"L'implementazione di un modello di sicurezza in ambito bancario:
l'esperienza multinazionale di Banca Antonveneta"
Dott. Manuele Cavallari, CISA, CISM, LoCSI
Responsabile IT Security Office – Consorzio Operativo Gruppo Montepaschi
Componenti del modello
Elementi costitutivi del modello multinazionale sono:
Politiche e procedure molto articolate e puntuali
Definizione chiara di ruoli, responsabilità e attività
Forte commitment del management
Strutture globali e regionali di supporto
Coinvolgimento del Security Office nel ciclo di vita di applicazioni ed infrastrutture
Approccio Risk Oriented
Misurazione periodica dei risultati
Politiche e procedure
Struttura Organizzativa
Modello Operativo (1/3)
Service
Task
Policy Review
Local Policy Governance
IS policy and standards
IS Program Management
Brief description
Represent EMEA IS requirements during the development of information security policy
Co-ordinate the identification of security requirements related to local legislation and
regulation
IT Policy Dispensation Management
Co-ordinate the management of IS risks that are non-compliant with policies
Security architecture and standards
implementation
Provide security architecture and standards to aid IT when designing a system
Security Solutions Co-ordination
Facilitate the identification and the utilisation of global and regional shared security
solutions
Technology Risk Assessment Process Identification of risks related to IT Applications, infrastructure and processes and
(TRAP) delivery
management of their remediation
IS risk management
Asset Classification (CIA) maintenance
Facilitate the understanding of IT system value through classification according to
confidentiality, integrity and availability
Change control Approval
Provide Change Advisory Board representation to help prevent the implementation of
significant changes without adequate understanding of the IS risks
Audit Issue Management and Resolution Supervise the management of audit issues that are related to information security
Modello operativo (2/3)
Service
Task
Brief description
Internal Vulnerability Management
Perform specialist scanning of IT Systems to monitor
and remediate against technical IT threats and
vulnerabilities
External Vulnerability Management
Perform specialist scanning of Internet Systems to
monitor and remediate against technical IT threats and
vulnerabilities
Wireless scanning and remediation
Perform specialist scanning to identify unapproved
wireless network technology in use in the bank
buildings
Security Controls Monitoring
Review the effectiveness of local security devices,
tools and processes.
Threat and vulnerability management
Security Event Monitoring
Provide first line response for local events identified
by the bank’s global security monitoring tools
Security Incident Management
Co-ordinate the Local Computer Incident Response
Team for reported IS incidents
Incident Detection and Management
Forensics and fraud investigation support
Provide IS support and expertise during investigation
where fraudulent / criminal activity is suspected
Access Control Administration (ACA)
Governance
Review local IT systems access control administration
processes and tools
Identity and access management
Generic high privilege account monitoring Co-ordinate the management of powerful system
accounts
Modello Operativo (3/3)
Service
Group Legal, regulatory and
compliance Mgmt
Task
IT requirements coordination for Data
Privacy and Banking secrecy
Security Awareness
Knowledge, awareness and education
Security Advice and Guidance
Brief description
Co-ordinate the identification of local legal and
regulatory requirements that impact data privacy
and banking secrecy
Co-ordination of staff and related 3rd parties
information security training
Provide Information Security subject matter expert
consultancy
Strutture globali e regionali di supporto
•Ricerca e Sviluppo
•Vulnerability Assessment
•Penetration Test
•Risk Assessment
•Revisione, adeguamento di Politiche e Procedure
Commitment del Management
La sicurezza delle informazioni come un obiettivo condiviso di tutta l’azienda
Responsabilità specifiche assegnate ad ognuno degli attori dei diversi processi
La responsabilità finale in termini di sicurezza è assegnata al Management e a scendere ai Business Owners
La sicurezza non è una questione tecnica, relegata nell’ambito degli specialisti, la cui responsabilità deve
essere condivisa a diversi livelli.
ISO analizza i livelli di rischio e le contromisure da porre in essere e i BO decidono se accettare o mitigare i
rischi emersi. In caso di rischi particolarmente elevati, una eventuale accettazione deve avere l’approvazione
di un comitato speciale del Top Management.
Sono definite puntualmente le responsabilità ed i compiti delle diverse strutture aziendali, e i BO sono
incentivati a chiedere il supporto di ISO per ridurre al minimo i rischi di cui sono responsabili.
Security nel ciclo di vita di applicazioni ed infrastrutture
Ogni nuova applicazione e/o infrastruttura viene sottoposta al vaglio di un Risk Assessment
Esatta percezione di quali rischi vengono introdotti
Eventuali contromisure implementate in una fase iniziale (con costi e impatti minori)
Change Board che approva il passaggio in produzione di applicazioni/infrastrutture con un rappresentante di
ISO, che può esercitare il diritto di veto, qualora queste non abbiano superato i requisiti minimi o non sia stata
controfirmata l’accettazione/mitigazione dei rischi rilevati da parte del BO.
ISO viene coinvolto sin dalle prime fasi nei diversi progetti per poter fornire consulenza, fare le valutazioni
del rischio, proporre mitigazioni e partecipa a pieno titolo in tutte le fasi del ciclo di vita di
applicazioni/infrastrutture
Approccio Risk Oriented
L’approccio Risk Oriented consiste nel perseguire la sicurezza delle informazioni attraverso un corretto
processo di gestione del rischio.
È necessario perciò che sia implementato un processo continuativo di analisi del rischio per aumentare o
mantenere il livello di sicurezza delle informazioni.
Il processo di Risk Assessment consente di applicare, a seconda della criticità dell’asset, un set più o meno
approfondito di controlli per la valutazione effettiva del rischio.
Una volta definiti i livelli di rischio per i diversi asset, si definiscono le contromisure per abbattere i rischi
Misurazione periodica dei risultati
Ambito
Vulnerabilità
Attività
interne rilevate
interne corrette
esterne rilevate
esterne corrette
applicative rilevate
applicative corrette
Penetration test svolti
Vulnerabilità rilevate da PTest
Vulnerabilità corrette
Risk Assessment conclusi
Analisi e Gestione del Rischio
Mitigation effettuate/in corso
Mitigation pianificate
Incident Management
Controllo Accessi
Gestione degli incidenti di sicurezza
Richieste EEP (pwd privilegiate)
Catalogazione asset
Altro
Partecipazione/supporto negli Audit
Local security policies create
Il modello di sicurezza del Gruppo Montepaschi
Focus nazionale di Montepaschi
Elementi del modello in valutazione:
•Impostare e definire un set di policy di sicurezza sufficientemente articolato;
•Rivedere e/o definire i processi a supporto della sicurezza in maniera puntuale;
•Implementare un approccio basato sulla gestione del rischio su ampia scala nell’ambito del Gruppo
Montepaschi.