“Security nelle Banche e Assicurazioni: criticità e aspettative”, è il tema della survey realizzata da ZeroUno, in partnership con Akamai (della quale pubblicheremo i risultati in uno dei prossimi numeri di ZeroUno) per affrontare il tema della sicurezza concentrandosi su quelle realtà nelle quali la problematica riveste, più che per altri, un valore di primaria importanza. È stata l’occasione per raccogliere le opinioni di tre figure appartenenti al settore bancario che hanno partecipato all’inchiesta e parlare in generale di cybercrime, ma anche nello specifico delle principali criticità incontrate su questo tema e delle prospettive tecnologiche e organizzative da affrontare. Qui di seguito la selezione di alcune delle risposte che ci sono state date da Antonello Pro, Responsabile E-commerce ed Innovation di Bnl Positivity e Stefano Pizzi, Infrastructure Architect e Solution Designer di una nota banca internazionale.
ZeroUno: Pensa ci sia ormai consapevolezza rispetto a queste problematiche? Quanto vengono percepiti i rischi e i danni che gli attacchi Cybercrime possono provocare sul piano del business e dell’immagine aziendale?
Antonello Pro: Come Bnl Positivity, ci occupiamo di gestire transazioni di pagamento sia di tipo fisico che on line. La nostra consapevolezza dei rischi è alta e sappiamo che la nostra attenzione deve essere costante. Abbiamo ben presente casi di competitor che hanno subìto attacchi importanti, durante i quali sono state sottratte decine e decine di informazioni di clienti e di numeri di carte di credito poi utilizzate nel mercato parallelo. A livello banca c’è quindi sufficiente attenzione. È piuttosto tra i nostri clienti che spesso manca la consapevolezza di mettere il loro perimetro al sicuro; per chiarire: è più facile che una carta venga clonata su un punto vendita, rispetto a quando si effettua un pagamento on line; anzi, direi che quella per cui le carte vengano clonate on line è un po’ una leggenda.
Internamente, dedichiamo una giornata al mese specificatamente al tema della sicurezza per aggiornare il personale dipendente; riprendiamo i discorsi fatti, diamo visibilità e aggiornamenti sui progetti che l’azienda sta portando avanti, insegniamo le norme comportamentali da tenere (per esempio usare login password complesse, non lasciare mai i pc accesi senza presidio, non usare chiavette esterne, ecc.).
Zerouno: Come la sua azienda sta affrontando la complessa problematica della security? Quali sono le strategie generali sul piano della tecnologia e della trasformazione organizzativa e culturale?
Stefano Pizzi – È importante, tecnologicamente parlando, avere ricette semplici ma consolidate, utilizzare strumenti magari anche ridondanti ma di sicurezza certa, capaci al contempo di garantire un accesso agile a chi è autorizzato: un aggiornamento molto frequente delle password di accesso, per esempio, per l’utente significa solo dover variare le chiavi di accesso per accedere ai sistemi, ma offre vantaggi alti in termini di protezione. Parlando delle trasformazioni che l’evoluzione del mercato impone [ci si riferisce qui a trend quali cloud e mobility –ndr], l’innovazione non deve mai fare paura: la tecnologia porta maggiori opportunità di business, maggiori possibilità di raggiungere nuovi clienti e fornire nuovi servizi. È importante muoversi rapidamente per seguire le tendenze, confidando nel fatto che i sistemi di sicurezza si muovano di conseguenza, per supportare l’It e l’azienda in questa trasformazione.
Zerouno: Quali sono le sue considerazioni, sempre sul piano della security, in relazione a fenomeni di forte digitalizzazione del business, con particolare riferimento alle tecnologie che abilitano la mobility?
Pro: All’interno di una struttura come può essere quella di una banca, l’esigenza di mobilità ha certamente portato forte complessità. Bisogna stare molto attenti alla mobility: ci si deve sempre assicurare che le informazioni e le credenziali siano criptate prima che vengano mandate on line; a bordo del device mobile dell’utente ci deve essere un dispositivo, un software, un tool, che renda sicure le informazioni. Per attivare servizi mobili, tutti i nostri clienti devono quindi rispettare le nostre regole: se l’utente non è certificato – siamo noi che diamo tools, istruzioni e procedure per ottenere le autorizzazioni – non può operare in mobilità.
Zerouno: Quali potrebbero essere i freni a una completa evoluzione dei sistemi di sicurezza nella vostra azienda?
Pizzi: In molte aziende il budget è un problema: è più difficile ottenere fondi quando si investe in qualcosa che non ha un ritorno economico diretto. Nel nostro caso è diverso: i servizi on line sono un elemento centrale per il nostro business e la sicurezza informatica va di pari passo all’erogazione di un servizio di alto livello. La parte più critica è piuttosto riuscire sempre ad avere la prontezza di reagire all’evoluzione delle sofisticazioni delle minacce e di essere pronti a intervenire rapidamente in modo proattivo – e non reattivo a seguito dell’evento – cercando di prevenire i potenziali rischi .
Pro: Non il budget; noi abbiamo sempre sul conto economico una voce dedicata alla sicurezza. È stato piuttosto molto complicato procurarci le competenze: la sicurezza sui sistemi transazionali è una materia decisamente molto complessa e di nicchia, o si conoscono i processi o non c’è molto spazio d’azione. Per questo abbiamo introdotto figure nuove, a seguito di una selezione molto rigida. L’esigenza è emersa soprattutto quando abbiamo iniziato a dover approcciare la mobility: lì la necessità di nuovi skill si è molto sentita.