Capitec accelera la trasformazione digitale e protegge i dati finanziari con Zscaler

Sono diversi gli elementi che contraddistinguono Capitec, la più grande banca retail del Sudafrica, dalle altre realtà concorrenti. Nell'ambito della sua strategia cloud-first, la banca ha recentemente completato la migrazione della sua app e del call center su Amazon Web Services (AWS), senza tempi di inattività, e si è classificata al primo posto per la soddisfazione dei clienti in tutto il Sudafrica. 

Capitec si stava concentrando da diversi anni sul suo percorso verso il cloud e lo zero trust, eliminando gradualmente la sua architettura perimetrale, lenta, inefficiente e complessa, basata su hardware legacy, firewall e VPN nel data center, nonché le sue apparecchiature virtuali e i prodotti dedicati non integrati sul cloud. Un'architettura basata sul perimetro può infatti comprendere apparecchiature legacy, hardware, oltre che virtuali e sul cloud.

Quando Andrew Baker è entrato a far parte di Capitec ad aprile del 2022 come CTO, l'implementazione del modello zero trust della banca era però in ritardo rispetto ai tempi previsti, dopo oltre due anni di tentativi falliti nell'adozione di un prodotto diverso da Zscaler. I precedenti successi ottenuti da Baker con la piattaforma Zscaler Zero Trust Exchange presso altre aziende lo hanno spinto a implementare la piattaforma completa anche in Capitec. Zscaler ha semplificato notevolmente l'infrastruttura e ora supporta i 17.000 utenti di Capitec.

"Se non si dispone di una solida strategia informatica, che includa un prodotto maturo come Zscaler, ci si ritroverà costantemente in modalità reattiva, con centinaia di ticket di supporto da inviare per capire perché qualcosa non sta funzionando. Abbiamo introdotto Zero Trust Exchange nel nostro ambiente, e i nostri agenti software di sicurezza zero trust sono stati distribuiti a tutti gli utenti nel giro di tre mesi", ha riferito Baker.

Responsabile della protezione dei dati sensibili e delle informazioni di identificazione personale (PII), Capitec è estremamente attenta alla sicurezza. Per garantire l'integrità delle sue informazioni di alto valore, Baker e il suo team hanno dovuto affrontare problemi di sicurezza critici, come la fuga di dati e i rischi.
Prima di passare a Zscaler, il team non era in grado di raccogliere le informazioni basate sui dati necessarie per rispondere a queste preoccupazioni chiave. Inoltre, la soluzione legacy di Capitec era instabile, lenta e comportava ingenti costi di gestione. Gli utenti erano insoddisfatti e la produttività ne risentiva.
Baker e il suo team sapevano di aver bisogno di un approccio più completo e integrato allo zero trust. "Prima di Zscaler, eravamo eccessivamente concentrati su un CASB, che, in quanto soluzione autonoma, non era sufficiente per supportare una strategia zero trust completa per il traffico Internet", ha spiegato.

Partendo con l'implementazione di ZIA, Capitec ha progressivamente proseguito il suo cammino verso il raggiungimento del suo obiettivo principale: adottare un'architettura zero trust completa, sapendo che Zscaler avrebbe potuto fornire tutte le funzionalità necessarie. ZIA ora protegge il traffico Internet e l'accesso alle applicazioni SaaS, come Microsoft 365, SAP, Salesforce e ITSM, ampliando la visibilità e aggiungendo un livello di dettaglio più ampio. ZIA garantisce inoltre un'esperienza utente notevolmente migliore, costi di rete ridotti e un profilo di sicurezza più elevato.

"Mettiamo costantemente alla prova ZIA per assicurarci che la soluzione non possa essere aggirata, e non ha mai perso un colpo. Siamo molto soddisfatti della prevenzione della perdita dei dati, dei filtri e delle corrispondenze dei modelli. ZIA è un prodotto davvero completo", ha affermato Baker. A soli tre mesi dalla sua implementazione, ZIA aveva già bloccato 744.758 minacce alla sicurezza e 423.172 minacce nascoste nel traffico cifrato.

Oggi, Capitec può concentrarsi sulle questioni di sicurezza ad alta priorità e gestire dinamicamente il rischio, basandosi su dati affidabili, accurati e completi, provenienti dalla dashboard di ZIA. Confrontando la strategia di sicurezza della banca prima di Zscaler, Baker sottolinea che il team era solito gestire la sicurezza informatica in base ai rischi registrati tramite audit ed elenchi in Jira, che non fornivano un quadro completo.

