Iccrea Banca (www.iccrea.it) fa parte del Gruppo Bancario Iccrea e ha come scopo statutario quello di “rendere più completa, intensa ed efficace l’attività delle Banche di Credito Cooperativo (Bcc) sostenendone e potenziandone l’azione mediante lo svolgimento di funzioni creditizie, d’intermediazione tecnica e di assistenza finanziaria” in favore delle Banche di Credito Cooperativo, allo scopo di potenziarne l’azione sui mercati locali, svolge una serie di funzioni che per ragioni tecniche, organizzative, economiche o normative, le singole aziende non potrebbero attivare autonomamente. Nell’esercizio del proprio ruolo, l’Istituto fornisce supporti e prodotti/servizi bancari mediante una struttura centrale e periferica. I servizi Ict rappresentano quindi un aspetto fondamentale delle attività della banca, a vantaggio di un complesso ed articolato sistema di banche locali (di Credito Cooperativo), che in Italia rappresentano il segmento più numeroso e capillarmente diffuso all’interno del sistema creditizio nazionale. Iccrea Banca, in sostanza, è una sorta di “cerniera” istituzionale tra le singole Bcc e le restanti controparti bancarie e come tale costituisce un importante punto di snodo del sistema dei pagamenti.
Nel 2006, all’interno di un globale progetto di riorganizzazione guidato principalmente dalla necessità di governare in modo più strutturato la gestione dei rischi legati all’information security (così come richiesto da Basilea II), è stata istituita la figura del Chief Information Security Officer (Ciso) e avviato un processo di costruzione di un “sistema di gestione della sicurezza”. A tale fine è stato creato anche un Comitato di sicurezza e continuità operativa per favorire la condivisione degli obiettivi strategici tra le varie funzioni di responsabilità, di business, di controllo e di gestione. Iccrea Banca è certificata Iso 27001.
Giancarlo Castorina è Ciso presso la Direzione Centrale Servizi di Supporto dell’Istituto e a ZeroUno racconta problematicità e soluzioni in relazione alla gestione delle identità e degli accessi (che, ovviamente, rappresenta solo uno dei tasselli della Security Governance della banca). “La questione della gestione delle identità e degli accessi è nata, ormai diversi anni fa, da una “normale” valutazione dei rischi – esordisce Castorina -. Attività che, come banca, rientra nelle tradizionali operazioni di governo e controllo. Facendo tutte le valutazioni del caso e tutte le opportune scelte per la mitigazione del rischio operativo (guidata in questo caso dalla necessità di proteggere le informazioni e raggiungere la conformità) e il miglioramento dell’efficienza dei processi, ci si è accorti che era necessario strutturare il processo di gestione degli utenti alle informazioni (convalida dell’autenticità degli users e applicazione dei controlli sugli accessi, anche per una questione più generale di best practice, vuole sottolineare Castorina – ndr)”.
“Essendo l’Istituto Centrale del sistema delle Banche di Credito Cooperativo – aggiunge Castorina – come Iccrea Banca non abbiamo clientela diretta ma operiamo a livello di B2B. I nostri clienti sono le banche; serviamo circa 22.000 utenti di cui soltanto un migliaio sono utenti interni di Iccrea. Gli altri sono users delle Banche di Credito Cooperativo (dipendenti o collaboratori) dislocate su tutto il territorio che usufruiscono dei nostri servizi e hanno quindi necessità di accedere ai nostri sistemi”.
Un responsabile delle identità
Lo scenario rende quindi inevitabile un assoluto governo e controllo degli utenti e dell’uso delle informazioni e dei sistemi messi a disposizione da Iccrea. Dal punto di vista pratico, questo comprende svariate funzioni, quali l’attivazione di nuovi dipendenti, la determinazione delle risorse a cui può accedere un utente, l’automazione delle funzioni di distribuzione e ritiro, nonché la creazione e gestione di policy delle password, ecc.
