D.S. Medici-E. Eberspacher: Disaster recovery, nelle banche serve un piano

Disaster recovery,
nelle banche serve un piano

di Dino S. Medici
ed Enrico Eberspacher

Evoluzione in corso. È necessario rivedere, rispetto al passato, il concetto di "accadimento di eccezionale gravità", tenendo conto, nell'ambito di un piano di disaster recovery, anche di scenari catastrofici fino a poco tempo fa difficilmente immaginabili. Termina proprio con queste parole il capitolo sulla sicurezza informatica della più recente Indagine sullo stato dell'automazione delle banche, che stanno dedicando sempre più attenzione ai rischi legati alle tecnologie. E, in particolare, agli attacchi al patrimonio informatico.

L'ampio argomento della sicurezza informatica è stato indagato con una duplice accezione della sicurezza: protezione delle risorse aziendali dai possibili attacchi, provenienti dall'esterno o dall'interno, e garanzia di continuità di servizio.

La situazione delle banche è stata esaminata in relazione ai molteplici profili interessati, nella convinzione che l'obiettivo della sicurezza vada perseguito mediante un insieme coordinato di misure, di carattere organizzativo oltre che tecnico. Ampio spazio, dunque, alle questioni normativo-regolamentari, alla formazione e alla sensibilizzazione del personale, all'analisi del rischio, alla progettazione e alla realizzazione dei presidi, alla gestione e al controllo del rischio.

ASPETTI NORMATIVI

Dall'indagine emerge un quadro di diffusa formalizzazione delle politiche aziendali in materia di governo del rischio informatico: il 76% delle aziende è dotato di un'apposita normativa interna; un ulteriore 16% sta provvedendo in questa direzione (cfr. tav. 1).

La regolamentazione - che comprende sia l'enunciazione di principi e direttive sia la fissazione di concrete modalità operative - è solitamente sottoposta all'approvazione dei vertici della banca e soggetta a revisione periodica (almeno annuale).

L'obiettivo di creare una cultura aziendale attenta alla sicurezza è perseguito anche mediante un'ampia diffusione della normativa presso tutto il personale. Ciò appare indicativo di una crescente consapevolezza: la sicurezza informatica non costituisce un fenomeno che rientra esclusivamente nella competenza dell'area tecnica, ma interessa tutti i soggetti che operano all'interno dell'azienda e va governato anche con misure organizzative oltre che gestionali.

Sembrerebbe, poi, che proprio l'elemento umano continui a essere l'anello più debole della catena della sicurezza. Di qui la necessità di un'attenta opera di informazione e formazione del personale.

L'attenzione dei vertici bancari al profilo della sicurezza va presumibilmente ricondotta anche allo stimolo proveniente dall'Organo di vigilanza, mediante l'emanazione di norme sui controlli interni e l'opera di sensibilizzazione e monitoraggio.

ORGANIZZAZIONE INTERNA

L'esigenza di garantire un presidio costante alla sicurezza ha comportato anche la creazione di apposite articolazioni organizzative. Ciò con la costituzione pressoché generalizzata di unità formalmente responsabili in materia, poste alle dipendenze della direzione (della banca o della capogruppo) nel 43% delle banche e del settore sistemi informativi nel 41%; in un numero più limitato di casi (14%) la dipendenza gerarchica è nei confronti dell'auditing interno.

Per le banche che, all'interno del budget informatico, evidenziano un'apposita voce di spesa per i profili di sicurezza (60% delle banche), essa rappresenta mediamente il 2,3% del totale. La situazione è peraltro molto diversificata sia tra le diverse classi dimensionali (si va da un minimo dello 0,9% quale valore medio presso le banche minori a un massimo del 4,3% presso le banche "a particolare operatività"), sia all'interno di ciascuna di esse.

L'assenza di criteri di riferimento univoci e largamente condivisi, nella prassi bancaria, per individuare le componenti di spesa da assegnare alla sicurezza informatica, può fornire una prima spiegazione della forte variabilità riscontrata. D'altra parte, le stesse norme di Vigilanza si limitano a fissare una soglia minimale di requisiti di sicurezza, rinviando agli esponenti aziendali ogni decisione circa la concreta configurazione dei relativi sistemi, da adottare tenuto conto delle dimensioni e della complessità dell'azienda. Quanto al quadro normativo e strutturale interno agli aspetti operativi della gestione del rischio, l'analisi dei rischi informatici è presente presso la gran parte delle banche (92%), seppure prevalentemente effettuata in maniera non strutturata, senza fare riferimento a metodologie formalizzate. Ampiamente diffuso è anche l'EDP auditing (86%); mentre 1'analisi di vulnerabilità (79% delle banche) è per lo più condotta da società di servizi esterne alle aziende.

