Tra la fine del 2018 e l’inizio del 2019 Banca Progetto ha iniziato un percorso come banca digitale non convenzionale, abbracciando il cloud su piattaforma AWS (Amazon Web Services) per far fronte alle mutevoli esigenze dei clienti e alle pressioni operative e, successivamente, con i volumi di dati sempre più crescenti, ha dovuto mettere in sicurezza l’intero sistema informatico installato.
Indice degli argomenti
Le esigenze
La scelta di un partner che condividesse la stessa vision sul cloud e che fosse in grado di confezionare un SOC (Security Operation Center) customizzato, in linea anche con le proprie dimensioni è ricaduta su S2E, azienda incline all’innovazione, all’eccellenza operativa, alla focalizzazione sul cloud – nonché per le sue competenze AWS (S2E è AWS Advanced Partner) – e, non ultimo, per l’attenzione agli elevati standard di sicurezza e conformità.
Gli istituti finanziari hanno due peculiarità: una è quella di una supply chain molto estesa con molte esternalizzazioni (per le carte di credito, per la gestione dell’anagrafica, per la CRIO documentale, per il CRM ecc.) e una legislazione molto ferrea a cui doversi attenere che contempla il Garante della Privacy, il DORA, la legislazione di Banca Italia e dell’EBA ecc., di conseguenza la complessità della supply chain e gli stringenti vincoli normativi diventano le priorità.
Banca Progetto, challenger bank controllata da BPL Holdco S.à.r.l. – veicolo di investimento riconducibile a Oaktree Capital Group e guidata da Paolo Fiorentino, è nata in un momento di profonda trasformazione del settore bancario italiano con l’obiettivo di diventare in breve tempo uno dei più rilevanti operatori nel mercato del credito alle famiglie e alle imprese.
Con sedi a Milano e Roma e una rete commerciale presente su tutto il territorio nazionale, Banca Progetto è specializzata nei servizi per le piccole e medie imprese italiane (oltre 6.000 clienti) e per la clientela privata (70.000 clienti in Italia tra conti deposito e cqs).
Si rivolge ai privati con prodotti di risparmio come i conti deposito, la Cessione del Quinto per dipendenti privati, dipendenti statali, pubblici, para pubblici e pensionati e alle PMI con finanziamenti a medio-lungo termine nonché factoring.
Una soluzione su misura
Insieme a S2E, Banca Progetto ha costruito un SOC con milioni di interazioni. La superficie di attacco nel mondo banking non riguarda solo il trattamento dei LOG, dei singoli apparati o delle utenze che vengono gestite ma è la supply chain e tutte le integrazioni in cloud on-premise che devono essere tracciate.
Questo permette di arrivare a un livello progressivo di cyber readiness (il più alto dei quattro livelli previsti) che consente alla banca di essere pronta per gestire un attacco. Inoltre, attraverso l’integrability è stato possibile interconnettere il SOC nell’ecosistema della infrastruttura della banca, in modo da poter interagire con tutti gli altri prodotti che utilizza per governare, e grazie alla changeability, è in grado di effettuare qualsiasi cambiamento all’interno della struttura in tempi rapidi.
I vantaggi
I principali vantaggi del SOC 2.0 per Banca Progetto sono stati quattro:
- Real digital transformation. Anche la cybersecurity diviene parte della trasformazione digitale della banca che si concretizza sia con il trasferimento delle macchine in cloud, sia con l’uso dei servizi nativi.
- Integrability. L’utilizzo degli strumenti SIEM in cloud consente la piena interazione con le fonti classiche di security operation e con gli strumenti di data governance (es: cloud security posture) integrandosi completamente con la visione cloud centrica dell’azienda.
- Changeability. Scalabilità, flessibilità e affidabilità ma non solo: è garantita anche la velocità negli eventuali cambiamenti e implementazioni dei servizi, derivanti dagli scenari e dai rischi nell’ecosistema della banca.
- Security by design. L’evoluzione del SOC in cloud applica il concetto di security by design ovvero automatizzando i controlli sulla sicurezza dei dati e sviluppando una solida infrastruttura IT, permette di migliorare la cyber resilience della banca stessa.
Siamo stati la prima banca italiana a migrare in cloud AWS – e i primi a portare uno strumento di cloud security posture specifico -, pertanto volevamo soprattutto un SOC 2.0 su misura per noi. E come il SOC, allo stesso modo, la scelta dell’azienda che implementa il servizio è stata fondamentale per avere un’esperienza performante e assolutamente protettiva dal punto di vista della cybersecurity. S2E è un partner che ha elevate competenze consulenziali.
Ci siamo trovati subito sulla stessa lunghezza d’onda perché hanno saputo condividere i nostri obiettivi e inoltre, la loro propensione alla trasformazione digitale ci permette di avere una cyber resilience performante.
Abbiamo ridisegnato completamente il SOC in modo da essere granulare e adattabile, scegliendo i sistemi SIEM di monitoraggio cloud native più duttili.
Il che ci ha consentito di evolvere le tipologie dei servizi e realizzare i processi di monitoraggio e tempi di risposta agli incidenti che sono oggi un decimo rispetto allo standard precedente. Inoltre, abbiamo un’operatività h24 non solo degli operatori del SOC stesso ma anche da parte dei tecnici che sono in grado di limitare gli stop down al massimo.
Grazie a questa partnership i benefici innovativi e tecnologici per Banca Progetto si traducono inoltre in maggior efficienza in diverse aree come:
- Nell’attività di gestione delle funzionalità di sicurezza legate all’infrastruttura IT (rete, sistemi e applicazioni) sia fisica sia in cloud.
- L’infrastruttura IT e la sua sicurezza vengono monitorate in real time al fine di individuare tempestivamente tentativi di intrusione, di attacco o di misure dei sistemi.
- I servizi sono finalizzati a migliorare il livello di protezione dell’organizzazione (security assessment, vulnerabilità assessment, early warning e security awareness.
