AZIENDA

CSE, Consorzio Servizi Bancari, nasce nel 1970 come centro meccanografico, ed è stato il primo Consorzio di servizi informatici di Banche e per Banche; oggi fornisce servizi di outsourcing informatico integrati da servizi di consulenza organizzativa, formazione e processing outsourcing. CSE ha sviluppato e ampliato nel tempo le proprie competenze ed oggi si pone come fornitore di soluzioni end – to – end per il mondo bancario e finanziario in generale. In linea con la propria offerta, CSE dispone di esperienze diversificate e di team specifici focalizzati su precisi ambiti, con circa 900 risorse di cui 250 esterne. È una fucina di giovani talenti (oltre il 60% laureati) con un’età media molto bassa, bilanciata tuttavia da una quota di figure senior che, all’entusiasmo e alla capacità di innovazione dei giovani, abbinano la forza della pluriennale esperienza, dando vita così a un mix ottimale di competenze.

CONTESTO ED ESIGENZA

CSE, grazie alla ricerca costante e ad un pool di competenze diversificate e specializzate, è in grado di supportare i Clienti nell’affrontare le evoluzioni tecnologiche del sistema bancario, finanziario, che, determinando un cambiamento nelle esigenze dell’utenza finale, richiedono alla Banca grande flessibilità e capacità di soddisfare esigenze progressivamente più complesse che sfociano in misura sempre maggiore nella domanda di servizi digitali. In tale contesto di riferimento, uno degli obiettivi che si è prefissato l’azienda è la sempre maggiore attenzione ai temi della sicurezza delle informazioni trattate per garantire la protezione del proprio patrimonio informativo, la conformità a leggi e regolamenti, la qualità e la sicurezza dei servizi offerti ai propri clienti, la tutela di tutti gli stakeholder. In particolare, vi è una forte attenzione all’utilizzo delle informazioni critiche e riservate dell’organizzazione, in particolare mediante il controllo della forma di dati non strutturati e il presidio di tematiche relative alla Data Governance & Loss Prevention. CSE è d’altra parte consapevole del fatto che l’implementazione efficace di soluzioni tecnologiche di questo tipo debba essere preceduta da un’appropriata attività di analisi su quali siano i dati critici, dove siano collocati e quali flussi seguano all’interno dei processi aziendali, per evitare il rischio di produrre da un lato troppi falsi positivi o, all’opposto, non rilevare eventuali violazioni della sicurezza dei dati.

PROGETTO IMPLEMENTATO

In tale ottica, CSE ha portato avanti insieme al Gruppo Lutech un progetto di “Data Classification, Labeling and Security Requirements” che si è posto i seguenti obiettivi:

• classificare le informazioni critiche;
• etichettare le informazioni secondo lo schema di classificazione stabilito;
• stabilire i requisiti di sicurezza delle informazioni in base al livello di classificazione assegnato.

Con il supporto di Lutech CSE ha innanzitutto individuato:

• i parametri attraverso i quali definire il valore della riservatezza delle informazioni a partire dagli impatti finanziari, reputazionali, legali e di tipologia degli eventuali dati personali presenti;
• i criteri con cui derivare dal valore delle informazioni i livelli di criticità e le conseguenti tipologie e modalità di etichettatura dei documenti che le contengono;
• le regole di protezione da applicare per le tipologie di documenti contenenti informazioni per ognuna delle etichette definite in termini di azioni consentite o non consentite.

Si è quindi successivamente proceduto alla definizione di una checklist utilizzata per il censimento dei dati e delle informazioni critiche, che è stata realizzata attraverso interviste rivolte ai responsabili e referenti delle varie aree aziendali. Il censimento ha permesso di individuare le informazioni trattate nell’ambito dei processi gestiti delle diverse aree aziendali, valutarne il valore e quindi la criticità, ed etichettarle in base ai criteri individuati. Con le opportune integrazioni da parte del personale IT, sono stati censiti i formati di dati e documenti utilizzati, i repository dove sono conservati, i flussi dei dati previsti dai processi e i diversi attori che intervengono nelle varie fasi. I dati raccolti sono stati quindi analizzati ed elaborati per arrivare al risultato finale, ovvero un cruscotto contenente le seguenti informazioni:

• l’enumerazione e la caratterizzazione dei dati critici;
• la label che caratterizza il livello di criticità;
• i processi legittimi di trattamento;
• i requisiti di sicurezza e le azioni consentite o non consentite.

BENEFICI RISCONTRATI

Il progetto ha permesso a CSE di raggiungere una maggior consapevolezza di quale siano le informazioni critiche trattate dall’azienda nell’ambito dei propri processi di business, quali siano i flussi di dati, i percorsi che effettuano, la loro localizzazione, il loro utilizzo da parte degli utenti e le misure di protezione che devono essere implementate. Tali risultati sono utili per individuare falle nei processi di business e renderli più sicuri. Oltre a ciò, il progetto attuato costituisce un presupposto indispensabile per l’implementazione efficace di strumenti tecnologici di data protection di varie tipologie, come soluzioni di cifratura dei dati, di Data Governance o di Data Loss Prevention. Attraverso queste tipologie di strumenti è possibile rilevare dati senza le adeguate protezioni, prevenire e/o bloccare azioni non lecite da parte degli utenti autorizzati, rilevare dati critici in posizioni diverse rispetto a quelle previste dai processi, informare gli utenti e/o i responsabili aziendali nei casi in cui vengano rilevate azioni non consentite e, in ultima istanza, garantire la riservatezza delle informazioni critiche.

EVOLUZIONI FUTURE

CSE intende utilizzare i risultati del progetto di Data Classification, Labeling and Security Requirements per attuare le misure di protezione individuate sui dati non strutturati. Nello specifico, è previsto l’utilizzo di strumenti già acquisiti da CSE per andare ad attuare sia l’etichettatura dei documenti, sia la protezione dei documenti stessi. L’utilizzo di tecnologie di DRM combinate con l’etichettatura dei documenti permette infatti di implemen tare la protezione all’interno del documento stesso e delimitare il campo di azione di ogni utente autorizzato a trattare il documento. Per completare il raggio d’azione delle misure di protezione implementate sui dati non strutturati, CSE intende inoltre affiancare agli strumenti già acquisiti una soluzione di Data Loss Prevention (DLP) in grado di trattare le etichette individuate ed applicate dalla tecnologia di cui sopra in modo da proteggere la riservatezza dei dati monitorando i canali attraverso i quali i dati possono essere trasferiti (email, web, storage USB, stampa, ecc.), rilevando e/o bloccando le operazioni non consentite e avvertendo l’utente e/o il responsabile dell’avvenuta violazione.