Uno dei settori di certo più sensibili all’importanza della sicurezza informatica nella conduzione del business è quello bancario. Un esempio è l’istituto di credito di diritto italiano Hypo Alpe Adria Bank. Le sue radici risalgono agli anni ’90, quando, con la società di leasing affiliata Hyposervice S.p.A, nel 1989 avviene l’ingresso nel nostro paese del gruppo austriaco Hypo, sviluppato soprattutto nella regione dell’Europa sud-orientale, con uffici e filiali in Austria, Slovenia, Croazia, Bosnia-Erzegovina, Serbia e Montenegro.
Oggi, Hypo Alpe Adria Bank nella regione nord-est dell’Italia conta una trentina di sportelli da cui eroga servizi di leasing, conto corrente e consulenza, indirizzati prevalentemente a piccole e medie imprese. Di recente, dopo alcune vicissitudini finaziarie, è passata sotto il diretto e totale controllo del governo austriaco (dal 1° novembre 2014 l’istituto è posseduto al 99% da HBI-Bundesholding AG, holding di partecipazioni detenuta dal Ministero delle Finanze austriaco con sede a Vienna).
Anche per influenza della casa madre austriaca – spiega Giancarlo Paolini, Responsabile Area Organization/IT di Hypo Alpe Adria Bank – qui è sempre stata riservata una particolare attenzione alla sicurezza IT e, pur orientandosi fortemente verso l’outsourcing, la banca ha sempre voluto mantenere in-house il controllo strategico di questo elemento chiave.
Accentrare il controllo
Proprio la necessità di migliorare e centralizzare il monitoraggio e la gestione degli eventi rilevanti di cybersecurity ha portato la banca a instaurare una sempre più intensa collaborazione tecnologica con il vendor di soluzioni di IT security Check Point. «Con Check Point stiamo lavorando già da diversi anni – spiega Marco Cozzi, Responsabile Reparto Information Technology di Hypo Alpe Adria Bank – e l’abbiamo riconfermata di recente, perché ci fornisce una soluzione costituita da diversi prodotti, tramite cui abbiamo potuto consolidare molte parti della nostra infrastruttura di sicurezza».
Nel 2013 è partito un progetto di ammodernamento che l’anno scorso ha portato a un cambiamento radicale: all’interno della banca l’intera infrastruttura di security – costituita da sistemi di Check Point e da tecnologie e apparati di altri fornitori – è stata profondamente rinnovata, migrando verso un’infrastruttura basata sull’architettura Software Blade del vendor, poi ulteriormente integrata con altre ’lame’, ad esempio per lo sviluppo delle funzionalità di URL filtering e per quelle di protezione dal malware ’bot’ (Anti-Bot).
«L’esigenza – spiega Cozzi – era raccogliere tutti i log degli eventi in atto nel mondo security in un unico punto, in modo da analizzare tutti questi dati in maniera coerente, grazie a un’architettura di sicurezza omogenea». Infatti, prima di questo progetto di miglioramento, la coesistenza di diversi prodotti di security, anche di terze parti, produceva log differenti, rendendo difficoltosa la correlazione degli eventi. «Invece, con il controllo e la gestione dei log in un unico punto, diventa possibile eseguire tali correlazioni e comprendere l’origine degli attacchi». E ciò consente anche di fornire al management della banca una fotografia e una percezione immediata degli incidenti di security, indicando dove si sono verificati e da cosa sono stati causati. Tali dati permettono quindi di sensibilizzare i dirigenti dell’istituto sui rischi di determinate strategie di business.
Sensibilizzare gli utenti sui rischi di sicurezza
Ora, per chi in Hypo Alpe Adria Bank si occupa di amministrare la security, il concetto di gestione centralizzata, ed eseguita da una console ’user-friendly’ che semplifica il controllo, si estende anche alle operazioni di creazione e gestione delle policy di sicurezza, che possono essere amministrate con facilità per gruppi di utenti, consentendo l’accesso a determinati contenuti e siti solo a chi ne ha effettiva necessità. La possibilità di segmentare la rete in aree consente di segregare i servizi di back-end in spazi più protetti, separandoli da quelli che vengono resi disponibili nell’area pubblica di accesso, ed esposti ai rischi di questo ambiente.
