Quando si parla di innovazione digitale, a volte basta compiere un piccolo passo per scoprire quanti vantaggi si possono ottenere applicando una soluzione o una metodologia nuova, pensata per un uso specifico, ad altri use case. È ciò che è successo a un player di riferimento del mondo del gaming and lotteries. Parliamo di un’azienda italiana che, come tutte le imprese del settore a cui appartiene, deve far fronte a una serie di vincoli molto stringenti sul fronte della data protection, con ricadute pesanti sulla semplicità d’accesso ai sistemi: è stata la necessità di semplificare i processi di accounting e logging per i consulenti esterni e i fornitori della divisione Security che ha indotto l’azienda a implementare un sistema di autenticazione user friendly rivelatosi poi così efficace da essere esteso anche alle risorse interne della divisione, che ne hanno beneficiato durante il lockdown. Una vera e propria best practice che, visti i risultati ottenuti nell’ultimo anno, sarà declinata a cascata anche su altre business unit. Ma andiamo con ordine.
Quando la security va a scapito della user experience
Il progetto è stato curato da Teleconsys, che ha fornito alla società cliente assistenza completa, dal design della soluzione fino al suo roll out. “Nelle gaming company, ma anche in quelle che operano nel mondo dell’Insurance e del Finance, dove dal corretto funzionamento dei sistemi IT dipende la sicurezza di diversi fattori economici, domina lo standard PCI-DSS”, spiega Mirko Leanza, CISO & Cybersecurity Specialist della PMI innovativa specializzata nella fornitura di soluzioni e di consulenza per la digitalizzazione delle imprese e della Pa. “Una serie di requisiti di cyber security molto stringenti che possono condizionare pesantemente la user experience di chi lavora nei settori citati. In base a questi vincoli, un consulente esterno, per esempio, prima di accedere alla rete aziendale col proprio Pc deve superare un processo di validazione dello strumento in uso e scaricare certificati che confermino l’ottenuta autorizzazione”. Tutto ciò, all’interno della gaming company che si è rivolta a Teleconsys, rendeva esternamente complesso e time-consuming l’accounting degli utenti che non adoperavano device aziendali. “E spesso”, racconta Leanza, “inibiva, persino in situazioni di emergenza, la possibilità di collegarsi dall’esterno: serviva sempre che una persona si recasse in loco anche in occasione di interventi che potevano essere tranquillamente gestiti da remoto”.
Lo sviluppo del progetto step by step
Il progetto di trasformazione è partito nel 2018, ed è tutt’ora in corso. “L’obiettivo dichiarato, fin dalle prime battute, era quello di escogitare un sistema di strong authentication che, pur rispettando la compliance PCI-DSS, evitasse di dover mettere in sicurezza i dispositivi dei consulenti attraverso la procedura canonica e, soprattutto, di dover cedere postazioni di lavoro interne per consentire agli ospiti di lavorare. Un approccio antieconomico, che tra l’altro oggi, con le disposizioni anti-Covid, non sarebbe attuabile”, sottolinea Leanza. Teleconsys ha così proposto una soluzione di virtual desktop infrastructure, capace sia di garantire la corretta gestione dei dispositivi in modalità BYOD (Bring Your Own Device), sia di evitare la presenza degli utenti esterni on premise, con un notevole risparmio in termini di tempo rispetto al meccanismo di autenticazione tradizionale.
“Siamo partiti dall’assessment, analizzando le attività svolte dagli utenti e abbiamo individuato tre profili ai quali abbiamo associato un set standardizzato di applicazioni. Abbiamo quindi realizzato le VDI con le caratteristiche necessarie a soddisfare le esigenze dei diversi ruoli.
Gli altri step sono stati molto lineari. Il progetto pilota è stato messo in produzione in tre mesi, durante i quali c’è stato il primo salto che ha esteso il sistema a venti utenti prima e a cento utenti poi. Nel 2019 il numero di utenti è raddoppiato ed è stato introdotto il meccanismo di strong authentication. “La piattaforma possedeva già tutti gli strumenti che permettevano di aggiungere in modo trasparente il secondo fattore”, dice Leanza, “tant’è che non c’è stato nemmeno bisogno di ricorrere alla one time password. Era sufficiente dichiarare utenza e password, per poi ricevere una notifica push sull’applicazione installata sul telefonino per confermare l’accesso”.
I vantaggi ottenuti grazie alla virtual desktop infrastructure
Nel corso del 2020 c’è stato un ulteriore raddoppio degli utenti, che non solo ha portato alla saturazione delle postazioni virtuali previste inizialmente, ma che ha permesso al 100% delle risorse interne impiegate nella divisione Security della gaming company, dislocate su diverse sedi, di utilizzare la piattaforma e collegarsi anche da remoto con qualsiasi device, rispettando tutti i requisiti dello standard PCI-DSS. Un successo così netto che ora la società sta valutando l’estensione della piattaforma anche ad altre divisioni, a partire dagli uffici amministrativi.