezza riduce i rischi. La morale di tutto ciò è che invece dipartire da un sistema molto sicuro per renderlo anche utilizzabile, la prassi è dipartire da un sistema facilmente utilizzabile e cercare di renderlo più sicuro.Questo processo è spesso indicato con il nome di Hardening del SistemaOperativo.Bisogna sottolineare che mettere in sicurezza qualche cosa che non è statoprogettato con criteri di sicurezza è sempre un compito molto arduo e che lapossibilità di fare degli errori nella fase di Hardening è molto grande.Quello che si può ottenere è un sistema ragionevolmente sicuro, in cui lamaggior parte dei possibili punti di intrusione sono bloccati e vi sonoragionevoli meccanismi di verifica, controllo (inclusi identificazione,autorizzazione ed accounting), alerting, recovering e backup.


29


Messa in sicurezza

Quanto richiesto per il BusinessApplicare ai sistemi tecniche di hardening limitando il numero di servizi inascolto, il numero di applicazioni installate e il modo in cui le applicazionigestiscono dati in ingresso. Ridurre la superficie d’attacco al sistema.Considerare le tecniche di hardening come un approccio sistematico da usarecon qualunque server o applicazione business related.

Quanto richiesto dal CODICESistema di autorizzazione

• I profili di autorizzazione, sono individuati e configurati in modo da limitarel'accesso ai soli dati necessari per effettuare le operazioni di trattamento

Altre misure di sicurezza• I dati personali sono protetti contro il rischio di intrusione e dell'azione di

programmi di cui all'art. 615-quinquies del codice penale, mediantel'attivazione di idonei strumenti elettronici.

30


Messa in sicurezza

• Processo/procedure di hardening e loro applicazione• Hardening quale step nello sviluppo delle applicazioni, dei

sistemi e servizi• Hardening delle infrastrutture di rete• Aggiornamento dei S.O. e delle applicazioni• Standard di hardening e compliance alla normativa

Objects

Check List


• Procedure/std di hardening• Processo sviluppo delle applicazioni, dei sistemi e servizi• Verifica messa in sicurezza di: sistemi, applicazioni,

infrastrutture di rete, postazioni di lavoro• Processo di aggiornamento dei S.O. e SW• Reporting

31










32


Continuità del servizio

Continuità del servizio (Business Continuity)Per business continuity si intende la capacità dell'azienda di continuare adesercitare il proprio business a fronte di eventi catastrofici che possonocolpirla. La pianificazione della continuità operativa e di servizio si chiamabusiness continuity plan, e viene comunemente considerata come unprocesso globale che identifica i pericoli potenziali che minaccianol'organizzazione, e fornisce una struttura che consente di aumentare laresilienza e la capacità di risposta in maniera da salvaguardare gli interessidegli stakeholders, le attività produttive, l'immagine, riducendo i rischi e leconseguenze sul piano gestionale, amministrativo, legale.

Il documento di business continuity ha un'impronta prettamente economica econsente, in caso di disastro, di stimare economicamente i danni e dipianificare la ripresa delle attività aziendali. Il Disaster Recovery Plan, che èmirato ai servizi informatici, è quindi un sottoinsieme del business continuityplan. Il Piano di continuità del business (BCP) contiene informazioni riguardole azioni da intraprendere in caso di incidente, chi è coinvolto nell’attività ecome deve essere contattato.


33



Quanto richiesto per il BusinessIl cliente è il 1° driver del business: la continuità del servizio e la prontadisponibilità del dato sono cardini fondamentali dello stesso business.

Quanto richiesto dal CODICEArt. 31. Obblighi di sicurezza

I dati personali oggetto di trattamento sono custoditi e controllati, anche inrelazione alle conoscenze acquisite in base al progresso tecnico, alla naturadei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre alminimo, mediante l'adozione di idonee e preventive misure di sicurezza, irischi di distruzione o perdita, anche accidentale, dei dati stessi, di accessonon autorizzato o di trattamento non consentito o non conforme alle finalitàdella raccolta.

Art. 34. Trattamenti con strumenti elettroniciIl trattamento di dati personali effettuato con strumenti elettronici èconsentito solo se sono adottate, nei modi previsti dal disciplinare tecnicocontenuto nell'allegato B), le seguenti misure minime:… f) adozione di procedure per la custodia di copie di sicurezza, il ripristinodella disponibilità dei dati e dei sistemi;

34



• Business Continuity Analysis• Piano operativo per il ripristino del servizio• Utilizzo di tool di sviluppo e manutenzione dei piani• Coinvolgimento delle figure chiave• Processo Business Continuity ManagementObjects

Check List


• Analisi, studi o altro attinente al tema BC• Presenza di piani di Disaster Recovery• Verifica di procedure di gestione crisi e piani operativi di

ripristino del servizio• Verifica della conoscenza delle procedure di ripristino da

parte delle figure chiave dell’organizzazione• Business Continuity quale elemento/step di un processo di

Business Continuity Management

35










36


Major Issues

Major issues rilevate durante CRM audits

Gestione user accounts e profili utente non conformi agli standardaziendali: condivisione user accounts, aggiornamento liste useraccounts e profili utente

Tracciamento delle attività: monitoring e reportistica non in linea conle richieste normative e di sicurezza std

Hardening delle postazioni di lavoro

Gestione archivi dati: backup, retention, cancellazione

Interruzione del servizio a seguito di eventi dannosi

Transazioni non tracciate e non autorizzate in maniera adeguata

37


Il messaggio finale …

Business vs Compliance

Business & Compliance

Il “dilemma”quotidiano …

Il “desiderata”del domani …

38


Grazie per lGrazie per l’’attenzioneattenzione

Audit in ambito CRM: Rischi Operativi vs Compliance Linee ...Roberto Apollonio...

Documents

Transcript of Audit in ambito CRM: Rischi Operativi vs Compliance Linee ...Roberto Apollonio...