DOSSIER: SICUREZZA, KNOWLEDGE E ... a cura di HIGH-TECH ABI Lab, il Centro di ricerca e sviluppo sulle tecnologie per la banca, è nato in risposta all'esigenza manifestata dalle banche di accrescere le proprie conoscenze sulle tecnologie e sulle loro potenzialità di applicazione al contesto bancario. ABI Lab si fonda su una logica di aggregazione e cooperazione tra più soggetti: • tra banche, che mettono a fattor comune la ricerca sulle tecnologie, per l'ottimizzazione dei processi interni e l'abilitazione di nuovi prodotti e servizi, mantenendone i confini nell'ambito precompetitivo; • con i partner tecnologici che siedono allo stesso tavolo delle banche e mettono a disposizione il proprio know-how e le proprie esperienze, per individuare insieme i modi in cui la tecnologia possa dimostrarsi utile alla banca; • con le Istituzioni, per evolvere il quadro della regolamentazione in tutte quelle aree in cui i vincoli normativi frenano lo sviluppo delle tecnologie funzionali alla banca; • con università e centri di ricerca, per accrescere la base di conoscenza che ABI Lab rende disponibile alle banche e ai suoi partner tecnologici e per realizzare quella conoscenza, ancora maggiore, che trae valore dall'incontro di visioni differenti. ABI Lab ha iniziato a lavorare oltre un anno fa, quando le banche che hanno costituito il Comitato Guida e i primi partner tecnologici aderenti hanno dato fiducia al progetto, dimostrando di credere in un nuovo modo di lavorare insieme. I risultati ottenuti in quest'anno di lavoro sono incoraggianti: già 70 aziende di primaria importanza nel settore delle tecnologie lavorano a fianco alle banche per approfondire quelle tematiche che lo stesso Comitato Guida ha individuato come prioritarie, mettendo a disposizione risorse, esperienze e centri di ricerca. Sono 150 le banche che ad oggi accedono al Knowledge Management System di ABI Lab, l'infrastruttura tecnologica, raggiungibile via Internet utilizzata per l'organizzazione e la diffusione della conoscenza. Lo scorso 4 dicembre ABI Lab ha raggiunto un importante traguardo: si è costituito sotto forma di consorzio tra l'Associazione Bancaria Italiana e le banche del Comitato Guida. La partecipazione al consorzio ABI Lab è naturalmente aperta a tutte le banche e alle aziende partner: l'ambizione di ABI Lab è infatti essere il loro Centro di ricerca e proporsi come loro strumento condiviso di analisi e interpretazione dei vantaggi derivanti dall'uso delle tecnologie. ABI Lab ha proseguito nel proficuo cammino di collaborazione con il Dipartimento per l'Innovazione e le Tecnologie del Ministro Stanca, recentemente formalizzato con la conclusione di un protocollo d'intesa, punto di partenza per l'attivazione e lo sviluppo di sinergie su tematiche tecnologiche oggetto di convergenza di interessi. ABI Lab da oggi si rivolge al più ampio dominio composto da banche e Pubblica Amministrazione, che si scambiano conoscenza e mettono a fattor comune competenze e best practice per creare le migliori condizioni di sviluppo del settore delle tecnologie e a incrementare l'efficienza dei rispettivi comparti. Come auspicato dal Ministro stesso al lancio di ABI Lab, la Pubblica Amministrazione ha oggi a disposizione la knowledge base, di cui sarà senz'altro utente, ma anche protagonista, contribuendo ad alimentarla con le sue esperienze e i suoi casi di successo. L'arma vincente di Francesco Bolici, CeRSI, LUISS Quale sarà il motivo per cui Tim Sanders ripete a chiunque incontri che la chiave del successo è la condivisione con gli altri delle proprie conoscenze? Probabilmente lui vi risponderebbe che è questa sua capacità che gli ha permesso di diventare una di quelle "figure eccezionali ed autorevoli alle quali tutti si rivolgono quando hanno bisogno di un consiglio, un leader che trascina gli altri, un individuo brillante mai a corto di idee, contatti ed amici". Considerando che