{"clientID":"8f0f2457-784e-48e4-98d6-0415047ebc97","signature":"1b7d588a5acbce37f866186501ec2d14f26b16f94bbb11b0017b314f918129da","encryption":"d00eb0e03501a6b3d0ffac2db4d56565","keyID":"494d1aae-e754-42bc-1137-9a9628244ec6","user":"C1AAFC8C323DFDA567B3CD7D0E48C3DD"}

CSIRT - Cyber Security Incident Response Team

Intesa Sanpaolo ha istituito il CSIRT, Cyber Security Incident Response Team, con la mission di intercettare e analizzare le minacce e gli incidenti cyber che possono comportare impatti potenziali sul Gruppo, valutare questi eventi in ambito cyber security e fornire indicazioni e raccomandazioni tempestive alla sua Constituency.

La nostra Mission

La mission del CSIRT di Intesa Sanpaolo consiste in:

  • Identificare mediante una costante attività di Threat intelligence le minacce che possono comportare impatti potenziali sul Gruppo Intesa Sanpaolo;
  • Identificare mediante una costante attività di Threat Intelligence gli incidenti che si sono verificati e che hanno comportato impatti sul Gruppo Intesa Sanpaolo;
  • Valutare il panorama delle minacce e coordinare le risposte in modo da prevenire gli impatti potenziali sul Gruppo;
  • Mantenere informata la constituency del Gruppo sulle potenziali minacce e sulle tattiche, tecniche e procedure (TTPs) degli attaccanti, possibilmente prima che queste vengano sfruttate attivamente;
  • In caso di incidente, operare a stretto contatto con le competenti funzioni aziendali interne e gli stakeholders e garantire la valutazione degli impatti, la definizione ed il corretto indirizzamento delle azioni di risposta e l'efficacia del remediation plan;
  • Sviluppare attivamente e promuovere un network di information sharing tra la constituency e con gli stakeholder esterni a livello nazionale e internazionale.
Ambito di competenza

ISP-CSIRT assicura il supporto alla gestione delle minacce e degli incidenti potenzialmente critici che accadono nel Gruppo Intesa Sanpaolo. Il livello di supporto fornito da ISP-CSIRT varia in funzione della tipologia e della gravità dell'incidente, degli impatti conseguenti, del perimetro e dei targets coinvolti/interessati.

ISP-CSIRT si impegna anche a mantenere informata la propria constituency sulle minacce potenziali e sulle tattiche, tecniche e procedure (TTPs) degli attaccanti tramite information sharing tramite la piattaforma CISP, possibilmente prima che queste vengano sfruttate attivamente.

Constituency

La constituency del CSIRT di Intesa Sanpaolo è costituita da tutte le entità del Gruppo Intesa Sanpaolo, incluse la Holding Company e le entità affiliate.

I membri della constituency operano principalmente nei seguenti Paesi: Italia, Russia, Albania, Repubblica Ceca, Slovenia, Slovacchia, Croazia, Romania, Egitto, Serbia, Bosnia Herzegovina, Ungheria e tutti gli altri Paesi in cui è presente il Gruppo Intesa Sanpaolo.

Servizi

II catalogo servizi di ISP-CSIRT è costruito sulla base di tre settori chiave: servizi di reazione, servizi proattivi e servizi di gestione, che si dividono nei seguenti ambiti:

  • Cyber Threat Surveillance
  • Cyber incident Response
  • Alerts & Warning
  • Information Sharing

ISP-CSIRT supporta e coordina la risposta agli incidenti in ambito cyber security all'interno della sua constituency, assicurandosi che questi siano gestiti in modo efficace ed efficiente. In caso di incidente, ISP-CSIRT fornisce supporto in relazione ai seguenti aspetti di incident management:

