Sicurezza

Il 5 febbraio 2010 sul sito di Banca d'Italia è stato pubblicata una "Comunicazione UIF" dal titolo "Schemi rappresentativi di comportamenti anomali ai sensi dell’art. 6, co. 7, lett. B) del d.lgs 231/2007 – frodi informatiche". Di seguito, il testo completo dell'intervento. Il testo è disponibile anche in formato pdf direttamente dal sito della Banca d'Italia.

Schemi rappresentativi di comportamenti anomali ai sensi dell’art. 6, co. 7, lett. B) del d.lgs 231/2007 – frodi informatiche

L’utilizzo sempre più diffuso di servizi on-line in ambito finanziario e commerciale è stato nel tempo accompagnato dal moltiplicarsi di frodi informatiche in diverse forme e modalità.
All’origine di tali attività illecite vi è la capacità da parte di organizzazioni criminali di entrare in possesso delle credenziali di accesso ai servizi on-line di clienti inconsapevoli ovvero di acquisire altre informazioni utili, attraverso modalità diverse (invio massivo di messaggi di posta elettronica, costruzione di falsi siti Internet che riproducono quelli degli intermediari bancari, installazione via internet di software "spia" sui computer dei titolari di rapporti on-line, etc.).
Il progressivo diffondersi di servizi e strumenti di pagamento alternativi favorisce il perfezionamento delle frodi informatiche, con particolare riferimento alle operazioni di phishing (nota 1).
In relazione a quanto precede, gli intermediari che offrono alla propria clientela la possibilità di operare on-line sono invitati ad attivare efficaci sistemi di monitoraggio e prevenzione dell’operatività effettuata al fine di prevenire tali attività illecite.
Per agevolare tali valutazioni, si fornisce -ai sensi dell’art. 6, comma 7, lettera b) del decreto legislativo n. 231 del 2007 – l’allegato schema operativo, elaborato sulla base dell’analisi finanziaria effettuata su operazioni segnalate per il sospetto di condotte illecite.

Il convegno, dal titolo "Migliorare efficacia ed efficienza nella gestione del D.Lgs. 231/01 e della L. 262/05" avrà luogo il 3 febbraio 2010 a Roma dalle ore 14.00 presso Centro Congressi Cavour - Via Cavour, 50/a. La partecipazione è gratuita.

Programma

• 14.00 Registrazione partecipanti 
• 14.30 Introduzione, Roberto Fargion, Chief Operating Officer di AIIA
• Perchè IDS Scheer, Lorenzo Capozza, Direttore Commerciale di IDS Scheer
• La normativa 231, Paolo Casati, Responsabile Integrated Process Auditing di Poste Italiane
• Contesto di riferimento generalizzato BPM Universe & Compliance Approach, Lorenzo Fornai, Responsabile Business Process Management di IDS Scheer 
• Case study sulle fasi progettuali e prodotto 231, Michele Mariella, IA di Lottomatica S.p.A.
• 16.00 Apertura dibattito 
• 16.15 Coffee break 
• 16.30 La normativa 262, Paolo Casati, Responsabile Integrated Process Auditing di Poste Italiane
• Approccio IDS Scheer per la Governance Risk & Compliance, Lorenzo Fornai, Responsabile Business Process Management di IDS Scheer
• Case study "Progetto 262": il sistema per la gestione delle attività di verifica sui controlli 262 presso un primario intermediario finanziario, Vincenzo Carolla, Manager A-CCI e Partner di IDS Scheer
• Un nuovo approccio al modo di fare audit sui sistemi IT, Lorenzo Capozza, Direttore Commerciale di IDS Scheer
• 18.00  Apertura dibattito 
• 18.30  Cocktail
  

Il 27 gennaio 2010 è stata resa nota l’annuale "Rilevazione dello stato dell’automazione del sistema creditizio"  curata da CIPA (Convenzione Interbancaria per i Problemi dell’Automazione) e ABI (Associazione Bancaria Italiana), rilevazione che "fotografa" l’utilizzo dell’Information and Communication Technology (ICT) nelle banche ed i relativi trend evolutivi. I dati si riferiscono al 2008 e sono stati rilevati con un campione doppio:

1. il primo usato per la rilevazione "di gruppo" e costituito dai primi diciotto gruppi bancari per fondi intermediati;
2. il secondo usato per la rilevazione "individuale" e composto da 137 banche, di cui 103 esaminate anche nell’ambito dell’analisi per gruppi.

Vediamo in dettaglio le indicazioni riportate sui temi della "compliance" e della sicurezza ICT.