Baker ha riflettuto sull'impatto di ZIA: "Non so come si possa gestire un'azienda di servizi finanziari senza le informazioni strategiche messe a disposizione da Zscaler. Ho utilizzato le "informazioni strategiche" fornite da altre aziende di sicurezza, ma non sono altrettanto significative. I dati messi a disposizione da Zscaler, invece, forniscono un valore più elevato e sono realmente utili e fruibili. Inoltre, Zscaler verifica frequentemente la qualità della nostra implementazione e ci aiuta a evolvere e ad adottare nuove funzionalità rilevanti".

Prima di passare a un'architettura zero trust, Capitec utilizzava una VPN per connettere gli utenti alle applicazioni e ai server, insieme al rilevamento delle intrusioni per monitorare il traffico. La gestione di questi strumenti era macchinosa, manuale e difficile da supportare, soprattutto quando gli utenti da remoto riscontravano dei problemi di connettività. Ciò si è tradotto in una sicurezza scadente, nella riduzione della produttività e nell'insoddisfazione degli utenti.

Nell'ambito di un piano di distribuzione graduale, subito dopo l'implementazione di ZIA, Capitec ha distribuito Zscaler Private Access (ZPA) per sostituire le sue VPN e proteggere il traffico dai dispositivi degli utenti ai data center locali e alle applicazioni cloud private. ZPA consente l'accesso diretto e basato su policy alle applicazioni, sfruttando i principi dei privilegi minimi. Con Zscaler, gli utenti non vengono mai collocati sulla rete aziendale, il che riduce la superficie di attacco e impedisce il movimento laterale delle minacce.

Zscaler ha inoltre contribuito a semplificare la gestione, garantendo al contempo una visibilità completa sulle minacce e riducendo il carico di lavoro degli amministratori IT e della sicurezza.

In più, l'esperienza utente è migliorata notevolmente, soprattutto per chi lavora da casa. Baker non si era reso conto di quanto la connettività da remoto tramite VPN fosse scadente, finché la banca non è passata a Zscaler Z-Tunnel 2.0. La differenza è stata notevole: l'architettura di tunneling di Z-Tunnel 2.0 sfrutta il Datagram Transport Layer Security (DTLS), ampiamente utilizzato in Sudafrica per proteggere la riservatezza dei dati e prevenirne la manomissione.

"Non ci aspettavamo di riscontrare una connettività migliore da remoto. L'utilizzo del percorso più rapido per le applicazioni private e l'eliminazione del backhauling del traffico dovuto alla VPN hanno portato ad avere utenti più soddisfatti. Il supporto del DTLS ci aiuta molto in Africa. Adesso stiamo lavorando per eliminare il rischio di gestire una rete attendibile, e teniamo ZPA attivo anche quando siamo in ufficio", ha spiegato Baker.

Per sfruttare al meglio la piattaforma Zscaler, Baker ha inoltre implementato Zscaler Digital Experience (ZDX). "Con ZDX, le informazioni sull'esperienza utente che reperiamo sono incredibilmente utili e si sono rivelate particolarmente preziose durante la migrazione, perché ci hanno permesso di risolvere autonomamente molti dei nostri problemi", ha rivelato. 

Non appena Baker e il suo team hanno iniziato a utilizzare ZDX, sono riusciti a risolvere un problema di vecchia data relativo all'esperienza utente. Ogni giorno, i calendari Microsoft degli utenti non riuscivano a sincronizzarsi o si bloccavano, e gli utenti dovevano sempre risincronizzarli. Questa situazione era diventata sempre più frustrante per persone che si trovavano a gestire fino a 10 calendari, come gli assistenti personali o i manager degli uffici. 

Inizialmente, Baker e il suo team hanno inviato dei ticket a Microsoft, ma non sono comunque riusciti a individuare la causa del problema. Durante la migrazione dell'app su AWS, Baker ha inoltre ricordato di aver visto il punteggio di ZDX cambiare nel corso di una sola giornata. Alle 7 del mattino, era 90/100, che è un buon punteggio, ma con l'arrivo di più persone in ufficio, il punteggio dell'app Calendario di Microsoft diminuiva. Quando le persone facevano rientro a casa, il punteggio ritornava "buono".