si tratta del Chief Solutions Officer di Yahoo! (il portale Internet n. 1 negli USA) e consulente di numerose aziende tra le top 500 di Fortune, potrebbe essere interessante approfondire l'argomento... In un mondo in cui le innovazioni tecnologiche si susseguono a ritmo sempre più serrato e in cui cambiamenti, anche radicali, delle organizzazioni e dei metodi di lavoro rischiano di disorientare e stordire, tutti si pongono una domanda: come conservare ed accrescere il proprio valore professionale? Forse Mr Sanders risponderebbe che a far marciare il mondo sono i cosiddetti fattori intangibili, come appunto la conoscenza. CONDIVIDERE LA CONOSCENZA IL KNOWLEDGE MANAGEMENT lo spostamento dei fattori competitivi dalle risorse tangibili (materie prime, beni strumentali, etc.) a quelle intangibili (idee, expertise, competenze, programmi di ricerca, marchi, brevetti, etc.); i progressi compiuti dall'information technology che facilitano la condivisione di conoscenza e la connessione di più persone tra loro; la tendenza delle organizzazioni a costruire processi e meccanismi che le rendano in grado di apprendere e imparare in modo continuo. Alla base delle strategie di KM vi è sempre la convinzione che la collaborazione e la condivisione della conoscenza siano la chiave del successo tanto per l'organizzazione quanto per la singola persona. Questa visione spesso deve superare le resistenze di coloro che sono portati a tenere per sé le proprie conoscenze, pensando che questo sia il modo per difendere il proprio potere all'interno dell'ambiente di lavoro. Gestire la conoscenza significa gestire le persone che la possiedono: alla radice del KM c'è la consapevolezza che la condivisione della conoscenza è un comportamento umano e che l'organizzazione deve agire sulle leve psicologiche e motivazionali delle persone per incentivarle a trasferire il proprio sapere. Un progetto di KM richiede alla base un notevole cambiamento di tipo culturale, che può realizzarsi solo attraverso un impegno concreto dei vertici aziendali nel premiare chi mette a disposizione degli altri le proprie conoscenze e contemporaneamente nello scoraggiare chi adotta atteggiamenti di chiusura. A nulla servirebbe l'imposizione di determinati comportamenti: la collaborazione e il trasferimento di conoscenza avvengono efficacemente solo quando gli individui cooperano volontariamente. IL SUPPORTO DELLA TECNOLOGIA La prima prospettiva, ossia raccogliere e condividere la conoscenza esplicita, viene spesso affrontata attraverso l'utilizzo di avanzati sistemi di information technology, i knowledge management system (KMS), che possono includere sistemi di mappatura della conoscenza all'interno dell'azienda (knowledge mapping), algoritmi di analisi del linguaggio naturale e altri ancora. La gestione del sapere tacito pone maggiore enfasi sull'interazione umana, avvalendosi comunque del supporto di strumenti tecnologici (come ad esempio le reti intranet aziendali). Tra i meccanismi che meglio si prestano a gestire la conoscenza di tipo tacito sono da ricordare le comunità di pratica, il dialogo e la diffusione di casi di successo. In ogni caso, qualunque sia la prospettiva di KM che voi o la vostra organizzazione state affrontando, la domanda principale è sempre la stessa: siete pronti a condividere e combinare le vostre conoscenze per riuscire ad arricchirle in continuazione? E, se la risposta è positiva, state già agendo in questa direzione? PIN...occhio L'incredibile diffusione di Internet registrata in questi ultimi anni ha incentivato e reso possibile l'erogazione di servizi innovativi e ha consentito di instaurare un rapporto diretto tra fornitore e fruitore. Ma, allo stesso tempo, ha posto al centro delle preoccupazioni e delle strategie delle aziende il problema della sicurezza informatica. Ciò, quindi, vale soprattutto per le banche: l'e-banking è una sfida difficile ma assolutamente