Il costo della fiducia: come prevenire violazioni che generano danni milionari

Nei servizi finanziari la fiducia è fondamentale. Nella sicurezza informatica, quella fiducia si traduce nell'attendibilità implicita, che può rappresentare un onere gravoso, con perdite per milioni di dollari. 

Per aiutarti a comprendere meglio questa affermazione, vorrei che prendessi in considerazione un importo specifico: 6,08 milioni di dollari per l'esattezza. Questo è il prezzo reale che le aziende operanti nei servizi finanziari pagano per aver riposto la loro fiducia nelle persone, nei processi e nelle tecnologie sbagliate: è il costo medio di una violazione dei dati nel settore, secondo gli ultimi dati di IBM. 

Queste cifre astronomiche vanno a rimarcare la necessità di adottare un approccio zero trust e sottolineano che i modelli di sicurezza tradizionali, nonostante la loro presenza longeva sul mercato, non sono più efficaci.

L'impatto finanziario delle violazioni

Le organizzazioni dei servizi finanziari sono sempre state nel mirino dei criminali informatici. Come avrai potuto immaginare, negli ultimi due decenni, quasi un quinto di tutti gli incidenti informatici globali ha avuto come bersaglio una società finanziaria, secondo l'ultimo report di IMF.

Si tratta di un dato significativo e include numerose violazioni di alto profilo. Ad esempio, nel 2019, un titolo della CNN riportava: Un hacker ha ottenuto l'accesso a 100 milioni di applicazioni e account associati a carte di credito Capital One. È stata una delle più grandi violazioni della storia recente, con notevoli ripercussioni finanziarie per il fornitore di credito americano, a cui sono state comminate sanzioni normative per 80 milioni di dollari, perché l'ente regolatore OCC riscontrò che Capital One non aveva messo in atto pratiche di gestione del rischio prima di migrare al cloud. All'incidente fece inoltre seguito un accordo collettivo dalla cifra record di 190 milioni di dollari per risolvere le azioni legali dei clienti danneggiati.

Quando pensiamo alle conseguenze finanziarie degli incidenti informatici, il primo elemento che ci viene in mente è il costo tangibile necessario per ripristinare e proteggere le operazioni, a cui seguono i potenziali costi delle sanzioni normative. Ma in realtà l'impatto più dannoso e duraturo è quello sulla reputazione di un marchio. I clienti sono sempre più diffidenti nell'affidare i propri dati a organizzazioni che hanno subito una violazione e questa loro preoccupazione è ben fondata: l'ultima ricerca di ThreatLabz ha rivelato che l'esfiltrazione dei dati è aumentata del 92,7% rispetto allo scorso anno. Ciò dimostra che il furto dei dati sta alimentando le campagne di estorsione, quindi è logico che il 47% delle aziende (in tutti i settori) affermi di avere difficoltà ad attrarre nuovi clienti dopo aver subito attacchi informatici che sono stati resi pubblici, secondo quanto riportato nel report Hiscox Cyber Readiness.

Acquisire la fiducia si traduce in un vantaggio competitivo, ma perderla è molto facile. Soprattutto in un sistema digitale "protetto" da sistemi di sicurezza legacy. 

Dove falliscono i modelli tradizionali

Gli strumenti di sicurezza tradizionali non soddisfano le esigenze di oggi sotto molti aspetti. Si concentrano sulla protezione del perimetro, ma non offrono sufficiente visibilità e, di conseguenza, mettono in secondo piano la resilienza.

Strumenti obsoleti come VPN, firewall e controlli statici dell'accesso sono stati progettati per un'epoca in cui gli utenti e i dati erano all'interno del perimetro della rete. Gli attuali ambienti ibridi cloud-first rendono questi strumenti insufficienti. Una volta che gli aggressori violano il confine (ormai svanito e immaginario) del perimetro, spesso incontrano ben poca resistenza. E il movimento laterale potrebbe tradursi nell'accesso illimitato a elevatissimi volumi di dati sensibili.

