"L'implementazione di un modello di sicurezza in ambito bancario: l'esperienza multinazionale di Banca Antonveneta" 

Dott. Manuele Cavallari, CISA, CISM, LoCSI

Responsabile IT Security Office – Consorzio Operativo Gruppo Montepaschi

Componenti del modello

Elementi costitutivi del modello multinazionale sono:

Politiche e procedure molto articolate e puntuali

Definizione chiara di ruoli, responsabilità e attività

Forte commitment del management

Strutture globali e regionali di supporto

Coinvolgimento del Security Office nel ciclo di vita di applicazioni ed infrastrutture

Approccio Risk Oriented

Misurazione periodica dei risultati

Politiche e procedure

Struttura Organizzativa

Modello Operativo (1/3)

Service Task Brief description

IS policy and standards

Policy Review Represent EMEA IS requirements during the development of information security policy

Local Policy Governance Co-ordinate the identification of security requirements related to local legislation and regulation

IT Policy Dispensation Management Co-ordinate the management of IS risks that are non-compliant with policies

Security architecture and standards implementation

Provide security architecture and standards to aid IT when designing a system

IS Program Management Security Solutions Co-ordination Facilitate the identification and the utilisation of global and regional shared security solutions

IS risk management

Technology Risk Assessment Process (TRAP) delivery

Identification of risks related to IT Applications, infrastructure and processes and management of their remediation

Asset Classification (CIA) maintenance Facilitate the understanding of IT system value through classification according to confidentiality, integrity and availability

Change control Approval Provide Change Advisory Board representation to help prevent the implementation of significant changes without adequate understanding of the IS risks

Audit Issue Management and Resolution Supervise the management of audit issues that are related to information security

Modello operativo (2/3)

Service Task Brief description

Threat and vulnerability management

Internal Vulnerability Management Perform specialist scanning of IT Systems to monitor and remediate against technical IT threats and vulnerabilities

External Vulnerability Management Perform specialist scanning of Internet Systems to monitor and remediate against technical IT threats and vulnerabilities

Wireless scanning and remediation Perform specialist scanning to identify unapproved wireless network technology in use in the bank buildings

Security Controls Monitoring Review the effectiveness of local security devices, tools and processes.

Incident Detection and Management

Security Event Monitoring Provide first line response for local events identified by the bank’s global security monitoring tools

Security Incident Management Co-ordinate the Local Computer Incident Response Team for reported IS incidents

Forensics and fraud investigation support Provide IS support and expertise during investigation where fraudulent / criminal activity is suspected

Identity and access management

Access Control Administration (ACA) Governance

Review local IT systems access control administration processes and tools

Generic high privilege account monitoring Co-ordinate the management of powerful system accounts

Modello Operativo (3/3)

Service Task Brief description

Group Legal, regulatory and compliance Mgmt

IT requirements coordination for Data Privacy and Banking secrecy

Co-ordinate the identification of local legal and regulatory requirements that impact data privacy and banking secrecy

Knowledge, awareness and education

Security Awareness Co-ordination of staff and related 3rd parties information security training

Security Advice and Guidance Provide Information Security subject matter expert consultancy

Strutture globali e regionali di supporto

•Ricerca e Sviluppo

•Vulnerability Assessment

•Penetration Test

•Risk Assessment

•Revisione, adeguamento di Politiche e Procedure

•Ricerca e Sviluppo

•Vulnerability Assessment

•Penetration Test

•Risk Assessment

•Revisione, adeguamento di Politiche e Procedure

Commitment del Management

La sicurezza delle informazioni come un obiettivo condiviso di tutta l’azienda

Responsabilità specifiche assegnate ad ognuno degli attori dei diversi processi

La responsabilità finale in termini di sicurezza è assegnata al Management e a scendere ai Business Owners

La sicurezza non è una questione tecnica, relegata nell’ambito degli specialisti, la cui responsabilità deve essere condivisa a diversi livelli.

ISO analizza i livelli di rischio e le contromisure da porre in essere e i BO decidono se accettare o mitigare i rischi emersi. In caso di rischi particolarmente elevati, una eventuale accettazione deve avere l’approvazione di un comitato speciale del Top Management.

Sono definite puntualmente le responsabilità ed i compiti delle diverse strutture aziendali, e i BO sono incentivati a chiedere il supporto di ISO per ridurre al minimo i rischi di cui sono responsabili.

Security nel ciclo di vita di applicazioni ed infrastrutture

Ogni nuova applicazione e/o infrastruttura viene sottoposta al vaglio di un Risk Assessment

Esatta percezione di quali rischi vengono introdotti

Eventuali contromisure implementate in una fase iniziale (con costi e impatti minori)

Change Board che approva il passaggio in produzione di applicazioni/infrastrutture con un rappresentante di

ISO, che può esercitare il diritto di veto, qualora queste non abbiano superato i requisiti minimi o non sia stata

controfirmata l’accettazione/mitigazione dei rischi rilevati da parte del BO.

ISO viene coinvolto sin dalle prime fasi nei diversi progetti per poter fornire consulenza, fare le valutazioni del

rischio, proporre mitigazioni e partecipa a pieno titolo in tutte le fasi del ciclo di vita di

applicazioni/infrastrutture

Approccio Risk Oriented

L’approccio Risk Oriented consiste nel perseguire la sicurezza delle informazioni attraverso un corretto processo di gestione del rischio.

È necessario perciò che sia implementato un processo continuativo di analisi del rischio per aumentare o mantenere il livello di sicurezza delle informazioni.

Il processo di Risk Assessment consente di applicare, a seconda della criticità dell’asset, un set più o meno approfondito di controlli per la valutazione effettiva del rischio.

Una volta definiti i livelli di rischio per i diversi asset, si definiscono le contromisure per abbattere i rischi

Misurazione periodica dei risultati

Ambito Attività

Vulnerabilità

interne rilevateinterne corretteesterne rilevateesterne corrette

applicative rilevate

applicative corrette

Penetration test svolti

Vulnerabilità rilevate da PTest

Vulnerabilità corrette

Analisi e Gestione del Rischio

Risk Assessment conclusi

Mitigation effettuate/in corso

Mitigation pianificate

Incident ManagementGestione degli incidenti di sicurezza

Controllo Accessi Richieste EEP (pwd privilegiate)

Altro

Catalogazione asset

Partecipazione/supporto negli Audit

Local security policies create

Il modello di sicurezza del Gruppo Montepaschi

Focus nazionale di Montepaschi

Elementi del modello in valutazione:

•Impostare e definire un set di policy di sicurezza sufficientemente articolato;

•Rivedere e/o definire i processi a supporto della sicurezza in maniera puntuale;

•Implementare un approccio basato sulla gestione del rischio su ampia scala nell’ambito del Gruppo

Montepaschi.

Focus nazionale di Montepaschi

Elementi del modello in valutazione:

•Impostare e definire un set di policy di sicurezza sufficientemente articolato;

•Rivedere e/o definire i processi a supporto della sicurezza in maniera puntuale;

•Implementare un approccio basato sulla gestione del rischio su ampia scala nell’ambito del Gruppo

Montepaschi.