Molti sono i requisiti normativi a cui devono ottemperare gli operatori del settore finanziario.
Tra i più recenti vi è il Digital Operational Resilience Act (DORA), il regolamento dell’Unione Europea sulla resilienza operativa digitale che promuove la convergenza a livello europeo in merito ai requisiti che gli enti finanziari devono adottare per innalzare la sicurezza dei propri sistemi digitali. Si applica non solo agli enti finanziari tradizionali quali banche, imprese di investimento e assicurazioni, ma anche alle aziende che trattano servizi di cripto-asset e a chi fornisce servizi cloud alle aziende sopra indicate. Entrato in vigore il 16 gennaio 2023 lascia 24 mesi agli stati membri per il suo recepimento.
DORA fornisce strumenti per la classificazione e segnalazione degli incidenti, ma punta anche sugli aspetti di sicurezza preventiva introducendo il Capo IV: Test di resilienza operativa digitale che richiede l’esecuzione di una serie completa di test adeguati, tra cui individuazione e valutazione delle vulnerabilità, analisi open source, esami del codice sorgente. Inoltre, prevede che le entità finanziarie effettuino valutazioni della vulnerabilità prima di ciascuna introduzione o reintroduzione di servizi nuovi o già esistenti e che sottopongano a test tutte le applicazioni e i sistemi critici con cadenza almeno annuale.
Le esigenze del Gruppo di Credito italiano
Un importante Gruppo di Credito italiano aveva l’esigenza di integrare, all’interno del proprio ciclo di sviluppo del software, strumenti di test adeguati al fine di aumentare il livello di resilienza delle proprie soluzioni software e predisporsi alla conformità al regolamento DORA.
Per supportarlo in questo compito, il Gruppo bancario ha deciso di affidarsi a Join Business Management Consulting, boutique di consulenza strategica e manageriale italiana nata nel 2013 e classificata negli ultimi 5 anni dal Financial Times e da Il Sole 24 Ore tra le realtà in più rapida crescita in Europa.
“Abbiamo, inizialmente, effettuato un’analisi di mercato per identificare le soluzioni che rispondevano ai requisiti del cliente, come l’esigenza di introdurre meccanismi di analisi statica del codice all’interno del ciclo di vita delle applicazioni – spiega Maurizio Garofalo Head of Risk, Compliance e Cybersecurity Practice di Join Business Management Consulting -. Tra queste abbiamo identificato Fortify by OpenText come la migliore soluzione per le esigenze del Gruppo bancario. Infatti, oltre a rispondere ai criteri cercati, Fortify risultava preferibile alle altre soluzioni sotto molteplici aspetti. Innanzitutto, per il superiore livello di affidabilità e ricchezza di funzionalità che provengono dal fatto di essere una soluzione consolidata, riconosciuta come leader di mercato da tutti gli analisti: Gartner, Forrester, IDC e G2. Altri aspetti che sono stati rilevanti nella scelta sono stati l’elevato numero di linguaggi supportati e la possibilità di utilizzare il servizio di test sia in modalità on-premise per un agevole inserimento nell’infrastruttura del ciclo di sviluppo sia come servizio flessibile in cloud. Tutto ciò a un costo non superiore a quello di soluzioni meno performanti”.
Fortify by OpenText è la suite di soluzioni inclusiva ed estensibile per la protezione delle applicazioni che vanta due decenni di esperienza e miglioramento continuo. Le soluzioni Fortify consentono di gestire il ciclo di vita delle applicazioni mettendo a disposizione funzionalità di test statico (Static Application Security Testing o SAST ), test dinamico (Dynamic Application Security Testing o DAST ) e di Software Composition Analysis o SCA (queste ultime indispensabili per garantire la sicurezza dei componenti open source).
Grazie a una sofisticata tecnologia di intelligenza artificiale, Fortify permette di eseguire controlli di sicurezza automatizzati sul codice mentre viene scritto, suggerendo le modifiche richieste per inibire la presenza di possibili vulnerabilità.
“Fortify by OpenText è una famiglia di soluzioni pensata per proteggere in modo automatizzato, concreto ed efficace le applicazioni, partendo dal momento stesso del loro sviluppo, per estendersi fino al termine del loro ciclo di vita – spiega Pierpaolo Alì, Director Southern Europe,CEE & Israel di OpenText Cybersecurity -. Questo livello di protezione favorisce l’applicazione di modelli di sviluppo DevSecOps e il rispetto della conformità normativa in molteplici ambiti, incluso quello finanziario”.
Il progetto
L’avvio del progetto ha previsto l’utilizzo della soluzione Fortify on Demand (FoD) per poi prevedere l’acquisizione di una serie di licenze della soluzione on-premise al fine di integrare nel processo di sviluppo applicativo le funzionalità di controllo automatizzato del codice con correzioni in tempo reale di Fortify. Il livello di adozione si è progressivamente ampliato fino a raggiungere una settantina di licenze della soluzione in versione on-premise e oltre cento “gettoni” per attivare test tramite FoD. A oggi la soluzione ha pienamente risposto alle aspettative del Gruppo di credito che sta considerando la possibilità di affiancargli alcune soluzioni della famiglia Voltage by OpenText per la sicurezza dei dati.
La soluzione Fortify svolge oggi un ruolo centrale nei tre diversi ambiti di sviluppo che interessano il Gruppo di Credito. Il primo è quello relativo allo sviluppo delle applicazioni di home banking e della relativa App che viene utilizzata per l’accesso tramite dispositivo mobile. Il secondo ambito di utilizzo riguarda lo sviluppo delle applicazioni che regolano il sistema informativo del Gruppo e che forniscono l’operatività a 180 Istituti collegati. La “terza fabbrica di sviluppo” in cui viene utilizzato Fortify è relativa alla componente di monetica ovvero legata al mondo delle carte di debito/credito/prepagate. Il Gruppo di Credito si avvale anche della soluzione per la cifratura e tokenizzazione dei dati dei pagamenti Voltage SecureData Payments, semplificando la conformità ai requisiti PCI e proteggendo i dati delle carte di credito nelle applicazioni di e-commerce e nei pagamenti via Web e da dispositivo mobile.
Fortify on Demand per favorire la relazione con i fornitori esterni di software
Attualmente, Fortify sta contribuendo a mettere in sicurezza il Gruppo di Credito italiano verificando e correggendo ogni componente software che viene sviluppato, prima che questo entri in produzione. All’interno delle tre fabbriche di sviluppo interne, in cui vengono utilizzati linguaggi di sviluppo predefiniti, il Gruppo di Credito utilizza Fortify in modalità on-premise.
La versione on-demand FoD viene, invece, utilizzata per tutto ciò che riguarda le restanti componenti applicative e nei confronti dei software che provengono da fornitori esterni o commerciali. FoD semplifica le procedure di fornitura di software da parte di soggetti esterni, costituiti, spesso, da piccole software house specializzate sul settore bancario. Il Gruppo di Credito, infatti, ha la possibilità di offrire ai fornitori esterni di software alla banca l’accesso ai test FoD per effettuare una scansione di sicurezza. Questo consente alla banca di ottenere una certificazione di sicurezza indipendente sul livello di sicurezza e vulnerabilità del software conforme ai propri requisiti, senza dover richiedere al fornitore di interagire col codice sorgente che costituisce una proprietà intellettuale protetta.