L’implementazione di un modulo di e-banking porta con sé una pluralità di modifiche nell’assetto organizzativo. È auspicabile una valutazione attenta delle vulnerabilità, che tenga in considerazione i molteplici aspetti coinvolti. Un’analisi di PricewaterhouseCoopers
La situazione del banking elettronico è cambiata
considerevolmente in Italia negli ultimi due anni. Sulla spinta dei
mutamenti tecnologici e delle nuove strategie di rapporto con il cliente, le
banche italiane hanno rapidamente optato per l’adozione intensiva dei nuovi
strumenti elettronici per la fornitura di servizi finanziari e,
contemporaneamente, si sono progressivamente spostate verso la scelta di
soluzioni pacchettizzate e aperte, abbandonando l’approccio dello sviluppo
in casa di soluzioni proprietarie. Le ragioni di ciò risiedono nella
necessità di abbassare i costi di implementazione, di rendere più
accessibile al proprio interno l’uso della tecnologia ma, soprattutto,
dall’esigenza di accelerare i tempi di deployment di soluzioni e
offerte.
Gli istituti di credito si trovano, infatti, a competere con altre
strutture finanziarie (quali per esempio le assicurazioni), ma anche con
altri player che fino a qualche anno fa non rappresentavano una fonte di
competizione, ma che, sull’onda della progressiva diffusione del commercio
elettronico, sono entrati nel mercato delle transazioni online. Si tratta di
una competizione che si gioca in modo veloce e che si appoggia pesantemente
al marketing, che rappresenta un terreno finora piuttosto alieno al settore
bancario.
Gli applicativi di e-banking hanno subíto, in questo processo, una
costante evoluzione, che ha riguardato tutti gli aspetti coinvolti.
Sono
passati dall’essere soluzioni standalone, basate su sistemi operativi quali
il Dos e disponibili esclusivamente per la tesoreria, per diventare
strumenti di rete aziendale aperti anche alla contabilità, arrivando,
infine, a una configurazione per il Web con accesso via browser per l’intero
gruppo aziendale. Questo perché le funzionalità sono profondamente
modificate: inizialmente questi applicativi provvedevano principalmente al
trasporto dei dati, mentre ora le funzioni di consultazione e, soprattutto,
di gestione, diventano preponderanti.
In tale rinnovato scenario
caratterizzato dalla multicanalità, diventa però sempre più difficile
analizzare e tenere sotto controllo tutti gli aspetti indotti dal
cambiamento ed è su questo terreno che si inserisce la necessità di
affrontare l’analisi del rischio nella scelta e adozione dei moduli di
e-banking. L’analisi del rapporto costi-benefici, che ogni progetto di
fattibilità prevede, diventa particolarmente sensibile nell’ambito
finanziario, in cui un eventuale divario tra i due aspetti menzionati, se
non opportunamente controllato, ha le potenzialità di ampliarsi
esponenzialmente.
È necessario avere una visione di insieme degli aspetti
organizzativi e strategici che si devono affrontare con l’introduzione di un
modulo di banking elettronico e della catena di eventi che si viene a
determinare su l’intera organizzazione aziendale.
I soggetti da
coinvolgere
Un’analisi di rischio su un modulo di e-banking è
auspicabile in fase di pianificazione dell’introduzione dell’applicativo, ma
può essere effettuata anche “a regime” nel caso in cui si intenda verificare
l’efficacia generale del sistema e dovrebbe inoltre essere condotta
cercando di coinvolgere anche gli altri elementi che concorrono alla
concretizzazione del servizio, comprendenti, oltre agli addetti dei
sistemi informativi, anche i fornitori e gli utenti del
sistema.
PricewaterhouseCoopers, società attiva a livello mondiale nel
settore dei servizi professionali, con particolare riferimento alla
revisione e organizzazione contabile, evidenzia che un’analisi di questo
tipo, per essere efficace, dovrebbe essere relativizzata al contesto
aziendale, coinvolgendo sia gli utilizzatori sia gli specialisti di
informatica, identificando le possibili conseguenze dovute a problemi
legati alla sicurezza per concludersi con un piano di miglioramento
della gestione dei rischi. La società di consulenza suggerisce a tale
riguardo un modello di analisi di impatto che prevede tre aspetti
fondamentali: confidenzialità, integrità e disponibilità. Il primo
aspetto riguarda la valutazione delle conseguenze sul business di
un’involontaria (o non autorizzata) diffusione di informazioni; parlare
di integrità significa, invece, esaminare le conseguenze che si possono
determinare a seguito di errori nell’informazione o della manipolazione
deliberata delle informazioni allo scopo di perpetuare frodi; infine
si devono valutare le ripercussioni sul business in relazione a una
prolungata indisponibilità dell’applicazione.
Proteggere i sistemi
Questi tre
aspetti vanno poi esaminati in relazione alla parte hardware e a quella
software. Il primo passo, parlando di hardware, è di considerare la
sicurezza da un punto di vista fisico, valutando i propri processi in
relazione ad aspetti quali la protezione all’accesso fisico all’hardware e
da parte di eventi in grado di danneggiare sia gli apparati sia i dati. È
questo uno degli aspetti ultimamente al centro dell’attenzione; non è un
caso che, a fronte di una generale recessione del mercato It (anche a
seguito dei fatti di New York), gli unici settori che continuino a crescere
siano quelli associati alle soluzioni di storage e di security. La sicurezza
deve anche essere di tipo logico, ovvero deve tenere conto di elementi
quali password di avvio del Bios e protezione dai virus, ma anche dalle
password dello screen saver.
Si devono tenere sotto controllo i dispositivi
di accesso e i modem, prevedendo che le connessioni con l’esterno siano
realizzate per specifiche esigenze di business, con procedure semplici, ma
efficaci, quali la previsione del termine della chiamata automatica al
termine della procedura di trasmissione.
Da un punto di vista del
software vanno definiti e gestiti i parametri di installazione prevedendo
che ogni cambiamento venga eseguito secondo un opportuno protocollo
formalizzato, prevedendo controlli periodici per individuare cambiamenti non
autorizzati e formalizzando anche responsabilità e compiti per la gestione
dei suddetti parametri.
Da un punto di vista della gestione dei profili
degli utenti risulta indispensabile la formalizzazione di tutte le procedure
di gestione e l’impostazione di policy indirizzate a realizzare restrizioni
di accesso. Quello di un’opportuna gestione delle password e degli
accessi è un aspetto cruciale, che coinvolge il network nel suo
complesso e induce a un’analisi che includa tutte le questioni associate
alle procedure, inclusa la definizione dei gruppi e le procedure di firma
elettronica, che sono equivalenti ai normali livelli di autorizzazione; le
questioni fondamentali, in tal caso, sono di prevedere aggiornamenti
tempestivi, predisporre controlli e procedure formalizzate, come il blocco
dei profili dopo un numero di accessi errati.
Vi sono, poi, da
considerare gli aspetti legati alle procedure di backup e recovery, che
coinvolgono in modo trasversale sia la parte hardware sia quella software.
L’archivio dei dati rappresenta, infatti, nella maggior parte dei casi il
vero cuore delle aziende e deve essere gestito correttamente con procedure
rivolte a assicurare l’accesso limitato, l’accuratezza dei dati e il loro
corretto mantenimento. Le procedure di backup devono essere messe a punto
sia per i dati sia per il software del modulo di electronic banking, con
una programmazione di tipo automatico, mentre quelle di disaster
recovery vanno previste sia sui componenti hardware sia software del
sistema di e-banking, con procedure aggiornate e testate con
regolarità.
