La sicurezza come condizione necessaria per una web experience di qualità; la web experience come fattore imprescindibile per competere nell’era digitale.
Da sinistra: Valentina Bucci, giornalista ZeroUno, Luca Bechelli, Comitato direttivo e Comitato tecnico-scientifico del Clusit e Massimiliano Luppi, Major Account Executive – Finance di AkamaiNe parlano i professionisti di Banche e Assicurazioni insieme ai relatori dell’Executive Cocktail Finance, strategie di security e web experience, organizzato da ZeroUno in collaborazione con Akamai.
 | Di questo servizio fanno parte anche i seguenti articoli: |
 | LO SCENARIO – Finance, come si legano sicurezza e web experience |
|
| LA TECNOLOGIA – Akamai, quali offerte per il Finance digitale |
|
| LA SURVEY – Cybersecurity: a che punto sono banche e assicurazioni? |
Il segreto? Bilanciare protezione e usability
- “Bisogna cercare il trade-off – apre la discussione Luca Martinuz, Head of Information Security and Fraud Management di Finecobank -. Spesso si tende a spostare sull’utente gli oneri della sicurezza [ad esempio, con l’obbligo di inserire password e sottostare a sofisticati meccanismi di autenticazione, ndr], a discapito della user experience. Noi, invece, ci impegniamo a garantire la semplicità delle transazioni per il cliente, spostando sull’It la gestione della sicurezza”.
- La facilità d’uso è il cavallo di battaglia anche in Barclays Bank, come testimonia Antonio Polimeno, Head of Digital, Channels Adm and Information Integration della società al momento dell'evento: “All’utente chiediamo l’utilizzo del token solo per autorizzare transazioni, ma per l’accesso e operazioni ricorrenti sono sufficienti username e password. Tuttavia, oltre alla user experience, quando si parla di sicurezza, va posto l’accento sul tema importantissimo delle frodi interne: bisogna potenziare le procedure di acceso ai sistemi di backend e le misure di protezione contro il rischio di data leakage”.
- Davide Merico, It Security Department di Banca Intesa San Paolo, torna sul tema dell’equilibrio: “È sempre un lavoro di mediazione tra le esigenze di semplicità del cliente e le garanzie di sicurezza”, ricordando che le stesse logiche di usabilità sono state declinate anche per i servizi rivolti agli utenti interni.
Alcuni partecipanti all'executive cocktail durante il confrontoSecurity strategica, non obbligo normativo
- Francesco Tusino, It Infrastructure Manager di Cnp Assurance, pone l’accento sulla security che “non deve essere imposta dalle esigenze di compliance, ma percepita come fattore abilitante l’innovazione”. Viene citata la mancanza di organicità strategica: la sicurezza viene costruita a strati, attraverso soluzioni tattiche. “Esiste ancora un forte focus sugli investimenti in sicurezza perimetrale (quando i confini aziendali sono sempre più labili) piuttosto che in strategie di governance” aggiunge Tusino.
- “Difficile oggi pensare di difendersi disegnando un cerchio intorno a noi – chiosa Luca Bechelli, Comitato direttivo e Comitato tecnico-scientifico del Clusit -. Bisogna avere un approccio molto più business-oriented sui temi della sicurezza [l’affidabilità è la chiave per servizi digitali di successo, ndr], mentre oggi molte misure di protezione sono state adottate solo per compliance”.
- “Business e sicurezza – commenta Massimiliano Luppi, Major Account Executive – Finance di Akamai – fanno riferimento a metriche diverse [ad esempio, fino a oggi l’It ha soprattutto guardato alla continuità di servizio e alla protezione dei dati, le Lob alla qualità della user experience e alla velocità di delivery, ndr], ma devono convergere verso un obiettivo comune. La strategia digitale vincente è garantire all’utente la migliore esperienza d’uso, unendo affidabilità e performance. Il perimetro oggi è tutta Internet e lì bisogna applicare le misure di protezione: le minacce vanno bloccate il più vicino alla sorgente e il più lontano dalle porte di casa”.
Come progettare la nuova linea di difesa
La discussione si sposta sui nuovi modi di fare security. Ad esempio, si parla di protezione by design: sulla spinta delle nuove normative Ue, i servizi digitali andrebbero progettati tenendo in considerazione la sicurezza come fattore connaturato, già dall’ideazione.
- “La progettazione dei servizi va concepita a partire dalle performance – racconta Salvatore Di Francisi, Architetto Software Internet Banking di Unicredit Business Integrated Solutions -. Ci stiamo dotando di strumenti che permettono di capire se l’impatto sulla user experience sia dovuto al perimetro It interno o a criticità esterne, per esempio device e connettività dell’utente”.
-
Le tecnologie di difesa vanno decise anche in base alla valutazione degli elementi di rischio, per evitare dispiegamenti di risorse dove non necessario. Come nota Enrico Luigi Toso, Gto Regulatory Risk & Control Specialist di Deutsche Bank, a fronte di regolamentazioni sempre più stringenti che richiedono concentrazioni di investimenti in sicurezza, “sono le stesse normative, e in particolare quelle di settore, che richiedono di analizzare i rischi in maniera mirata per associare le misure più opportune alle operazioni più esposte; in questo senso si possono considerare, ad esempio, le misure di contenimento del rischio frodi nei processi di pagamento on-line. Su questi presupposti, un'analisi preliminare di contesto consente di ottimizzare l'impiego delle risorse disponibili e di valutare la necessità di ulteriori misure di sicurezza in funzione del grado di rischio individuato, se superiore al livello di tolleranza definito”.
I partecipanti dell'executive cocktail durante un momento di networking
- Matteo Casoni, System And Security Administrator di Bpm Assicurazioni, infine, mette sul piatto le criticità delle aziende più piccole, tra cui mancanza di budget e persone dedicate alla security: “Spesso si reagisce agli incidenti perché non si hanno le risorse e il tempo per una visibilità totale su ciò che succede”.