Per agevolare e rendere più agile l’intera gestione si è deciso di intervenire anche da un punto di vista organizzativo: “Si è deciso di identificare un Security Manager all’interno di ogni banca di credito cooperativo a cui affidare la responsabilità e il governo nell’Identity and Access Management riferito ai propri utenti – spiega Castorina -. In sostanza, ogni Security Manager ha l’onere di gestire al proprio interno le politiche IAM (utilizzando comunque gli strumenti centrali, che per lo IAM sono dati dalle soluzioni Ca – www.ca.com – messi a disposizione degli istituti direttamente da Iccrea – ndr), ferme restando, naturalmente, le nostre linee guida, gli obiettivi e le policy generali che tutti devono seguire”. Ogni banca, in altri termini, provvede da sé ad attivare/disattivare utenti, definire le opportune autorizzazioni, controllare gli accessi, ecc. “Da un punto di vista centrale noi operiamo i dovuti controlli – aggiunge Castorina -. Verifichiamo innanzitutto che la nascita di nuove identità sia conforme alle policy e che le autorizzazioni concesse siano in linea con le direttive generali riguardo a ruoli e mansioni, autorizzando quindi le abilitazioni solo se preventivamente verificate e accertate; inoltre, interveniamo anche in modo più operativo abilitando tecnicamente tutte le richieste ritenute ammissibili”.
Il controllo centrale si estende poi alle pratiche di audit, monitoraggio e verifica. Iccrea assicura anche la produzione di flussi informativi finalizzata a fornire ai vari Security Manager la possibilità di revisionare le abilitazioni concesse; “L’obiettivo non è soltanto verificare o controllare “chi fa cosa” ma accertare che vengano rispettate costantemente tutte le norme e le policy di sicurezza e di gestione delle informazioni, nonché valutare opportunamente eventuali rischi ed intervenire se necessario”, sottolinea Castorina evidenziando in sostanza come la politica di gestione delle identità vada ben oltre l’aspetto di security ma si inserisca in un più ampio concetto di Grc (Governance, Risk and Compliance).
Un altro importante obiettivo legato alla strategia Iam adottata da Iccrea viene, infatti, dalla Compliance normativa: “Le normative nazionali ed internazionali, in genere, prevedono requisiti molto specifici intesi a identificare gli utenti informatici, conoscere le applicazioni e le risorse a cui possono accedere, registrare i tempi di accesso e conoscere le operazioni eseguite durante gli accessi – dice Castorina. – La creazione di controlli interni automatizzati delle identità e degli accessi degli utenti, nonché della riservatezza dei dati, consente di attenuare le difficoltà legate alla conformità rispetto a tali requisiti”.
Un ulteriore elemento su cui Castorina insiste per sottolineare l’importanza che assume la corretta gestione delle identità all’interno dell’Istituto è la continuità operativa. “Assumendo un ruolo determinante nel sistema dei pagamenti a livello nazionale – dice il Ciso di Iccrea Banca – abbiamo il dovere di garantire sempre la continuità operativa e di assicurare quindi l’accesso ai nostri sistemi in qualsiasi momento venga richiesto”.
“La nostra realtà è stata la prima ad aver ottenuto la certificazione BS 25999 per la Business Continuity – dice con soddisfazione Castorina -. Tale certificazione è il risultato finale di un progetto molto articolato che ha esteso i confini del disaster recovery e che ha coinvolto tutta la struttura: la certificazione coinvolge tutti i processi critici dell’organizzazione come ad esempio l’elaborazione di procedure informatiche e le attività di trasferimento dati finalizzate all’erogazione di servizi bancari e finanziari”.
La testimonianza di Iccrea Banca evidenzia come il livello raggiunto, sia nell’approccio alla problematica sia nell’adozione delle soluzioni (l’Istituto ha implementato la suite IAM di Ca con numerose componenti che vanno dall’Access Control all’Identity Manager, dall’Enterprise Log Manager al Siteminder e al CA Top Secret, ecc.), sia un importante segnale di come la sicurezza venga oggi affrontata con maggiore consapevolezza da parte delle aziende rispetto a qualche anno fa e su come questa abbia un impatto sempre più elevato anche sugli aspetti organizzativi, permeando gli stessi processi aziendali e le normali operations.