Grazie a ZDX, Capitec ha individuato un problema con la rete locale (LAN). Dopo aver indagato più a fondo, il team di rete si è reso conto che qualcuno aveva digitato accidentalmente un numero sbagliato durante la configurazione della connettività Internet della rete. A causa di questo errore, la rete ad alta capacità di Capitec stava ostacolando il traffico e causando rallentamenti. Il problema è stato risolto facilmente e rapidamente digitando semplicemente il numero corretto. 

"L'osservabilità ottenuta con ZDX sta rendendo le nostre operazioni più proattive, anziché reattive, e ci sta fornendo informazioni strategiche sui miglioramenti dell'esperienza utente, man mano che adottiamo AWS. ZDX ha rappresentato una svolta fin dal momento in cui abbiamo iniziato a utilizzarlo", ha rivelato Baker.

Con Zscaler, la migrazione dai data center locali ad AWS ha visto un significativo un passo avanti. Capitec ha riscritto la sua app bancaria, a cui accedono regolarmente 11 milioni di clienti, spostandola da locale su AWS. La migrazione ha richiesto solo tre secondi, senza tempi di inattività e, grazie a Zscaler Cloud Connector, non si sono verificati problemi di sicurezza. 

Prima della migrazione, Capitec ha acquistato Zscaler dall'AWS Marketplace per proteggere tutte le sue applicazioni cloud. Con Zscaler e AWS, nessuna delle applicazioni su AWS ha una connettività pubblica, Capitec può controllare le regioni a cui gli utenti possono accedere e la comunicazione dei workload risulta protetta.

Capitec ha scoperto un ulteriore vantaggio nell'integrazione Zscaler-AWS: la facilità nelle proceure di acquisto e distribuzione, e i vantaggi che ne derivano. L'abbonamento a Zscaler direttamente dall'AWS Marketplace semplifica il processo di acquisto, consolida la fatturazione e consente a Capitec di beneficiare di sconti.

"È molto importante che i team di prodotto lavorino in un cloud privato virtuale [VPC], dove sostanzialmente non possono commettere errori. Con AWS che gestisce l'infrastruttura e Zscaler che si occupa della sicurezza, possiamo mettere strumenti e servizi nelle mani del team di prodotto, pur mantenendo il controllo", ha osservato Baker. "Ora che non dobbiamo più preoccuparci dei rischi legati a ciò che si trova nelle sottoreti pubbliche o private o dove è possibile accedere tramite SSH, la nostra produttività e i nostri workload sono aumentati considerevolmente".

"Un altro ambito di innovazione per noi è stato sfruttare le informazioni prestazionali pre e post-intervento, consentendo al team di capire, con meno tentativi ed errori, dove concentrarsi per migliorare l'esperienza utente delle app migrate", ha aggiunto...

Baker prevede che Zscaler accelererà anche le future fusioni e acquisizioni (M&A). L'acquisizione più recente di Capitec, completata prima dell'implementazione di Zscaler, è consistita in un progetto di migrazione del dominio e ha richiesto molto tempo e impegno da parte del team addetto alla sicurezza.

"Zscaler renderà le M&A molto più semplici rispetto a una migrazione di dominio. Quando si uniscono due entità, non c’è nulla che possa battere Zscaler in termini di velocità ed efficienza. È la strada più ovvia da seguire", ha affermato Baker.
Guardando al futuro, Baker ha puntato su Zscaler Risk360™, un framework completo di quantificazione e visualizzazione del rischio, che acquisisce dati dall'ambiente Zscaler e da fonti esterne per consentire la raccolta di informazioni più utili e migliorare i processi decisionali in materia di rischio.

Come sottolinea Baker, le aree rurali del Sudafrica tendono ad avere infrastrutture obsolete e una connettività Internet molto lenta. Inoltre, ogni giorno, viene effettuata una riduzione programmata del carico di energia, per alleviare la pressione sulla rete elettrica. Fortunatamente, Zscaler continua a investire in Sudafrica per migliorare la qualità del servizio, arrivando persino a creare un punto di presenza locale appositamente per Capitec a Città del Capo.

"Capitec ha fatto un enorme passo avanti come organizzazione", ha aggiunto Baker. "L'impatto sull'organizzazione è molto profondo. Dal punto di vista informatico, adottiamo un approccio prudentemente conservativo. La nostra priorità è salvaguardare i clienti, quindi ci chiediamo costantemente: "Qual è la cosa migliore che possiamo fare per offrire un servizio ottimale ai nostri clienti?" La cosa migliore che possiamo fare è scegliere Zscaler".