Un importante Gruppo di Credito italiano, con il supporto di Join Business Management Consulting, sceglie le soluzioni Fortify per rafforzare la sicurezza dello sviluppo applicativo, eliminare le vulnerabilità del codice e conformarsi ai prossimi obblighi normativi previsti dal Regolamento DORA.
Oggi gli operatori del settore finanziario devono ottemperare a molteplici dettami normativi: tra i più recenti vi è il Digital Operational Resilience Act (DORA), regolamento UE sulla resilienza operativa digitale che promuove la convergenza a livello europeo circa i requisiti di sicurezza che gli enti finanziari devono adottare a tutela dei propri sistemi.
La nuova disciplina, entrata in vigore il 16 gennaio 2023, concede agli Stati membri un termine di 24 mesi per il suo recepimento. Il DORA si applicherà non solo agli enti finanziari tradizionali – banche, imprese di investimento, assicurazioni – ma anche alle aziende che trattano cripto-asset e a chi fornisce servizi cloud alle realtà sopra indicate.
Il regolamento prevede strumenti per la classificazione e segnalazione degli incidenti ma soprattutto punta sulla prevenzione, laddove al Capo IV (Test di resilienza operativa digitale) richiede alle aziende interessate l’esecuzione di una serie completa di adeguati test di sicurezza: tra cui individuazione e valutazione delle vulnerabilità, analisi open source ed esami del codice sorgente.
Inoltre, prevede che le entità finanziarie svolgano puntuali attività di Vulnerability Assessment prima di introdurre nuovi servizi o di aggiornare quelli esistenti; e che sottopongano a test tutte le applicazioni e i sistemi critici con cadenza almeno annuale.
In questo contesto un importante Gruppo di Credito italiano si è posto l’esigenza di integrare, all’interno del ciclo di sviluppo del software, strumenti di test adeguati ad aumentare il livello di resilienza delle proprie soluzioni software, anche per adeguarsi al regolamento DORA.
Per essere supportato in questo compito ha deciso di affidarsi a Join Business Management Consulting, società di consulenza strategica e manageriale italiana nata nel 2013, classificata tra le realtà in più rapida crescita in Europa da autorevoli testate quali Financial Times e Il Sole 24 Ore.
“Abbiamo, inizialmente, effettuato un’analisi di mercato per identificare le soluzioni che rispondevano ai requisiti del cliente, come l’esigenza di introdurre meccanismi di analisi statica del codice all’interno del ciclo di vita delle applicazioni – spiega Maurizio Garofalo, Head of Risk, Compliance e Cybersecurity Practice di Join Business Management Consulting. Tra queste abbiamo identificato Fortify by OpenText come la migliore soluzione per le esigenze del Gruppo bancario. Infatti, oltre a rispondere ai criteri individuati, Fortify risultava preferibile alle altre soluzioni sotto molteplici aspetti. Innanzitutto per il superiore livello di affidabilità e ricchezza di funzionalità, che provengono dal fatto di essere una soluzione consolidata, riconosciuta come leader di mercato da tutti gli analisti: Gartner, Forrester, IDC e G2. Altri aspetti rilevanti nella scelta sono stati l’elevato numero di linguaggi supportati e la possibilità di utilizzare il servizio di test sia in modalità on-premise, per un agevole inserimento nell’infrastruttura del ciclo di sviluppo, sia come servizio flessibile in cloud. Tutto ciò a un costo non superiore a quello di soluzioni meno performanti.”
Fortify by OpenText è una suite di soluzioni inclusiva ed estensibile per la protezione delle applicazioni che vanta due decenni di esperienza e miglioramento continuo. Le soluzioni Fortify consentono di gestire il ciclo di vita delle applicazioni mettendo a disposizione funzionalità di test statico (Static Application Security Testing o SAST), test dinamico (Dynamic Application Security Testing o DAST) e di Software Composition Analysis o SCA (indispensabili per garantire la sicurezza dei componenti open source).
Grazie a una sofisticata tecnologia di intelligenza artificiale, Fortify permette di eseguire controlli di sicurezza automatizzati sul codice sin dalla fase di scrittura / sviluppo dello stesso, suggerendo le modifiche richieste per inibire la presenza di possibili vulnerabilità: “una famiglia di soluzioni pensata per proteggere in modo automatizzato, concreto ed efficace le applicazioni, partendo dal momento del loro sviluppo, per estendersi fino al termine del loro ciclo di vita” – spiega Pierpaolo Alì, Director Southern Europe, CEE & Israel di OpenText Cybersecurity. “Questo livello di protezione favorisce l’applicazione di modelli di sviluppo DevSecOps e il rispetto della conformità normativa in molteplici ambiti, incluso quello finanziario”.
L’avvio del progetto ha visto l’utilizzo della soluzione Fortify on Demand (FoD) per poi prevedere l’acquisizione di una serie di licenze della versione on-premise, al fine di integrare nel processo di sviluppo applicativo le citate funzionalità di controllo automatizzato del codice con correzioni in tempo reale.
Il livello di adozione si è progressivamente ampliato fino a raggiungere una settantina di licenze della soluzione in versione on-premise e oltre cento “gettoni” per attivare test tramite FoD.
Ad oggi la strategia implementata ha pienamente risposto alle aspettative del Gruppo di credito, che sta considerando la possibilità di affiancargli alcune soluzioni della famiglia Voltage by OpenText per la sicurezza dei dati.
La soluzione Fortify svolge attualmente un ruolo centrale nei tre diversi ambiti di sviluppo che interessano il Gruppo di Credito:
Il Gruppo si avvale anche della soluzione per la cifratura e tokenizzazione dei dati di pagamento Voltage SecureData Payments, che semplifica la conformità ai requisiti PCI, proteggendo i dati delle carte di credito nelle applicazioni di e-commerce e nei pagamenti via Web o da dispositivo mobile.
Attualmente, Fortify sta contribuendo alla sicurezza del Gruppo di Credito italiano verificando e correggendo ogni componente software nelle sue fasi di sviluppo, prima che questo entri in produzione.
All’interno delle tre “fabbriche” interne, in cui vengono utilizzati linguaggi di sviluppo predefiniti, il Gruppo di Credito utilizza Fortify in modalità on-premise.
La versione on-demand (FoD) viene invece utilizzata per tutto ciò che riguarda le restanti componenti applicative, nonché per i software che provengono da fornitori esterni o commerciali.
FoD infatti semplifica i protocolli di fornitura di software da parte di soggetti esterni, spesso piccole software house specializzate nel settore bancario. Il Gruppo di Credito ha la possibilità di offrire ai fornitori l’accesso ai test FoD per effettuare una scansione di sicurezza: questo fornisce alla banca una certificazione indipendente del livello di sicurezza e vulnerabilità del software senza dover richiedere al fornitore di interagire col codice sorgente, che costituisce una proprietà intellettuale protetta, così coniugando i requisiti di cyber security & compliance con la protezione del proprio know-how aziendale.
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…