Sintesi di un percorso di 4 incontri con le aziende Idee, riflessioni, criticità da considerare, cose da fare

ZeroUno in collaborazione con Akamai, ha realizzato un percorso di 4 Tavole Rotonde dedicate alla sicurezza IT in Banche e Assicurazioni. La prima Tavola Rotonda ha approfondito la tematica del Cybercrime e dei metodi per contrastarlo; la seconda si è focalizzata sulla sicurezza nel Cloud; nella terza si è discusso come migliorare la Web experience dei clienti, e nella quarta ci si è concentrati su come impostare una strategia di security.

Durante gli incontri sono emersi spunti di riflessione e criticità, ma anche interessanti idee da considerare rispetto alle specificità delle aziende.
Di seguito ecco una sintesi dei principali punti emersi, così che la condivisione possa portare allo scambio di nuove interpretazioni per il futuro.

Pubblicato il 25 Mag 2015

1° TAVOLA ROTONDA – Come contrastare gli attacchi cybercrime

  • La security va portata nei tavoli progettuali, va cioè legata non alla fine ma all’inizio dei processi e inserita all’interno dei prodotti stessi; questo significa anche seguire un disegno strategico evitando, come spesso accade, di muoversi in modo solo reattivo, in risposta a problematiche già emerse.

  • I Ddos sono spesso sfruttati dagli hacker che svolgono la propria azione con finalità di protesta ideologica, ma sono ormai anche mezzi utilizzati come diversivo da chi si muove con fini di lucro. Molte aziende ancora li sottovalutano, sottostimando i danni in termini di immagine aziendale e di mancati guadagni.

  • È importante curare l’educazione alla sicurezza degli utenti per ovviare all’ingenuità che inevitabilmente emerge in molti dipendenti e che rende vano qualsiasi sforzo tecnologico.

  • È fondamentale riuscire a creare una community: la forte omertà da parte delle aziende e la comprensibile ritrosia nella condivisione delle informazioni legate alla natura degli attacchi subiti, si paga con l’impossibilità di capitalizzare, come si potrebbe, l’esperienza degli altri.

2° TAVOLA ROTONDA – Sicurezza nel cloud

  • Tra ciò che frena l’adozione del cloud ci sono i problemi di compliance: le normative del settore dettano regole scritte pensando a infrastrutture tradizionali, regole difficili da conciliare con le logiche molto diverse su cui si fonda la nuvola (es. quando viene richiesta per legge l’ubicazione dei data center del provider). Per avvicinarsi alle necessità del Finance, anche in termini di compliance, serve da parte del provider uno sforzo di personalizzazione dell’offerta rispetto alle esigenze del singolo cliente (in controtendenza rispetto alla standardizzazione cui il cloud tende), o almeno a quelle del settore per soddisfare esigenze del tutto peculiari di Banche e Assicurazioni.

  • Sono stati evidenziati tra i “costi nascosti” della nuvola quelli legati alle risorse umane: se infatti da un lato l’It, sfruttando la logica del servizio che il cloud offre, viene sgravato da una serie di compiti, dall’altro, spesso in nome proprio della compliance, si generano nuove necessità connesse al controllo delle procedure e delle modalità con cui il provider opera, che finiscono per impegnare pesantemente le risorse dei sistemi informativi, impedendo quel risparmio che potrebbe pesare positivamente sul calcolo del Tco.

  • La nuvola permette di mettere a fattor comune l’esperienza del singolo e di condividere le patch immediatamente, perché siano a disposizione di tutti: la singola azienda non può in prospettiva attrezzarsi autonomamente per combattere la minaccia rappresentata da un crimine informatico sempre più organizzato.

3° TAVOLA ROTONDA – Migliorare la Web experience dei clienti

  • L’equilibrio tra usabilità e sicurezza è quanto mai difficile: si sta alzando il grado di allerta rispetto al tema cybercrime anche tra gli utenti che iniziano ad avere una propria “cultura di sicurezza”, e al minimo dubbio sull’affidabilità di un servizio, tendono a ritirarsi; d’altro canto, soprattutto con la mobility, la velocità e la semplificazione dei sistemi è un’esigenza sempre più forte.

  • È importante stratificare il rischio studiando sistemi di accreditamento e di sicurezza che siano adeguati in base alla tipologia d’azione che l’utente compie e al conseguente rischio che si corre.

  • Per muoversi in modo mirato, serve capire bene quello che vuole il cliente, qual è la sua esigenza di business: è sufficiente “poco” per aumentare di molto i livelli di efficienza se si è in grado di individuare le priorità e lavorare in modo mirato.

4° TAVOLA ROTONDA – Gestione e sviluppo di una strategia di security

  • Secondo una survey realizzata da NetConsulting e ZeroUno, la figura del Cso (Chief Security Officer), è prevista solo nel 50% delle aziende finance. Un dato migliore rispetto a quello medio degli altri settori per cui la percentuale è solo del 33%. Dove non esiste questa professionalità, le problematiche di It security sono affidate al Cio, che potrebbe non avere le stesse competenze di uno specialista di sicurezza.

  • Per sviluppare strategie di sicurezza più a vasto raggio e realmente incisive, le aziende dovrebbero aumentare il ricorso a entità esterne – come team di ethical hacking e fornitori di cloud based security service – ed entrare in community specificatamente dedicate ad approfondire le problematiche legate alla sicurezza informatica.

  • La maggiore esposizione dei processi bancari in ambiti tecnologici più a rischio ha portato il settore Finance a essere un passo avanti rispetto a quello assicurativo nelle strategie e nelle politiche di sicurezza. Adesso anche il mondo insurance è sollecitato a una maggiore digitalizzazione e ad adottare gli stessi livelli si security degli istituti di credito.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

Prossimo

GenAI, dalla sperimentazione alla scalabilità: al centro la gestione di costi e dati