Qualche tempo fa andai a parlare di salvaguardia del proprio patrimonio informativo e di minaccia interna al vicedirettore dei sistemi informativi di una banca.
Gli spiegai che per anni le aziende hanno focalizzato le attività di sicurezza sulla protezioni dalle minacce provenienti dall’esterno, poste dalla crescente esposizione su Internet, dispiegando una serie di soluzioni come firewall, antivirus, anti-spam, intrusion detection systems, antispyware, ecc, e costruendo solide mura per proteggere il proprio perimetro.
Concordammo sul fatto che molti di essi stanno realizzando che queste difese non possono proteggere da un tipo diverso di minaccia, quella proveniente dall’interno dell’azienda e che per ovviare a questo era necessario dispiegare una serie di tecnologie e approcci diversi da quelli utilizzati fin’ora.
Gli parlai quindi della soluzione di Intellinx, che permette di aggiungere un altro livello di log alle attività che vengono condotte sui propri sistemi centrali, che si tratti di mainframe, AS400, web server.
Dopo aver ascoltato con attenzione mi disse che sarebbe diventato uno sponsor interno della proposta, non solo perchè essa interveniva a far luce su una serie di attività che altrimenti sarebbero passate inosservate, ma anche (e credo soprattutto) perchè gli consentiva di avere una garanzia sul proprio operato e su quello dei suoi collaboratori.
È risaputo, infatti, che chi lavora nei sistemi informativi di una banca può avere un accesso privilegiato a informazioni e procedure: le applicazioni di business dell’azienda sono configurate per dare un alto livello di log normalmente tracciano le attività degli utenti finali. Gli utenti IT, ovvero gli amministratori del sistema, dei database e dei programmi, utilizzano vari strumenti di amministrazione e di programmazione per accedere e mantenere i dati aziendali. E, tipicamente, queste applicazioni non hanno log, e non consentono, quindi, di avere traccia degli accessi e delle attività degli utenti privilegiati.
Mi parve un’approccio estremamente illuminato, e al quale non avevo ancora pensato: sebbene, secondo il rapporto"Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector", solo il 23% delle frodi interne viene commesso da impiegati in posizione tecnica – e solo il 17% degli insider possedeva un accesso da amministratore del sistema –, la minaccia potenziale di chi opera nei sistemi informativi è per l’azienda sicuramente più alta, perché meno tracciabile.
E avere una garanzia che permetta al direttore dei sistemi informativi di poter tracciare anche le attività delle applicazioni non di business costituisce una tutela per gli impiegati, oltre che per l’azienda stessa, ovviemante. Poter dire “tutte le operazioni verso il mainframe sono tracciate” permette all’azienda di considerare tutti gli impiegati sullo stesso livello, di liberare dal sospetto chi lavora nell'IT e, infine, di non avere aree grigie dove non poter investigare in caso di problema.
Ed è quindi salutare anche per gli impiegati passare da un’area grigia a un’area dove c’è più trasparenza.
Nessun commento:
Posta un commento