QUESTI SITO USA I COOKIES E TECNOLOGIE SIMILARI (vedi dettagli)

Se non cambi la configurazione del browser, sei d'accordo. 

Wed21May200313:00
2.4 Necessità di controlli e sicurezza
L’affidabilità, come condizione necessaria ed indispensabile per esaudire le richieste della clientela impone la necessità di controlli e di sicurezza.

L’attività bancaria è caratterizzata dalla presenza di apposite figure nell’organigramma aziendale preposte al controllo. Da sempre, in ogni azienda di credito esiste un servizio ispettorato che controlla strettamente l’attività espletata dalle varie funzioni aziendali al fine di verificare la rigorosa osservanza della normativa giuridica e di quella interna per salvaguardare il patrimonio aziendale. La formalizzazione dei controlli ha avuto il compito di dissuadere coloro che avrebbero potuto avvantaggiarsi di particolari informazioni.

Con l’avvento dei sistemi informativi automatizzati, si è reso necessario creare un apposito ufficio, chiamato auditing, destinato a monitorare il S.I. e, specificamente, la struttura preposta alla gestione dello stesso (generalmente chiamata sistemi e rete) e dei rapporti con gli utenti. 

Per coprire la funzione di auditing sono indicati gli addetti alla funzione organizzativa e non preposti alla gestione dei sistemi in modo che siano diversi da coloro che svolgono le attività di elaborazione e comunicazione dei dati .

L’auditing consente di garantire che nell’elaborazione dei dati i responsabili non trascurino nessuna attività e permette di porre in atto gli interventi necessari per migliorare i risultati. Affinché l’attività di auditing sia proficua occorre formalizzare gli standard da tenere in considerazione.

In concreto all’auditing non si deve riconoscere esclusivamente la funzione repressiva del tradizionale ispettorato bensì quella di elemento in grado di contribuire, proprio perché preposti al controllo, in modo propositivo alla rimozione delle anomalie verificate.

Il sistema informativo automatizzato rende la banca dipendente, come detto, dalle elaborazioni elettroniche, tanto che molte delle attività aziendali rimarrebbero paralizzate per un’improvviso blocco del centro elaborazione dati. Pertanto alle altre necessità si aggiunge la sicurezza, intesa come protezione da infiltrazioni esterne al sistema. 

Gli attacchi provenienti dall’esterno possono essere ricondotti a due cause: fisiche e logiche. Per sicurezza fisica s’intende la necessità di salvaguardare l’apparato aziendale dai rischi legati all’ambiente (quali i terremoti, alluvioni, attentati ecc.) e all’hardware. Tali rischi si fronteggiano con la sicurezza del luogo di lavoro, il controllo degli accessi fisici, la creazione sistematica di copie di salvataggio dei programmi e degli archivi, e la realizzazione di un piano, detto “disaster-recovery”, che consenta all’azienda di ripristinare l’operatività della stessa a poche ore dell’accaduto usufruendo di strutture localizzate in aree geografiche diverse e con tecnologie di comunicazione d’emergenza (ponti radio).

Con sicurezza logica s’intende la necessità di salvaguardare il sistema dall’intromissione di soggetti non autorizzati volti a distruggere con “virus” i programmi o ad avvantaggiarsi economicamente con trasferimenti di fondi illegali. Non avendo la possibilità di conoscere a priori gli eventuali aggressori occorre progettare un sistema che si avvalga dei sistemi di crittografia e dei controlli degli accessi. Con la crittografia si vuole rendere indecifrabile quanto trasmesso o ricevuto dall’esterno. Vista la capacità degli aggressori a decifrare i messaggi codificati occorre periodicamente modificare l’algoritmo di crittografia.

Con il controllo degli accessi si vuole attribuire a ciascun soggetto un “profilo” che lo distingua dagli altri, consentendogli di utilizzare esclusivamente le procedure necessarie per espletare la propria attività. Ad esempio l’operatore di sportello avrà l’accesso alle funzioni base della procedura di sportello, mentre il livello autorizzante per gli sconfini e i bonifici verrà attribuito al titolare della filiale. Il controllo degli accessi si concretizza con l’attribuzione della password segreta (da cambiare periodicamente) e la relativa responsabilizzazione dell’utente circa l’eventuale uso illegale. I tentativi di violazione, riepilogati giornalmente su appositi tabulati, sono sistematicamente rimessi all’auditing per gli opportuni controlli. 

Controlli e sicurezza incidono notevolmente sui costi dei sistemi informativi, infatti, occorre redigere appositi piani di “disaster - recovery ”, stipulare con società esterne appositi contratti volti ad assicurare la disponibilità di struttura d’emergenza, acquisire procedure per il controllo degli accessi che non conviene sviluppare in proprio.

tratto dalla tesi di laurea di Lucio Torre, dal titolo
"Aspetti e problemi dei sistemi informativi nelle aziende di credito"
Università degli studi di Salerno


Vai all'indice