Gli algoritmi al centro della sfida cyber
Insight
158 anni di storia, una rete di oltre 12.800 Uffici Postali, circa 130 mila dipendenti: Poste Italiane rappresenta oggi la più grande realtà del comparto logistico in Italia ed è leader nel settore finanziario, assicurativo e dei servizi di pagamento.
Per un sistema così articolato e un business che tratta dati e informazioni riservate e sensibili, il tema della sicurezza, e in particolare del Data Breach, è ovviamente di importanza fondamentale.
Per garantire un efficace presidio di questi temi a livello di Gruppo l’azienda ha centralizzato le funzioni di sicurezza nella funzione di Tutela Aziendale.
In questo contesto il CERT, divisione di Tutela Aziendale, si è rivolto a noi per capire in primo luogo come raccogliere informazioni provenienti da oltre 100 sistemi informatici diversi, con migliaia di flussi batch e real-time, e in secondo luogo comprendere il livello di servizio con cui l’organizzazione risponde alle varie minacce.
Solution
Per rispondere a questa sfida è stato progettato un Data Lake capace di integrare, su un’unica piattaforma, le numerose sorgenti e silos informativi collegati ad aspetti di sicurezza.
In parallelo sono state definite modalità di data mapping delle sorgenti informative e delle politiche di Data Governance che si applicassero al patrimonio informativo, identificando chiaramente dei data steward e dotandoli di strumenti appositi.
Per individuare le situazioni anomale all’interno dei fenomeni sotto osservazione, sono stati costruiti algoritmi in grado di segnalare anomalie alle funzioni aziendali competenti per le verifiche del caso.
La operazionalizzazione di questi algoritmi eseguiti su base settimanale su miliardi di record, permette al CERT di Poste Italiane di tenere sotto controllo svariate tipologie di fenomeni: dal Data Breach, agli utilizzi atipici delle diverse applicazioni digitali.
Benefit
La soluzione ha portato il Computer Emergency Response Team a cambiare completamente i propri processi interni, grazie ad una guida data driven. Questa evoluzione ha generato un approccio diverso alla realizzazione di qualsiasi processo, identificando come principio guida della delivery cybersecurity il «week win», ossia il miglioramento all’interno di una settimana di uno dei KPI sotto osservazione.
Le evoluzioni future comprendono l’integrazione di ulteriori dati esterni sul Data Lake e il loro utilizzo per valutare più organicamente i fenomeni sotto osservazione, ma anche l’integrazione dei dati di usage delle infrastrutture afferenti Office 365 al fine di valutare eventuali anomalie comportamentali.