improcrastinabile per instaurare un colloquio diretto con il cliente e insieme tutelare la riservatezza e la disponibilità dei dati dagli attacchi all'integrità, alla riservatezza e alla piena disponibilità. Come difendersi dai pericoli esterni e in che modo tutelare dati sensibili? Lo abbiamo chiesto ai partner di ABI Lab. Le soluzioni software e hardware offerte dal mercato, come osserva Fausto Bolognini di Quercia Software, possono realisticamente garantire un elevato standard di sicurezza e rappresentano una risposta credibile alle criticità dell'e-banking. Tra queste, ha aggiunto Bolognini, in un'ottica bancaria, assumono rilievo la firma digitale, il protocollo https, la cifratura e quell'insieme di dispositivi hardware per la gestione di certificati e chiavi di crittografia. Secondo Paolo Castellaneta di Iriscube, l'indice va puntato sul risk management, perché il concetto di security va esteso dalla difesa del sistema informatico alla tutela della propria missione aziendale. Anche se le priorità sono indirizzate verso la protezione perimetrale di tipo tecnologico, sostiene Castellaneta, un approccio che limiti la sicurezza all'installazione di sistemi di difesa perimetrale o alla corretta profilatura degli utenti si è dimostrato spesso riduttivo. In realtà, ha aggiunto, la sicurezza è un sistema di gestione, un insieme integrato di indirizzi, strumenti, misure tecniche e organizzative attuate per proteggere gli asset aziendali: tra questi, i dati sono oggi direttamente funzionali al business e si integrano nell'organizzazione e nell'operatività quotidiana. Anche per Domenico Catalano, di Sun Microsystems Italia, di rilievo è la gestione dell'identità tra le applicazioni aziendali, che comporta diversi vantaggi. Semplifica i processi di business, abilita le funzionalità di single sign on per l'accesso ai servizi web, cattura l'interesse degli utenti attraverso l'erogazione dei servizi personalizzati e agevola i processi di cooperazione paritetica fra istituzioni con la riduzione dei rischi di transazioni fraudolente. Luciano Di Filippo, di Fastweb, è sicuro: nell'e-business, la sicurezza dei dati deve essere considerata come un valore strategico e non come un costo; all'aumentare degli investimenti, ha detto, cresce inevitabilmente il grado di vulnerabilità agli attacchi e il costo maggiore sarebbe la mancanza di politiche e misure di sicurezza adeguate alle entità dei rischi esistenti. Sul web osserva ancora Di Filippo, la sicurezza assume il connotato di affidabilità: la credibilità che l'azienda che opera on-line sa trasmettere è sempre più un valore che ha conseguenze concrete e misurabili sul business. Sulla stessa linea, in sostanza, Tiziano Airoldi di IBM, il quale sottolinea che negli ultimi anni molte società hanno riposizionato il valore della sicurezza come elemento prioritario all'interno delle loro strategie aziendali e hanno attivato applicazioni di e-business basate sul web. Il tema della sicurezza, secondo Airoldi, dovrebbe essere affrontato su diversi livelli: sicurezza delle infrastrutture di rete (firewall, intrusion detection, antivirus, content security, ecc.), sicurezza degli accessi (identificazione, autenticazione, autorizzazione, confidenzialità e integrità), sicurezza delle componenti applicative (autorizzazione e profilatura) e sicurezza delle operazioni (politiche, processi, standard e gestione). Di strategia multilivello parla anche Giampaolo Scafuro di EDS, che, ritiene, dovrebbe gestire il rischio in modalità ciclica attivando contromisure organizzative, procedurali, tecniche e formative. Misure, queste, volte a garantire il raggiungimento e il mantenimento nel tempo del livello di sicurezza necessario al business. L'analisi dei rischi, la corretta definizione e configurazione delle architetture di rete, il monitoraggio costante delle vulnerabilità, una continua attività di auditing delle attività