E la visibilità? Sono diverse le ragioni per cui gli architetti della sicurezza che gestiscono infrastrutture tradizionali non ottengono la visibilità necessaria per applicare i privilegi minimi o rispondere rapidamente alle anomalie. Una è l'impiego di un'architettura di rete piatta, in cui strumenti come i firewall fanno fatica a distinguere tra traffico normale e sospetto, perché sembra tutto uguale. Senza la segmentazione del traffico, è difficile applicare un monitoraggio sensibile al contesto, che fornisca la visibilità necessaria. Un'altra ragione è la concessione dell'accesso alla rete su larga scala, in cui l'attività degli utenti connessi non viene monitorata, il che significa che i comportamenti sospetti possono passare inosservati. In conclusione: la sicurezza dovrebbe garantire una visibilità sempre attiva e in tempo reale sulle attività degli utenti e dei dispositivi.

Infine, tocchiamo il tema della resilienza, che è diventata una sorta di mantra per Zscaler, e per una buona ragione. Quando consideriamo la tecnologia e i processi, la resilienza non riguarda solo la sicurezza, ma anche la capacità di reagire: quanto velocemente riesci a contenere una violazione e a riportare l'azienda online? Viviamo in un'epoca in cui gli attacchi informatici avverranno di sicuro, senza sconti, e nessuna azienda è immune, ed è per questo che eseguire solamente il rilevamento delle minacce è poco lungimirante. Purtroppo, la realtà è che i modelli di sicurezza tradizionali faticano a contenere un attacco, il che risulta disastroso per la continuità operativa. 

Lo zero trust come strategia per abbattere i costi

Considerando le implicazioni finanziarie di una violazione della sicurezza, ritengo che lo zero trust possa essere definito un investimento che consente di abbattere i costi. Dovremmo abbandonare l'idea che lo zero trust sia "solo" un aggiornamento della sicurezza: adottare questo approccio moderno significa infatti implementare una solida strategia di resilienza aziendale.

Il ritorno sull'investimento si manifesta in diversi modi. Innanzitutto, impedisce agli aggressori di muoversi da un sistema compromesso agli altri. Lo zero trust prevede inoltre l'implementazione dell'escalation dei privilegi per cui, in caso di violazione, l'accesso non autorizzato ai sistemi di livello superiore viene bloccato, e ciò è possibile perché ogni singola richiesta di accesso viene verificata. Un'altra caratteristica dell'architettura zero trust è che consente la microsegmentazione per ridurre in modo analogo anche la superficie di attacco, oltre che per attuare l'applicazione delle policy di accesso in tempo reale, senza interrompere altri flussi di lavoro.

Se un'architettura zero trust è basata sull'IA, il ROI si traduce in un risparmio di tempo per gli architetti della sicurezza, spesso sovraccarichi di lavoro, perché riusciranno a rilevare le anomalie non appena si verificano e a ridurre il triage manuale, poiché le misure di contenimento possono essere automatizzate. Il risultato è una risposta agli incidenti più veloce e tempi di ripristino più rapidi, con la conseguente riduzione dei costi di ripristino. Il rapporto costi-benefici è particolarmente importante negli ambienti regolamentati come i servizi finanziari, dove le sanzioni in caso di inottemperanza alle normative in materia di protezione dati possono essere molto salate.

La sicurezza informatica non è più solo una questione tecnica. Come dimostra questo articolo, il costo di un errore non si limita a una cifra in dollari, ma si estende alla reputazione del marchio e influisce sulla capacità dell'azienda di offrire ai clienti ciò per cui pagano. Per i responsabili decisionali che vogliono seriamente proteggere il valore del proprio marchio e la continuità operativa, lo zero trust è il passo successivo naturale in un percorso finora ancorato al passato. È tempo di lasciarsi questi approcci datati alle spalle. 

Vuoi implementare lo zero trust? Se hai appena iniziato il tuo percorso, considera la checklist delle funzionalità di Zscaler, prima di investire in un'architettura zero trust. Ti fornirà una panoramica di tutto ciò che serve per integrare il controllo e la resilienza necessari per muoversi a testa alta in un mondo ormai altamente complesso. Puoi trovare maggiori dettagli nel nostro eBook sui Servizi finanziari  e nella nostrapagina dedicata ai Servizi finanziari.