La tensione tra "operazioni decentralizzate" e "conformità delle misure di sicurezza"

Quando le responsabilità in termini di governance, implementazione e innovazione della sicurezza sono distribuite tra più unità aziendali, si crea una mancanza di coesione che rende la conformità delle misure sicurezza più complessa del necessario. Per coloro che operano ancora con infrastrutture legacy, destreggiarsi in questo scenario molto complesso risulta ancora più difficile. È un problema che affligge molte grandi banche del settore dei servizi finanziari.

Punti critici operativi

L'ampia struttura organizzativa delle banche consolidate genera inevitabilmente un ecosistema operativo particolarmente complesso. Ciò si traduce spesso in un processo decisionale frammentato, con team diversi che gestiscono parti isolate dell'assetto tecnologico e della sicurezza. Sebbene vi siano argomenti a favore del fatto che questo approccio supporti le competenze specifiche del settore, il rovescio della medaglia è una governance della sicurezza frammentata e incoerente. E l'incoerenza è qualcosa da evitare in un ambiente altamente regolamentato come quello bancario. 

Quando si parla di sicurezza, ci sono alcune responsabilità condivise fondamentali che i team guidati da CISO, CIO e CTO devono tutti gestire: conformità alle normative, gestione del rischio e risposta agli incidenti. Ma, in quanto autorità in materia di governance della sicurezza, è il CISO a definire il quadro guida dell'organizzazione, mentre il CIO e il CTO hanno il compito di implementare i requisiti delineati nelle rispettive infrastrutture IT e negli ambienti di prodotto. Anche quando viene adottato un unico quadro di riferimento, le operazioni isolate spesso portano a un'implementazione incoerente tra i vari dipartimenti. Senza un approccio unificato, l'esposizione al rischio aumenta, soprattutto quando gli ecosistemi legacy implicano che la visibilità (su chi si connette a cosa e quando) non sia un'impostazione predefinita.

Ulteriori punti critici per la conformità sono il tempo e il budget. Con il numero di normative che interessano il settore dei servizi finanziari che continua a crescere, essere conformi è un'impresa ormai molto ardua, che richiede numerose risorse. Gli audit possono durare settimane o mesi e richiedono investimenti ingenti, sia in termini di personale che di tecnologia, per garantire che le policy di sicurezza siano integrate nelle operazioni quotidiane. Nelle configurazioni legacy, questo onere implica la supervisione manuale e l'uso di controlli di compensazione o soluzioni tampone tra sistemi non integrati. Le spese operative continue per il mantenimento di questi controlli ricadono solitamente sul CIO e sul CTO, che stanno già mettendo a dura prova i budget per ridurre i costi, mantenere la resilienza e raggiungere gli obiettivi di trasformazione. Se la sicurezza fosse integrata nell'architettura per design, i CIO e i CTO non si troverebbero a dover sostenere i costi a lungo termine delle decisioni prese fuori del loro controllo. 

Analisi tecniche della realtà dei fatti

Sebbene le sfide legate alla conformità nelle operazioni quotidiane siano ben note, cosa succede quando le banche cercano di innovare? Si sta delineando un divario sempre più marcato tra l'ottimismo strategico della leadership non tecnica e il realismo dei team tecnici.

Con l'emergere di nuove sfide, molti AD del settore bancario associano la competitività all'adozione di tecnologie emergenti, come l'intelligenza artificiale, ed è vero, l'IA ha un potenziale reale nel guidare l'innovazione, la crescita e la leadership di mercato. Ma c'è un ostacolo importante da considerare: i sistemi legacy non sono stati progettati per supportare l'integrazione dell'IA, il che si traduce nell'incremento del rischio di esposizione e della complessità del mantenimento della conformità della sicurezza. Inoltre, l'IA introduce un nuovo ambito operativo, che porta con sé nuove sfide in termini di osservabilità e controllo. Tali sfide vengono a loro volta esacerbate dalle infrastrutture frammentate, dove i dati da cui dipende l'IA risiedono in sistemi isolati. Di conseguenza, ambiti tecnologici precedentemente distinti ora si scontrano con una velocità e una volatilità interna di gran lunga maggiori, mentre i team si affannano per muoversi rapidamente mantenendo al contempo la sicurezza.

Soluzioni per la sicurezza su larga scala

Come rispondono le banche alle sfide che gli si presentano quando cercano di unificare l'applicazione delle misure di sicurezza tra le diverse divisioni e di innovare l'intera organizzazione con le tecnologie emergenti? Molte stanno passando all'architettura zero trust. 

A differenza dei modelli tradizionali basati sul perimetro, questo approccio alla sicurezza non presuppone alcuna attendibilità implicita all'interno della rete e impone una verifica rigorosa a ogni punto di accesso, indipendentemente dall'utente, dal dispositivo o dalla posizione. Il modello zero trust allinea le responsabilità di CISO, CIO e CTO centralizzando l'applicazione delle policy, migliorando la visibilità sui sistemi e riducendo la complessità della gestione della conformità negli ambienti isolati. 

Ma lo zero trust è più di un semplice framework di sicurezza: è un catalizzatore strategico a supporto di una protezione scalabile, il che risulta ancora più evidente se pensiamo ai punti elencati qui sotto: 

• Offrendo la sicurezza come servizio e una connettività su larga scala, lo zero trust consente alle banche di adottare le nuove tecnologie in modo rapido e sicuro.
• Fornisce lo stesso livello di protezione, le medesime funzionalità e lo stesso grado di controllo sia negli impieghi on-premise che in quelli sul cloud, garantendo la coerenza necessaria negli ambienti ibridi. Ciò significa che i team non devono scendere a compromessi o scegliere in base al tipo di impiego. Tutto funziona in modo coerente, indipendentemente da dove risiedono i dati o le applicazioni.
• Offre inoltre la visibilità su tutti i domini. Ciò significa che, sebbene i domini tecnologici possano rimanere segmentati, la visibilità e il controllo non lo sono, permettendo ai team di sicurezza di monitorare e influenzare le attività senza attriti.

La sicurezza dei dati è integrata nel cuore dell'architettura basata su proxy dello zero trust, anziché aggiunta in un secondo momento. Ciò significa che le banche possono muoversi rapidamente per estendere l'uso delle nuove integrazioni tecnologiche, anche quelle avanzate come gli agenti IA, senza compromettere la conformità o l'integrità operativa. Infatti, offre percorsi di integrazione sia per i servizi legacy che per quelli emergenti, estendendo la protezione non solo all'interno della banca, ma anche al suo ecosistema più esteso, inclusi i partner e le piattaforme rivolte al pubblico. 

Un linguaggio comune per la sicurezza

In un ambiente operativo decentralizzato, la questione di chi sia realmente responsabile della sicurezza non è tanto di gerarchia quanto legata alla coesione. Lo zero trust aiuta le banche a parlare un linguaggio comune in materia di sicurezza, che integra la conformità in ogni azione, in ogni team e sotto qualsiasi leadership.

VUOI ESTENDERE LA SICUREZZA SU LARGA SCALA? I servizi finanziari non solo vogliono, ma hanno bisogno di un approccio alla sicurezza moderno per gestire il "presente" e prepararsi al "futuro". La chiave è trovare la giusta architettura basata sullo zero trust per poter proteggere, semplificare e assicurare la conformità, senza compromessi. Trova qui il percorso giusto per preparati al futuro