13.2.08

Autenticazione biometrica per le transazioni finanziarie: nuovo standard ISO

ISO ha appena pubblicato uno standard per aumentare la sicurezza delle transazioni finanziarie digitali.
Il nuovo standard, ISO 19092:2008, Financial services Biometrics Security framework, stabilisce le specifiche di sicurezza per l'implementazione e la gestione di tecnologie di identificazione biometrica allo stato dell'arte all'interno dell'industria finanziaria.

Lo sviluppo di tecnologie digitali ha portato a una proliferazione di transazioni elettroniche che hanno condotto una riduzione dei costi e a una grande efficienza: questi altissimi volumi espongono quindi la comunità finanziaria ai rischi di alterazioni accidentali o dolose, di alterazione o distruzione dei dati.
La necessità di un metodo di autenticazione più robusto ha portato i ricercatori a rivolgersi alla biometria, considerata sempre più un affidabile metodo di identificazione: utilizzando le impronte digitali, l'identificazione della voce, lo scan della retina o del viso, la biometria ha vantaggi come la convenienza e la facilità d'uso, la sicurezza e la non invasività.

Il nuovo standard ISO 19092:2008 descrive il framework di sicurezza per l'utilizzo della biometria nell'autenticazione all'interno dei servizi finanziari.

Per chi volesse saperne di più: http://www.iso.org/iso/catalogue_detail?csnumber=50145

4.2.08

Analizzare "virtualmente" l'impatto dei cambiamenti nelle IT operation

La maggior parte dei problemi che incontriamo nelle IT operation sono spesso conseguenza di un cambiamento dell'ambiente di produzione.
Ogni cambiamento introduce un rischio nella normale operatività, e, come molti di noi hanno sperimentato, non è scevro da problemi.
Ogni organizzazione IT, che sia di un'azienda o di un'istituzione, di un ente accademico o di una banca, ha le sue peculiarità, in termini operativi, ma anche in termini organizzativi.
Esistono certo le prassi del change management, ma la contestualizzazione in un ambiente operativo di produzione, che, nella maggior parte dei casi, è difforme dall'ambiente di test, è estremamente ardua.
Mantenere un ambiente di test sincronizzato con quello di produzione comporta dispendio di tempo e risorse, e quindi il rigore non è la prassi.
StackSafe, un'azienda americana ha meditato su queste problematiche e ha progettato un test center che permette di costruire ambienti di test dove importare "interamente" gli ambienti di produzione in una sandbox, in cui sarà possibile effettuare qualsiasi tipo di prova.
Il termine "interamente" virgolettato è d'uopo, poiché credo difficilmente proponibile una replica tout-court dell'ambiente di produzione per molte realtà, ovvero, ci si può tendere per approssimazioni successive.
ma l'idea è assolutamente innovativa e degna di nota.
Basandosi su Xen Hypervisor, StackSafe è in grado di creare ambienti virtuali ospitati per ora su Linux, ed entro la metà di febbraio anche su Windows 2003.
Pensate: potreste avere una "vera" replica dell'ambiente di produzione - una vera chimera per ogni responsabile delle IT operations - e sottoporlo a test funzionali, stress test, mitigare finalmente il rischio.
Sarà più semplice condurre analisi dell'impatto dei cambiamenti, analisi "What-if", valutazione dei problemi e dei guasti, test di integrazione di nuove componenti del sistema.
Una panacea per molti grattacapi, e un metodo per ridurre i rischi, tenendo però ben presente importanti istanze quali:
- l'impossibilità di creare ambienti di test in tutto e per tutto uguali agli ambienti di produzione;
- il confronto tra il costo dell'utilizzo della sandbox di Stacksafe e l'attuale costo dell'operatività di un ambiente di test. In entrambi i costi è necessario includere il costo dei rischi correlati - la parte più ardua da calcolare, naturalmente, ma che è imprescindibile da questa valutazione - che saranno ovviamente diversi e auspicabilmente inferiori nel caso di Stacksafe.

1.2.08

Violazioni alla sicurezza nelle banche: news

Non si è ancora sopito il clamore intorno alla frode che ha colpito Societe Generale, che altre due banche, in due diverse parti del globo, annunciano di aver subito violazioni alla propria sicurezza.

L'AP ci comunica che in Svezia, una gang di cybercriminali, aveva installato un particolare congegno sotto la scrivania di un impiegato: tale congegno permetteva di collegarsi remotamente al computer del dipendente, prendendone possesso e permettendo il trasferimento di denaro. L'attività è comunque stata bloccata in extremis dal dipendente stesso che ha scoperto il marchingegno dopo aver notato che il suo PC godeva di vita propria e cercava di effettuare un trasferimento di denaro.

BreachBlog afferma che negli States,a Forth Worth, Texas, OmniAmerican Bank ha annunciato di aver fermato una gang internazionale di hacker che avevano violato il sistema di e-banking e prelevato denaro dei clienti da numerosi sportelli Bancomat (o ATM) nell'Europa dell'Est, nel Regno Unito, in canada e a New York