Nel sito di ISACA Roma è disponibile la traduzioni in italiano di "IT Control Objectives for Basel II" di ISACA dal titolo "Obiettivi di controllo IT per Basilea II - L’importanza della Governance e del Risk Management per la Compliance".

Link

• "Obiettivi di controllo IT per Basilea II - L’importanza della Governance e del Risk Management per la Compliance" versione in italiano (pdf, 727 K, 98 pp.)
• "IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance" versione originale in lingua inglese (pdf, dal sito di ISACA International, solo per gli associati)

La traduzione è stata realizzata da Agatino Grillo , CISA, CISSP, CISM con il patrocinio di ISACA Roma. Agatino Grillo nel 2008 ha anche tradotto "Obiettivi di controllo IT per la Sarbanes-Oxley" sempre di ISACA (liberamente scaricabile da qui, pdf, 904 K, 120 pp ).
Di seguito l’ Executive Summary del documento e l’indice.

ANSSAIF – E’ disponibile il numero 6 di Riflessioni (lettera di informazioni riservata ai soli soci) 

Il convegno dell'Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria (ANSSAIF) ha affrontato tutti i temi più attuali in ambito IT Governance e Security: il rapporto utenti-banche, la sicurezza ICT, la sicurezza fisica, la Business Continuity e le nuove sfide per il 2010.

Si è iniziato con una tavola rotonda dal titolo "L’attenzione del Sistema Bancario alla Sicurezza del Cliente" a cui hanno partecipato l’ing. Gino Navacchia – Cassa di Risparmio di San Marino, l’ing. Sandro Olivari – Banca delle Marche, l’ing. Marcello Milano – Consorzio Operativo Monte Paschi ed il dott. Paolo Campobasso – Unicredit Group.
La tavola rotonda ha affrontato temi quali:

• il rapporto cliente-banca sul tema della sicurezza,
• la percezione del livello di sicurezza che ciascun cliente percepisce rispetto ai servizi offerti,
• l’evoluzione dei sistemi di autenticazione,
• la sicurezza integrata,
• le possibili conseguenze di un blackout prolungato e le eventuali sinergie con le Autorità di Polizia, rapportandoli alle diverse realtà bancarie italiane, dai grandi gruppi alle più piccole banche locali.

Il 20 novembre 2009 ISACA, l’associazione internazionale degli IS Auditor e Security Manager, e l’IT Governance Institute (ITGI) hanno annunciato la pubblicazione della versione definitiva del "Risk IT Framework" un nuovo framework dedicato alla gestione dei rischi informatici in un’ottica di internal audit e regulatory compliance.
Il framework si compone di diversi testi alcuni liberamente scaricabili (in lingua inglese) dal sito di ISACA altri riservati ai soli associati.

• The Risk IT Framework (pdf, 4.6M), accesso libero previo registrazione
• The Risk IT Practitioner Guide (pdf, 5.7M), accesso riservato agli associati
• The Risk IT Practitioner Guide Toolkit (Zip, 195K), accesso riservato agli associati

Traduzione in italiano dei primi cinque capitoli della precedente versione in bozza

Nel febbraio 2009 ho tradotto in italiano i primi cinque capitoli della versione in bozza di IT Risk Framework. La traduzione è liberamente scaricabile in formato pdf, word ed OpenOffice a questo link.

Sul sito http://www.agatinogrillo.it/ è disponibile la traduzione in italiano dello studio "The Economics of Online Crime" scritto dal professor Ross Anderson, docente di Security Engineering presso il Computer Laboratory dell’Università di Cambridge, in Inghilterra, e dai ricercatori Tyler Moore, Richard Clayton.
L’economia della sicurezza è diventata, di recente, una disciplina accademica in forte crescita; questo filone di ricerca ha avuto inizio nel 2001 dall’osservazione che errati o insufficienti incentivi economici possono spiegare il fallimento dei sistemi di sicurezza almeno quanto i fattori tecnici. Spesso infatti i sistemi informativi sono controllati da infrastrutture i cui responsabili hanno interessi "economici" divergenti per cui l’analisi microeconomica e la teoria dei giochi giocano un ruolo importante nello studio dell’affidabilità dei protocolli di sicurezza e delle tecniche di crittoanalisi. L’approccio "economico" non solo fornisce un modo più semplice ed efficace per analizzare i problemi della sicurezza delle informazioni in ambiti quali la privacy, lo spam ed il phishing ma fornisce agli studiosi anche  un quadro di riferimento su temi quali l’affidabilità, i conflitti di interesse ed il crimine.
Questo studio si focalizza in particolare sugli aspetti del crimine online che, dal 2004, si è trasformato in una vera e propria impresa economica.
Il documento contiene anche interessanti osservazioni sul fenomeno del riciclaggio online del denaro sporco e sul ruolo del sistema bancario in relazione al contrasto della criminalità informatica.

