Dott. Manuele Cavallari, CISA, CISM, LoCSI "L'implementazione di un modello di sicurezza in ambito bancario: l'esperienza multinazionale di Banca Antonveneta"  Dott. Manuele Cavallari, CISA, CISM, LoCSI Responsabile IT Security Office – Consorzio Operativo Gruppo Montepaschi

Componenti del modello Elementi costitutivi del modello multinazionale sono: Politiche e procedure molto articolate e puntuali Definizione chiara di ruoli, responsabilità e attività Forte commitment del management Strutture globali e regionali di supporto Coinvolgimento del Security Office nel ciclo di vita di applicazioni ed infrastrutture Approccio Risk Oriented Misurazione periodica dei risultati

Politiche e procedure

Struttura Organizzativa

IS policy and standards Modello Operativo (1/3) Service Task Brief description IS policy and standards Policy Review Represent EMEA IS requirements during the development of information security policy Local Policy Governance Co-ordinate the identification of security requirements related to local legislation and regulation IT Policy Dispensation Management Co-ordinate the management of IS risks that are non-compliant with policies Security architecture and standards implementation Provide security architecture and standards to aid IT when designing a system IS Program Management Security Solutions Co-ordination Facilitate the identification and the utilisation of global and regional shared security solutions IS risk management Technology Risk Assessment Process (TRAP) delivery Identification of risks related to IT Applications, infrastructure and processes and management of their remediation Asset Classification (CIA) maintenance Facilitate the understanding of IT system value through classification according to confidentiality, integrity and availability Change control Approval Provide Change Advisory Board representation to help prevent the implementation of significant changes without adequate understanding of the IS risks Audit Issue Management and Resolution Supervise the management of audit issues that are related to information security

Modello operativo (2/3) Service Task Brief description Threat and vulnerability management Internal Vulnerability Management Perform specialist scanning of IT Systems to monitor and remediate against technical IT threats and vulnerabilities External Vulnerability Management Perform specialist scanning of Internet Systems to monitor and remediate against technical IT threats and vulnerabilities Wireless scanning and remediation Perform specialist scanning to identify unapproved wireless network technology in use in the bank buildings Security Controls Monitoring Review the effectiveness of local security devices, tools and processes. Incident Detection and Management Security Event Monitoring Provide first line response for local events identified by the bank’s global security monitoring tools Security Incident Management Co-ordinate the Local Computer Incident Response Team for reported IS incidents Forensics and fraud investigation support Provide IS support and expertise during investigation where fraudulent / criminal activity is suspected Identity and access management Access Control Administration (ACA) Governance Review local IT systems access control administration processes and tools Generic high privilege account monitoring Co-ordinate the management of powerful system accounts

Modello Operativo (3/3) Service Task Brief description Group Legal, regulatory and compliance Mgmt IT requirements coordination for Data Privacy and Banking secrecy Co-ordinate the identification of local legal and regulatory requirements that impact data privacy and banking secrecy Knowledge, awareness and education Security Awareness Co-ordination of staff and related 3rd parties information security training Security Advice and Guidance Provide Information Security subject matter expert consultancy

Strutture globali e regionali di supporto Ricerca e Sviluppo Vulnerability Assessment Penetration Test Risk Assessment Revisione, adeguamento di Politiche e Procedure

Commitment del Management La sicurezza delle informazioni come un obiettivo condiviso di tutta l’azienda Responsabilità specifiche assegnate ad ognuno degli attori dei diversi processi La responsabilità finale in termini di sicurezza è assegnata al Management e a scendere ai Business Owners La sicurezza non è una questione tecnica, relegata nell’ambito degli specialisti, la cui responsabilità deve essere condivisa a diversi livelli. ISO analizza i livelli di rischio e le contromisure da porre in essere e i BO decidono se accettare o mitigare i rischi emersi. In caso di rischi particolarmente elevati, una eventuale accettazione deve avere l’approvazione di un comitato speciale del Top Management. Sono definite puntualmente le responsabilità ed i compiti delle diverse strutture aziendali, e i BO sono incentivati a chiedere il supporto di ISO per ridurre al minimo i rischi di cui sono responsabili.

Security nel ciclo di vita di applicazioni ed infrastrutture Ogni nuova applicazione e/o infrastruttura viene sottoposta al vaglio di un Risk Assessment Esatta percezione di quali rischi vengono introdotti Eventuali contromisure implementate in una fase iniziale (con costi e impatti minori) Change Board che approva il passaggio in produzione di applicazioni/infrastrutture con un rappresentante di ISO, che può esercitare il diritto di veto, qualora queste non abbiano superato i requisiti minimi o non sia stata controfirmata l’accettazione/mitigazione dei rischi rilevati da parte del BO. ISO viene coinvolto sin dalle prime fasi nei diversi progetti per poter fornire consulenza, fare le valutazioni del rischio, proporre mitigazioni e partecipa a pieno titolo in tutte le fasi del ciclo di vita di applicazioni/infrastrutture

Approccio Risk Oriented L’approccio Risk Oriented consiste nel perseguire la sicurezza delle informazioni attraverso un corretto processo di gestione del rischio. È necessario perciò che sia implementato un processo continuativo di analisi del rischio per aumentare o mantenere il livello di sicurezza delle informazioni. Il processo di Risk Assessment consente di applicare, a seconda della criticità dell’asset, un set più o meno approfondito di controlli per la valutazione effettiva del rischio. Una volta definiti i livelli di rischio per i diversi asset, si definiscono le contromisure per abbattere i rischi

Misurazione periodica dei risultati Ambito Attività Vulnerabilità interne rilevate interne corrette esterne rilevate esterne corrette applicative rilevate applicative corrette Penetration test svolti Vulnerabilità rilevate da PTest Vulnerabilità corrette Analisi e Gestione del Rischio Risk Assessment conclusi Mitigation effettuate/in corso Mitigation pianificate Incident Management Gestione degli incidenti di sicurezza Controllo Accessi Richieste EEP (pwd privilegiate) Altro Catalogazione asset Partecipazione/supporto negli Audit Local security policies create

Il modello di sicurezza del Gruppo Montepaschi Focus nazionale di Montepaschi Elementi del modello in valutazione: Impostare e definire un set di policy di sicurezza sufficientemente articolato; Rivedere e/o definire i processi a supporto della sicurezza in maniera puntuale; Implementare un approccio basato sulla gestione del rischio su ampia scala nell’ambito del Gruppo Montepaschi.