La mission del CSIRT di Intesa Sanpaolo consiste in:

• Identificare mediante una costante attività di Threat intelligence le minacce che possono comportare impatti potenziali sul Gruppo Intesa Sanpaolo;
• Identificare mediante una costante attività di Threat Intelligence gli incidenti che si sono verificati e che hanno comportato impatti sul Gruppo Intesa Sanpaolo;
• Valutare il panorama delle minacce e coordinare le risposte in modo da prevenire gli impatti potenziali sul Gruppo;
• Mantenere informata la constituency del Gruppo sulle potenziali minacce e sulle tattiche, tecniche e procedure (TTPs) degli attaccanti, possibilmente prima che queste vengano sfruttate attivamente;
• In caso di incidente, operare a stretto contatto con le competenti funzioni aziendali interne e gli stakeholders e garantire la valutazione degli impatti, la definizione ed il corretto indirizzamento delle azioni di risposta e l'efficacia del remediation plan;
• Sviluppare attivamente e promuovere un network di information sharing tra la constituency e con gli stakeholder esterni a livello nazionale e internazionale.

ISP-CSIRT assicura il supporto alla gestione delle minacce e degli incidenti potenzialmente critici che accadono nel Gruppo Intesa Sanpaolo. Il livello di supporto fornito da ISP-CSIRT varia in funzione della tipologia e della gravità dell'incidente, degli impatti conseguenti, del perimetro e dei targets coinvolti/interessati.

ISP-CSIRT si impegna anche a mantenere informata la propria constituency sulle minacce potenziali e sulle tattiche, tecniche e procedure (TTPs) degli attaccanti tramite information sharing tramite la piattaforma CISP, possibilmente prima che queste vengano sfruttate attivamente.

La constituency del CSIRT di Intesa Sanpaolo è costituita da tutte le entità del Gruppo Intesa Sanpaolo, incluse la Holding Company e le entità affiliate.

I membri della constituency operano principalmente nei seguenti Paesi: Italia, Russia, Albania, Repubblica Ceca, Slovenia, Slovacchia, Croazia, Romania, Egitto, Serbia, Bosnia Herzegovina, Ungheria e tutti gli altri Paesi in cui è presente il Gruppo Intesa Sanpaolo.

II catalogo servizi di ISP-CSIRT è costruito sulla base di tre settori chiave: servizi di reazione, servizi proattivi e servizi di gestione, che si dividono nei seguenti ambiti:

• Cyber Threat Surveillance
• Cyber incident Response
• Alerts & Warning
• Information Sharing

ISP-CSIRT supporta e coordina la risposta agli incidenti in ambito cyber security all'interno della sua constituency, assicurandosi che questi siano gestiti in modo efficace ed efficiente. In caso di incidente, ISP-CSIRT fornisce supporto in relazione ai seguenti aspetti di incident management:

• Triage dell'incidente/della minaccia
  • Raccolta, correlazione e analisi delle informazioni fornite dalle varie fonti;
  • Classificazione dell'incidente al fine di determinare la gravità complessiva dell'evento sulla base della valutazione di impatto, anche con il supporto delle funzioni aziendali e delle entità del Gruppo coinvolte.
• Coordinamento dell'incidente/della minaccia
  • Coordinamento degli stakeholders, della comunicazione interna e del processo dell'escalation;
  • Identificazione delle opportune contromisure e coordinamento delle azioni di risposta degli stakeholders coinvolti;
    
  • Monitoraggio costante dell'evoluzione dell'incidente e dello stato di implementazione dei tasks assegnati.
• Risoluzione dell'incidente/Attivazione contromisure per la minaccia
  • Supporto alle Entità interessate dall'evento per l'identificazione e l'implementazione delle contromisure appropriate;
  • Supporto per il ripristino di eventuali servizi colpiti al loro stato iniziale;

La modalità principale per contattare l'ISP-CSIRT è il canale email all'indirizzo csirt@intesasanpaolo.com.

La casella di posta è costantemente monitorata in orario d'ufficio: dal lunedì al venerdì, dalle 8.30 alle 17.00, fuso orario dell'Europa centrale (GMT+0100 e GMT+0200 dall'ultima domenica di Marzo all'ultima domenica di Ottobre), eccetto i giorni festivi in Italia.

Nel caso in cui un incidente debba essere segnalato al di fuori della Constituency dell’ISP-CSIRT, si prega di riportare le seguenti informazioni, utilizzando preferibilmente la posta elettronica crittografata:

• Riferimenti del segnalante (nome, indirizzo e-mail, telefono);
• Data e ora in cui l'evento si è verificato, se conosciuti;
• Tipo di incidente;
• Descrizione dell'incidente;
• Indirizzo/i IP, FQDN(s) e ogni altra informazione tecnica rilevante con le opportune osservazioni;
• Ogni artefatto o registro rilevante e relativo all'evento;

ISP-CSIRT supporta il Protocollo TLP (Traffic Light Protocol) relativo all'Information Sharing; l'informazione recepita con i tag WHITE, GREEN, AMBER o RED sarà gestita secondo le modalità previste.

La mission del CERT di Intesa Sanpaolo consiste in:

• Analizzare gli impatti economici, regolamentari e reputazionali reali e/o potenziali di un incidente di sicurezza informatica e di continuità operativa al fine di determinare il livello di gravità di un evento (classificazione dell’evento);
• In base all’esito della classificazione, abilitare l’opportuno processo di escalation interna e di decision making al fine di definire le opportune strategie di risposta all’evento;
• Gestire l’attività di segnalazione degli eventi critici/emergenze alle Autorità nazionali ed internazionali competenti, in conformità con i requisiti regolamentari tempo per tempo vigenti (Incident Reporting);
• Coordinare le attività volte ad identificare le opportune contromisure predefinite da attivare per mitigare gli impatti derivanti da un evento e garantire la continuità del servizio al Cliente;
• Garantire il coordinamento delle comunicazioni esterne verso i diversi stakeholder che si reputa opportuno effettuare in relazione alla specificità dell’incidente e alle contromisure attivate, assicurando l’uniformità e la consistenza delle comunicazioni effettuate.