non lecite, costanti attività formative e definizione di ruoli e responsabilità consentono, sempre secondo Scafuro, di controllare il rischio. Questa, invece, la strategia di Alberto Cibocchi di SchlumbergerSema: individuare quali asset aziendali devono essere protetti, valutare la probabilità di incidenza di differenti attacchi, implementare soluzioni per proteggere persone, dati e siti e impostare un processo continuo di revisione e miglioramento delle soluzioni adottate. Mario Cerri, di Computer Associates, sottolinea l'importanza della prevenzione: individuare, analizzare e neutralizzare attacchi che spaziano da codici infetti a worm, da virus a intrusioni di hacker; firewall, tecnologie antivirus e monitoraggio in tempo reale salvaguardano la struttura It aziendale in modo sia reattivo che preventivo. Tuttavia, ha aggiunto Cerri, le soluzioni per la sicurezza, per essere efficaci tra le sofisticate ed eterogenee infrastrutture di e-business, devono tenere sotto controllo e gestire tutti gli ambienti presenti in azienda, con una visualizzazione coerente delle diverse tecnologie. Ma, secondo Orsio Romagnoli di Getronics, la sicurezza non è soltanto un problema tecnologico da monitorare e gestire continuamente: occorre perciò affiancare a una strategia di prevenzione, quella di rilevazione e reazione. La terza generazione Antonella Vanara, SSB Per parafrasare la terminologia in uso nel mondo mobile, siamo alla terza generazione, frutto dell'evoluzione della tecnologia e, soprattutto, dell'esperienza sul campo degli ultimi anni. I sistemi di prima generazione garantiscono la riservatezza delle informazioni a tratte, tra il pc del consumatore (client) e il sito dell'esercente (server), basandosi per lo più sull'utilizzo del protocollo Ssl (secure socket layer). Con l'avvento dei sistemi di seconda generazione, la riservatezza della comunicazione viene garantita end to end, tra il consumatore e la banca, evitando che soggetti non autorizzati sulla rete entrino in possesso dei dati sensibili relativi al pagamento. Rimane comunque aperta la questione dell'identificazione di tutti i soggetti sulla rete, che è l'obiettivo a cui si rivolgono i sistemi di terza generazione, organizzativamente complessi ma, dopo un inizio poco felice con il protocollo Set, finalmente semplici da utilizzare da parte di consumatori ed esercenti. Queste nuove infrastrutture di sicurezza (il modello in Italia è Bankpass) oltre a ottimizzare la riservatezza del colloquio (i consumatori non devono più inserire su Internet gli identificativi degli strumenti di pagamento), consentono di autenticare tutti gli attori in rete e di garantire l'integrità delle informazioni attraverso tutte le tratte dell'operazione di pagamento. A quando la quarta generazione? Punto debole: l'identificazione Alessandro Scognamiglio, Incard Con l'aumentare della potenza di calcolo i sistemi di identificazione, basati su password, rappresentano il punto debole dei servizi veicolati su Internet. Oggi, però, è accessibile a basso costo la tecnologia per implementare uno schema d'identificazione più robusto. Ssl (Secure Socket Layer) garantisce mutua autenticazione client-server e canale di comunicazione cifrato; unito alle smart card, aumenta inoltre la sicurezza per accedere ai servizi su Internet. La smart card contiene un chip elettronico capace di elaborare algoritmi crittografici complessi quali Rsa e la generazione on-board delle coppie di chiavi pubblica-privata; le chiavi segrete sono custodite in una zona sicura della memoria, inaccessibile al titolare stesso. Se a questo si aggiunge un sensore di dati biometrici, quale l'impronta digitale, il gioco è fatto. Si è ottenuto un sistema che supera le tre debolezze dello schema a password (una password può essere ceduta volontariamente, intercettata o calcolata con forza bruta). (Ndr: Ripreso dalla rivista Bancaforte di marzo -aprile 2003) |