LA PREVENZIONE

L'attività di prevenzione si avvale, per la metà delle banche, di apposite procedure tecnico-organizzative per il monitoring della vulnerabilità; un altro 20% del campione sta introducendo tali procedure. Il monitoraggio è già realizzato nel1'83% delle banche maggiori; il rimanente 17% sta provvedendo ad adottare le relative procedure.

Con riferimento agli strumenti che intervengono sulla capacità di reazione, quali le procedure tecnico-organizzative per la gestione degli incidenti (CERT - Computer Emergency Response Team), si registra una frequenza del 31% per la situazione in atto al dicembre 2001 (67% per le banche maggiori), cui si aggiunge un 35% in previsione per la fine dell'anno in corso.

TEST Dl VULNERABILITÀ

La verifica di efficacia dei presidi attivati si fonda su test periodici di vulnerabilità - effettuati dal 64% delle banche (83% per le maggiori) e in corso d'introduzione entro l'anno presso il 13% - e di intrusione, in atto presso il 64% delle banche e in via di adozione presso il 16%. Contro i virus informatici sono adottate, in maniera generalizza ta, misure che insistono sia sui server sia sulle postazioni client; meno frequenti, invece, le misure di sicurezza sui flussi telematici, l'encription delle informazioni sulla rete aziendale, la protezione della documentazione elettronica interna di carattere riservato. Ciò costituisce un possibile elemento di debolezza dei sistemi informativi aziendali.

Il piano di disaster recovery - che consiste sostanzialmente nel predisporre la ripartenza del sistema in tempi brevissimi, una volta verificatosi un evento dannoso - è presente nel 47% delle banche e in via di formalizzazione nel 31% (cfr. tav. 2).

Laddove adottato, il piano è accompagnato da elementi che ne rafforzano l'efficacia (revisione annuale, sottoposizione periodica a test e, in minor misura, procedure organizzative di supporto).

Il ripristino dell'operatività del sistema è previsto, nella gran parte dei casi (71%), in un arco di tempo superiore alle 12 ore; per le banche maggiori, prevalentemente, la finestra temporale si riduce a 6 ore.

Il business continuity plan - che contempla, oltre a quella di disaster recovery, anche le attività organizzative volte a assicurare la corretta prosecuzione del business aziendale da parte di tutte le funzioni preposte - è presente presso il 31% delle banche partecipanti e in via di adozione presso il 19% (cfr. tav. 3).

Esso risulta non sempre adeguatamente sottoposto a prove.

È interessante notare come una porzione non trascurabile del sistema sia attualmente impegnata nella predisposizione dei piani (sia di disaster recovery sia di business continuity): presumibilmente, gli eventi traumatici del settembre 2001 e la crescente attenzione della clientela alla disponibilità del servizio hanno innalzato la sensibilità su questi temi.

Le aziende che già dispongono di un piano sono ora concentrate sulla messa a punto di apposite procedure operative di attuazione.

C'è peraltro da chiedersi - si legge ancora nella relazione - quanto gli attuali piani siano, nei loro contenuti e nella loro portata, adeguati alla realtà che le banche potrebbero eventualmente trovarsi a dover affrontare. La storia più recente ha infatti mostrato come sia necessario rivedere, rispetto al passato, lo stesso concetto di accadimento di eccezionale gravità, tenendo conto, nell'ambito di un piano di disaster recovery, anche di scenari catastrofici fino a poco tempo fa difficilmente immaginabili.

Regole interne per 9 banche su 10

• Dall'indagine emerge un quadro di diffusa formalizzazione delle politiche aziendali in materia di governo del rischio informatico: il 76% delle aziende è dotato di un'apposita normativa interna; un ulteriore 16% sta provvedendo in tal senso.

• Costituzione di unità formalmente responsabili, alle dipendenze della direzione (della banca o della capogruppo) nel 43% delle banche e del settore sistemi informativi nel 41 %; in un numero più limitato di casi (14%) la dipendenza gerarchica è nei confronti dell'auditing interno.

• L'attività di prevenzione si avvale, per la metà delle banche, di apposite procedure tecnico-organizzative per il monitoring della vulnerabilità; un altro 20% del campione sta introducendo tali procedure. Il monitoraggio è già realizzato nell'83% delle banche maggiori; il rimanente 17% sta provvedendo ad adottare le relative procedure.

• La verifica di efficacia dei presidi attivati si fonda su test periodici di vulnerabilità - effettuati dal 64% delle banche (83% per le maggiori) e in corso d'introduzione entro l'anno presso il 13% - e di intrusione, in atto presso il 64% delle banche e in via di adozione presso il 16%.

• Il piano di disaster recovery - che consiste sostanzialmente nel predisporre la ripartenza del sistema in tempi brevissimi, una volta verificatosi un evento dannoso - è presente nel 47% delle banche e in via di formalizzazione nel 31%.

(Ndr: Ripreso dalla rivista Bancaforte di marzo -aprile 2003)