• Scarica la traduzione in italiano in versione doc (236 K, 18 pagine)
• Scarica la traduzione in italiano in versione pdf (177 K, 18 pagine)
• Leggi la traduzione in italiano in versione html (da www.agatinogrillo.it)
• Scarica il testo originale in inglese in versione pdf (203 K, 20 pagine)

Di Ross Anderson sono disponibili anche le seguenti traduzioni:

• Ross Anderson: "Chiudere la falla del phishing – frodi e rischi nei sistemi di pagamento non bancari", traduzione italiana
• Ross Anderson, Tyler Moore: quanto tempo un sito di phishing rimane attivo?
• Ross Anderson: Perché la sicurezza delle informazioni è ardua - Una prospettiva economica
• Intervista a Ross Anderson (2 novembre 2005) con aggiornamento (12 giugno 2006)

ComplianceNet: Buongiorno Alain. Vuoi presentare Regulatory Consulting, società di cui sei partner?

Alain De Cristofaris:  Regulatory Consulting, costituita nel 1999 su iniziativa di ex funzionari delle due autorità di controllo del settore finanziario (Banca d’Italia e Consob), opera nel settore dell’assistenza e della consulenza a favore di intermediari finanziari, con particolare riferimento all’attività di interpretazione ed applicazione pratico-operativa della normativa di riferimento. Negli ultimi anni, infatti, la modernizzazione e globalizzazione del mercato degli intermediari finanziari non si è tradotta in una deregolamentazione, ma in una ri-regolamentazione, a volte anche assai pervasiva e sicuramente complessa, che ha dettato le nuove "regole del gioco". Il rispetto della conformità alle "regole", la compliance, richiede capacità interpretative basate su profili professionali interdisciplinari, in grado di cogliere gli aspetti economici, tecnici e giuridici delle fattispecie.

ComplianceNet:  In questo contesto qual è il tuo ambito di competenza?

Ho avuto modo di partecipare al recente convegno "Massima trasparenza sull'operato degli Amministratori di Sistema" che ha avuto luogo venerdì 24 Aprile 2009 a cura del Master in Sicurezza del Dipartimento di Informatica dell’Università di Roma "La Sapienza".
Il convegno ha analizzato le problematiche relative al recente (e dibattuto) provvedimento del Garante per la protezione dei dati personali "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" del 27 novembre 2008, in G.U. n. 300 del 24 dicembre 2008. Ero interessato, in particolar modo, alla presentazione di Cosimo Comella (qui in pdf, 103 K, 22 pp), Dirigente Dipartimento di Informatica e Tecnologie del Garante per la Protezione dei Dati Personali, che speravo potesse sciogliere alcuni dei dubbi sul provvedimento del novembre 2008.
Premesso che il convegno è stato molto interessante e che organizzatori e relatori hanno svolto un ottimo lavoro, tuttavia a conclusione dell’evento rimangono numerosi punti interrogativi.
Il rappresentante del Garante ha infatti sottolineato più volte che il provvedimento sull’amministratore di sistema va inteso come un documento di indirizzo, che fissa cioè le linee guida ed i principi da seguire e non come un elenco di requisiti a cui assolvere in maniera puntuale ed uguale per tutti.

ComplianceNet: Buongiorno Ivan. Vuole presentarsi e presentare Communication Valley  ?

Ivan Pastorini: Sono Ivan Pastorini, amministratore delegato di Communication Valley, società del gruppo Reply S.p.A. Communication Valley è una società specializzata nell’erogazione di servizi di sicurezza informatica.

ComplianceNet: Cos’è il Security Operations Center (SOC) di Communication Valley?

Ivan Pastorini: In questa struttura operano ogni giorno circa 50 persone. L’ambito è un’ampia gamma di servizi di sicurezza che vengono erogati secondo una modalità direi unica, quantomeno nel panorama nazionale. É una struttura di proprietà italiana, ubicata in Italia, che interagisce con i clienti in lingua italiana, eroga i propri servizi 24 ore su 24, 365 giorni l’anno e in maniera remota. Il SOC di Communication Valley riunisce una vasta gamma di competenze che mette a disposizione dei propri clienti attraverso canali di comunicazione ovviamente configurati secondo i più evoluti standard di sicurezza. L’aspetto fondamentale è che è il nostro SOC è una struttura unica anche perché è totalmente focalizzata sulla sicurezza e non è un centro che eroga “anche” servizi di sicurezza. Qui tutte le competenze, i servizi, e direi anche i ricavi, sono totalmente nell’ambito della sicurezza informatica.