  • Triage dell'incidente/della minaccia
    • Raccolta, correlazione e analisi delle informazioni fornite dalle varie fonti;
    • Classificazione dell'incidente al fine di determinare la gravità complessiva dell'evento sulla base della valutazione di impatto, anche con il supporto delle funzioni aziendali e delle entità del Gruppo coinvolte.
  • Coordinamento dell'incidente/della minaccia
    • Coordinamento degli stakeholders, della comunicazione interna e del processo dell'escalation;
    • Identificazione delle opportune contromisure e coordinamento delle azioni di risposta degli stakeholders coinvolti;
    • Monitoraggio costante dell'evoluzione dell'incidente e dello stato di implementazione dei tasks assegnati.
  • Risoluzione dell'incidente/Attivazione contromisure per la minaccia
    • Supporto alle Entità interessate dall'evento per l'identificazione e l'implementazione delle contromisure appropriate;
    • Supporto per il ripristino di eventuali servizi colpiti al loro stato iniziale;
Come contattare il CSIRT

La modalità principale per contattare l'ISP-CSIRT è il canale email all'indirizzo csirt@intesasanpaolo.com.

La casella di posta è costantemente monitorata in orario d'ufficio: dal lunedì al venerdì, dalle 8.30 alle 17.00, fuso orario dell'Europa centrale (GMT+0100 e GMT+0200 dall'ultima domenica di Marzo all'ultima domenica di Ottobre), eccetto i giorni festivi in Italia.

Nel caso in cui un incidente debba essere segnalato al di fuori della Constituency dell’ISP-CSIRT, si prega di riportare le seguenti informazioni, utilizzando preferibilmente la posta elettronica crittografata:

  • Riferimenti del segnalante (nome, indirizzo e-mail, telefono);
  • Data e ora in cui l'evento si è verificato, se conosciuti;
  • Tipo di incidente;
  • Descrizione dell'incidente;
  • Indirizzo/i IP, FQDN(s) e ogni altra informazione tecnica rilevante con le opportune osservazioni;
  • Ogni artefatto o registro rilevante e relativo all'evento;

ISP-CSIRT supporta il Protocollo TLP (Traffic Light Protocol) relativo all'Information Sharing; l'informazione recepita con i tag WHITE, GREEN, AMBER o RED sarà gestita secondo le modalità previste.

ISP-CERT - Critical Event Readiness Team

Intesa Sanpaolo ha istituito il Critical Event Readiness Team (CERT) che, nella gestione degli eventi di sicurezza informatica e di continuità operativa, è responsabile della classificazione degli eventi e della segnalazione degli incidenti alle Autorità competenti. Inoltre, il CERT garantisce il coordinamento delle comunicazioni esterne che si rendesse opportuno effettuare a fronte degli eventi critici/emergenze e delle attività di identificazione delle opportune contromisure da attivare per mitigare gli impatti e assicurare la continuità del servizio al Cliente.

La nostra Mission

La mission del CERT di Intesa Sanpaolo consiste in:

  • Analizzare gli impatti economici, regolamentari e reputazionali reali e/o potenziali di un incidente di sicurezza informatica e di continuità operativa al fine di determinare il livello di gravità di un evento (classificazione dell’evento);
  • In base all’esito della classificazione, abilitare l’opportuno processo di escalation interna e di decision making al fine di definire le opportune strategie di risposta all’evento;
  • Gestire l’attività di segnalazione degli eventi critici/emergenze alle Autorità nazionali ed internazionali competenti, in conformità con i requisiti regolamentari tempo per tempo vigenti (Incident Reporting);
  • Coordinare le attività volte ad identificare le opportune contromisure predefinite da attivare per mitigare gli impatti derivanti da un evento e garantire la continuità del servizio al Cliente;
  • Garantire il coordinamento delle comunicazioni esterne verso i diversi stakeholder che si reputa opportuno effettuare in relazione alla specificità dell’incidente e alle contromisure attivate, assicurando l’uniformità e la consistenza delle comunicazioni effettuate.
Come contattare il CERT

La modalità per contattare il CERT di Intesa Sanpaolo è il canale e-mail all'indirizzo cert@intesasanpaolo.com.
La casella di posta è costantemente monitorata in orario d'ufficio: dal lunedì al venerdì, dalle 8.30 alle 17.00, fuso orario dell'Europa centrale, eccetto i giorni festivi in Italia.

{"toolbar":[]}