Fortify per un codice sicuro: la scelta delle banche
Un importante Gruppo di Credito italiano, con il supporto di Join Business Management Consulting, sceglie le soluzioni Fortify per rafforzare la sicurezza dello sviluppo applicativo, eliminare le vulnerabilità del codice e conformarsi ai prossimi obblighi normativi previsti dal Regolamento DORA.
Oggi gli operatori del settore finanziario devono ottemperare a molteplici dettami normativi: tra i più recenti vi è il Digital Operational Resilience Act (DORA), regolamento UE sulla resilienza operativa digitale che promuove la convergenza a livello europeo circa i requisiti di sicurezza che gli enti finanziari devono adottare a tutela dei propri sistemi.
L’impatto del DORA sulle aziende del mondo Finance
La nuova disciplina, entrata in vigore il 16 gennaio 2023, concede agli Stati membri un termine di 24 mesi per il suo recepimento. Il DORA si applicherà non solo agli enti finanziari tradizionali – banche, imprese di investimento, assicurazioni – ma anche alle aziende che trattano cripto-asset e a chi fornisce servizi cloud alle realtà sopra indicate.
Il regolamento prevede strumenti per la classificazione e segnalazione degli incidenti ma soprattutto punta sulla prevenzione, laddove al Capo IV (Test di resilienza operativa digitale) richiede alle aziende interessate l’esecuzione di una serie completa di adeguati test di sicurezza: tra cui individuazione e valutazione delle vulnerabilità, analisi open source ed esami del codice sorgente.
Inoltre, prevede che le entità finanziarie svolgano puntuali attività di Vulnerability Assessment prima di introdurre nuovi servizi o di aggiornare quelli esistenti; e che sottopongano a test tutte le applicazioni e i sistemi critici con cadenza almeno annuale.
Le esigenze del Gruppo di Credito e le soluzioni Fortify
In questo contesto un importante Gruppo di Credito italiano si è posto l’esigenza di integrare, all’interno del ciclo di sviluppo del software, strumenti di test adeguati ad aumentare il livello di resilienza delle proprie soluzioni software, anche per adeguarsi al regolamento DORA.
Per essere supportato in questo compito ha deciso di affidarsi a Join Business Management Consulting, società di consulenza strategica e manageriale italiana nata nel 2013, classificata tra le realtà in più rapida crescita in Europa da autorevoli testate quali Financial Times e Il Sole 24 Ore.
“Abbiamo, inizialmente, effettuato un’analisi di mercato per identificare le soluzioni che rispondevano ai requisiti del cliente, come l’esigenza di introdurre meccanismi di analisi statica del codice all’interno del ciclo di vita delle applicazioni – spiega Maurizio Garofalo, Head of Risk, Compliance e Cybersecurity Practice di Join Business Management Consulting. Tra queste abbiamo identificato Fortify by OpenText come la migliore soluzione per le esigenze del Gruppo bancario. Infatti, oltre a rispondere ai criteri individuati, Fortify risultava preferibile alle altre soluzioni sotto molteplici aspetti. Innanzitutto per il superiore livello di affidabilità e ricchezza di funzionalità, che provengono dal fatto di essere una soluzione consolidata, riconosciuta come leader di mercato da tutti gli analisti: Gartner, Forrester, IDC e G2. Altri aspetti rilevanti nella scelta sono stati l’elevato numero di linguaggi supportati e la possibilità di utilizzare il servizio di test sia in modalità on-premise, per un agevole inserimento nell’infrastruttura del ciclo di sviluppo, sia come servizio flessibile in cloud. Tutto ciò a un costo non superiore a quello di soluzioni meno performanti.”
Fortify by OpenText è una suite di soluzioni inclusiva ed estensibile per la protezione delle applicazioni che vanta due decenni di esperienza e miglioramento continuo. Le soluzioni Fortify consentono di gestire il ciclo di vita delle applicazioni mettendo a disposizione funzionalità di test statico (Static Application Security Testing o SAST), test dinamico (Dynamic Application Security Testing o DAST) e di Software Composition Analysis o SCA (indispensabili per garantire la sicurezza dei componenti open source).