Tali funzionalità non si limitano comunque ad agevolare l’operatività degli amministratori di rete. «Soprattutto nell’area della navigazione su Web, la soluzione ci ha permesso di fare una cosa per noi molto importante, e cioè di poter accompagnare l’utente durante la navigazione stessa su Internet, facendogli comprendere quale sito può essere particolarmente dannoso e quale no, e sensibilizzandolo sull’uso consapevole della banda». Ad esempio, visionare un filmato in streaming ne occupa molta, e se diversi utenti sulla rete aziendale facessero questo contemporaneamente, arriverebbero ad esaurirla. Qui la soluzione di Check Point permette non solo di controllare la banda utilizzata, ma anche di mostrare agli impiegati messaggi ’popup’ di avvertimento sui possibili effetti di rallentamento che la visualizzazione del video produrrà sulla rete aziendale.
«Cliccando ’accetta’, l’utente può continuare nell’operazione, ma a noi resta una registrazione che è stato informato delle conseguenze di una navigazione su siti Web pericolosi o non conformi alle policy della nostra banca. In effetti, quello che ci è piaciuto è la possibilità di rendere l’utente consapevole e compartecipe della sicurezza dell’infrastruttura IT aziendale, perché al giorno d’oggi nessun prodotto di nessun vendor permette di ottenere una sicurezza totale. Ecco perché, secondo noi, l’obiettivo importante è sensibilizzare i nostri utenti, perché sappiano che sono loro la porta di accesso alle nostre applicazioni, quindi sono loro che devono essere custodi delle chiavi al loro accesso».
Un altro vantaggio della nuova soluzione, aggiunge Cozzi, risiede nella sua capacità di aggiornamento, che attualmente può avvenire in maniera più agevole, grazie al fatto che, rispetto alla situazione preesistente, dominata dalla coesistenza di prodotti di vendor diversi, ora, con l’architettura Software Blade, aggiornando un unico prodotto in realtà si aggiornano più componenti dell’infrastruttura di security.
Il Mobile è il prossimo passo
Oltre a migliorare ulteriormente la protezione contro gli attacchi evoluti, come quelli ’zero day’, nel prossimo futuro l’obiettivo di Hypo Alpe Adria Bank è sperimentare l’opportunità di rendere disponibili determinati servizi IT, in maniera corretta e sicura, non soltanto per i vari utenti interni all’organizzazione, ma anche per quelli che operano sul campo, utilizzando dispositivi mobili come smartphone e tablet. «Sul mondo mobile andremo sicuramente a fare attività, perché è un ambito che in sostanza fino a oggi abbiamo mantenuto bloccato». Per il momento però l’idea è andare a indirizzare solo alcune tipologie di dispositivi. «L’accesso mobile non verrà reso disponibile su tutti, anche se cercheremo di fornirlo sul maggior numero di device. Infatti dover gestire qualunque dispositivo può significare essere meno sicuri, quindi cercheremo dei modelli su cui orientarci.
Di sicuro al principio collauderemo la nostra soluzione con dispositivi iPhone e iPad di Apple, perché hanno un marketplace sicuro e funzioni di sicurezza ulteriori rispetto ai prodotti basati su Android, che in questo momento corrono più rischi rispetto ad altri». Ma col passar del tempo, il supporto potrebbe essere esteso ad Android, anche in rapporto alle valutazioni sul grado di consapevolezza dei rischi espresso dagli utenti dei device.
L’esigenza applicativa è poter fornire ai clienti della banca un supporto consulenziale sui vari prodotti finanziari anche in mobilità. Ma nella roadmap questo progetto richiede un’attenta sperimentazione, precisa Cozzi: «Per noi il dato del cliente è molto prezioso, per cui prima di esporci, ed esporre anche la nostra clientela, vogliamo essere più sicuri di esser sicuri». Se tali sperimentazioni avranno esito positivo, domani, le consulenze finanziarie, anziché da una scrivania in ufficio, potrebbero essere condotte da un tablet.