Enrico Boverino, Sr Manager Global Solution Consultants – Global Accounts SEMEA di VMware, svela il nesso tra sicurezza e reputazione delle aziende.
Cosa puoi fare in un minuto? In 30 secondi? In un secondo?
Michael Lewis è famoso per aver scritto nel suo libro Flash Boys dell’importanza delle piccole unità di tempo nel creare vantaggi significativi. Lewis mette in evidenza le masse di dati sensibili che viaggiano attraverso connessioni ultra veloci sulle grandi reti, con gli operatori finanziari che devono riuscire a vedere gli ordini prima che vengano messi in esecuzione. Questo minuscolo vantaggio, consentito dai progressi tecnologici, secondo Lewis è sufficiente per superare i concorrenti e trasformare i programmatori informatici nei più grandi player di Wall Street.
La tecnologia ha ridefinito i margini di competizione per i trader – tanto che le banche stanno diventando aziende IT con una licenza bancaria – e questo ha rivoluzionato il modo in cui le banche gestiscono e proteggono fondi e transizioni da miliardi di dollari. Ma con un settore che continua radicalmente a trasformarsi, come possono i servizi finanziari continuare a fornire la sicurezza necessaria al ritmo necessario per innovare e superare la concorrenza – anche se si tratta di un millesimo di secondo – per mantenere alta la propria reputazione e guidare la crescita?
Mantenere la reputazione intatta
La reputazione è una delle tre più grandi sfide delle istituzioni finanziarie, insieme ai clienti e alla concorrenza. Tutte e tre hanno un impatto sulla redditività di un’azienda e sono basate sull’elemento essenziale della fiducia, che è indissolubilmente legato alla sicurezza IT.
In primo luogo, la sicurezza dei dati; i servizi finanziari devono chiedersi se i loro clienti si sentono sicuri e si fidano della banca. Le conseguenze derivanti dall’omissione di questo passaggio possono essere enormi. A settembre, Unicredit, la più grande banca italiana, ha ammesso che gli hacker hanno rubato dati anagrafici e di prestito a 400mila clienti, mentre i furti di dati a organizzazioni di servizi finanziari del Regno Unito hanno registrato un balzo quasi del 25% l’anno scorso (e questi risultano dalle sole aziende che hanno riportato la violazione all’Information Commisioner’s Office). I clienti tenderanno ad allontanarsi dalle aziende al cui interno vengono compromessi i dati personali – basti pensare alla perdita da parte di Talk Talk di 101mila clienti dopo l’attacco hacker dell’ottobre 2015.
Per capire meglio dove sono i dati e come vengono protetti, le aziende dovrebbero guardare più in profondità alla sicurezza della propria infrastruttura. I modelli legacy di protezione della rete unicamente perimetrale non sono più sufficienti per far fronte alla complessità, alla varietà e al ritmo degli attacchi. Al contrario, le aziende necessitano di un software onnipresente all’interno dell’infrastruttura con endpoint indipendenti dall’infrastruttura o dall’ubicazione fisica. Questo consentirà all’azienda di avere visibilità sulle interazioni tra utenti e applicazioni e, pertanto, di comprendere meglio quali siano i servizi di sicurezza necessari.
Anche la disponibilità dei servizi è un punto chiave della reputazione delle banche. Gli utenti richiedono più servizi, più veloci, che mettano reale pressione alle aziende – tanto che il 71% dei professionisti di sicurezza IT britannici ammette che la propria organizzazione stanzia fondi per proteggere le applicazioni e i sistemi. Mentre le aziende devono rispondere rapidamente, i responsabili IT devono assicurarsi che ogni aspetto del processo sia sicuro. Questo può comportare un ambiente zero-trust, dove la fiducia deve essere stabilita tra utenti, device e servizi cloud – a volte questo può essere gestito tramite accesso e monitoraggio role-based, così come identità unificata e gestione dei device. La disponibilità di servizi è fondamentale; molte banche sono state vittime recenti di attacchi DDoS (distributed-denial of service), impedendo ai clienti di accedere ai propri account online o addirittura di prelevare denaro dagli sportelli automatici, allontanando nuovamente i clienti e compromettendo la reputazione.
Oltre a tutto ciò, l’entrata in vigore del regolamento generale sulla protezione dei dati (GDPR) e la direttiva PSD2, rendono la compliance e la regolamentazione ancora più importanti in un settore già fortemente regolamentato. Le aziende possono usare le nuove normative a proprio vantaggio come strumento di marketing; guadagnando la fiducia di nuovi clienti che vogliono assicurarsi che i loro dati risiedano in un particolare territorio. Da un punto di vista IT, rimane fondamentale per le aziende che vogliono essere viste dai loro clienti come sicure affrontare potenziali lacune nei dati attraverso forti verifiche di identità, un accesso role-based ai dati sensibili e policy di sicurezza che limitano il trasferimento di dati attraverso reti non autorizzate.
Infine, e non dovrebbe essere sottovalutato, è fondamentale il potere innovativo di un’organizzazione di servizi finanziari. Semplicemente, la tua banca è vista come innovatrice o no? Al giorno d’oggi, in cui sono presenti competitor fintech agili, è necessario che lo sia. Essere al sicuro dal punto di vista della sicurezza IT aiuterà le aziende a innovare e offrire nuovi servizi a velocità che prima non erano possibili. Per esempio, Bank Leumi, principale banca di Israele, ha lavorato con Temenos e VMware per creare una piattaforma bancaria digitale avanzata. Questa aiuta le banche, i grandi retailer e i nuovi operatori in tutto il mondo ad accelerare in modo significativo il time-to-market di una soluzione mobile banking e consente la rapida introduzione di nuove funzionalità. Naturalmente, la sicurezza è un punto chiave e la gestione della soluzione sulla piattaforma di Temenos sull’infrastruttura cloud di VMware fornisce un ambiente sicuro, sia on-premise che nel cloud pubblico.
Usare la sicurezza per gestire la reputazione e il rischio
In definitiva, la reputazione nei servizi finanziari dipende ora dal concetto di rischio. Sono finiti i tempi della sicurezza basata sull’infrastruttura: è necessario un approccio basato sul rischio e su applicazioni per proteggere rapidamente questo nuovo mondo bancario.
È diventato davvero difficile difendere ogni attacco, così le organizzazioni devono concentrarsi su cosa è conosciuto come “bene”, senza cercare di scovare il “cattivo” – le minacce nuove e sconosciute che affrontano ogni giorno le aziende. Avere l’intelligenza per capire che questo ‘buono’ significa non avere congetture, fornire una completa consapevolezza di quali cambiamenti nell’intero patrimonio sono legittimi e quali sono possibili minacce. Accanto a questo, la creazione di segmenti di rete granulari può garantire che ogni parte dell’ambiente abbia la propria sicurezza, riducendo la superficie di attacco dell’azienda in modo che possa proteggersi meglio dagli attacchi.
I servizi finanziari non possono permettersi di fare a meno della visibilità e del controllo end-to-end, dal dispositivo al data center. Questa strategia chiamata “security-everywhere” può quindi fungere da spina dorsale organizzativa, sostenendo l’innovazione sicura a un ritmo reale in un settore i cui margini sono spesso pochi, per garantire il giusto equilibrio tra reputazione, rischio e, infine, guadagno.