Grazie a una sofisticata tecnologia di intelligenza artificiale, Fortify permette di eseguire controlli di sicurezza automatizzati sul codice sin dalla fase di scrittura / sviluppo dello stesso, suggerendo le modifiche richieste per inibire la presenza di possibili vulnerabilità: “una famiglia di soluzioni pensata per proteggere in modo automatizzato, concreto ed efficace le applicazioni, partendo dal momento del loro sviluppo, per estendersi fino al termine del loro ciclo di vita” – spiega Pierpaolo Alì, Director Southern Europe, CEE & Israel di OpenText Cybersecurity. “Questo livello di protezione favorisce l’applicazione di modelli di sviluppo DevSecOps e il rispetto della conformità normativa in molteplici ambiti, incluso quello finanziario”.
Il progetto per la messa in sicurezza del codice
L’avvio del progetto ha visto l’utilizzo della soluzione Fortify on Demand (FoD) per poi prevedere l’acquisizione di una serie di licenze della versione on-premise, al fine di integrare nel processo di sviluppo applicativo le citate funzionalità di controllo automatizzato del codice con correzioni in tempo reale.
Il livello di adozione si è progressivamente ampliato fino a raggiungere una settantina di licenze della soluzione in versione on-premise e oltre cento “gettoni” per attivare test tramite FoD.
Ad oggi la strategia implementata ha pienamente risposto alle aspettative del Gruppo di credito, che sta considerando la possibilità di affiancargli alcune soluzioni della famiglia Voltage by OpenText per la sicurezza dei dati.
La soluzione Fortify svolge attualmente un ruolo centrale nei tre diversi ambiti di sviluppo che interessano il Gruppo di Credito:
- il primo è relativo allo sviluppo delle applicazioni di home banking e della relativa App, utilizzata per l’accesso tramite dispositivo mobile;
- il secondo riguarda lo sviluppo delle applicazioni che regolano il sistema informativo del Gruppo e che forniscono l’operatività a 180 Istituti collegati;
- la “terza fabbrica di sviluppo” in cui viene utilizzato Fortify è relativa alla componente di monetica, ovvero al mondo delle carte di debito/credito/prepagate.
Il Gruppo si avvale anche della soluzione per la cifratura e tokenizzazione dei dati di pagamento Voltage SecureData Payments, che semplifica la conformità ai requisiti PCI, proteggendo i dati delle carte di credito nelle applicazioni di e-commerce e nei pagamenti via Web o da dispositivo mobile.
Fortify on Demand, un alleato nella relazione con i fornitori di software
Attualmente, Fortify sta contribuendo alla sicurezza del Gruppo di Credito italiano verificando e correggendo ogni componente software nelle sue fasi di sviluppo, prima che questo entri in produzione.
All’interno delle tre “fabbriche” interne, in cui vengono utilizzati linguaggi di sviluppo predefiniti, il Gruppo di Credito utilizza Fortify in modalità on-premise.
La versione on-demand (FoD) viene invece utilizzata per tutto ciò che riguarda le restanti componenti applicative, nonché per i software che provengono da fornitori esterni o commerciali.
FoD infatti semplifica i protocolli di fornitura di software da parte di soggetti esterni, spesso piccole software house specializzate nel settore bancario. Il Gruppo di Credito ha la possibilità di offrire ai fornitori l’accesso ai test FoD per effettuare una scansione di sicurezza: questo fornisce alla banca una certificazione indipendente del livello di sicurezza e vulnerabilità del software senza dover richiedere al fornitore di interagire col codice sorgente, che costituisce una proprietà intellettuale protetta, così coniugando i requisiti di cyber security & compliance con la protezione del proprio know-how aziendale.