Hastings Direct implementa Zscaler Zero Trust Exchange per migliorare la sua esperienza assicurativa digitale

Fin dalla vendita della sua prima polizza assicurativa nel 1997, Hastings Direct si è sempre impegnata a sfruttare le nuove tecnologie per rendere l'esperienza di acquisto dei suoi prodotti assicurativi più semplice. Negli ultimi anni, l'azienda ha dato priorità alla trasformazione digitale totale. La migrazione integrale delle operazioni sul cloud ha consentito la digitalizzazione totale di tutti i prodotti e servizi di Hastings, offrendo in definitiva ai suoi clienti più opzioni per l'acquisto e la gestione delle polizze assicurative. 

L'adozione di operazioni cloud-first ha inoltre spinto l'azienda a modernizzare la propria sicurezza, introducendo un'architettura zero trust. "Hastings è determinata a diventare la più grande compagnia di assicurazioni digitali del Regno Unito", ha affermato Simon Legg, Chief Information Security Officer (CISO) di Hastings Direct. "Non possiamo raggiungere questo obiettivo utilizzando degli approcci legacy per la protezione dei dati e la sicurezza delle informazioni. La strada da seguire è lo zero trust".

Un'architettura di sicurezza tradizionale, basata sul modello castle-and-moat, non era in grado di supportare adeguatamente l'evoluzione digitale dell'azienda. I problemi di scalabilità e la rigidità insiti in questo tipo di approccio legacy alla sicurezza ostacolavano le operazioni cloud, rendendole meno sicure ed efficienti.

Hastings Direct necessitava di una piattaforma zero trust completa e nativa del cloud, che potesse aiutarla a dismettere l'infrastruttura di sicurezza legacy, per adottare una sicurezza semplice e potente.

L'integrazione ottimale con Microsoft è stato un altro aspetto importante. L'azienda utilizza esclusivamente Microsoft per le sue operazioni aziendali con base cloud: Microsoft Azure per l'IaaS e Microsoft 365 per supportare la produttività e la collaborazione degli utenti. L'ecosistema di sicurezza di Hastings include inoltre Microsoft Entra ID, Azure Sentinel e Microsoft Defender per Endpoint. 

Hastings Direct ha scelto Zscaler Zero Trust Exchange come base per la sua nuova architettura di sicurezza zero trust. Un'implementazione graduale della piattaforma Zscaler ha consentito al team di bilanciare i processi in evoluzione con la gestione delle esperienze utente, garantendo una transizione fluida allo zero trust in tutta l'organizzazione.

"L'introduzione di una nuova soluzione di sicurezza comporta intrinsecamente un certo grado di attrito", ha rivelato Legg. "Nell'ambito della sicurezza informatica, vi è un bilanciamento continuo tra attriti negativi e attriti positivi: quelli negativi bloccano la produttività dell'organizzazione, mentre quelli positivi fermano gli aggressori. Zscaler ci aiuta a eliminare quelli negativi e ad amplificare quelli positivi".

Insieme, circa 4.500 persone, tra dipendenti e partner esterni, forniscono supporto a 3,9 milioni di assicurati in tutto il Regno Unito. Garantire una connettività sicura da qualsiasi luogo a questa forza lavoro ibrida era fondamentale per raggiungere gli obiettivi digitali più estesi dell'azienda. "Offrire ai nostri colleghi un'esperienza digitale d'eccellenza gli consente di garantire un'esperienza digitale altrettanto ottimale ai nostri clienti", afferma Legg.

Hastings Direct ha eliminato un Internet proxy legacy, ormai inefficiente, e ha implementato Zscaler Internet Access (ZIA) come prima soluzione su Zero Trust Exchange. Come ha spiegato Legg, garantire la connettività in uscita come punto di partenza del suo percorso verso lo zero trust ha consentito all'azienda di "gettare le giuste basi, in termini di protezione dell'accesso a Internet".

ZIA agisce da intermediario per offrire connessioni rapide e dirette a Internet e alle applicazioni SaaS da qualsiasi luogo. Dato che Zscaler fornisce una connettività zero trust il più vicino possibile all'utente finale, attraverso oltre 150 edge point in tutto il mondo, Hastings non ha più bisogno di effettuare il backhauling del traffico Internet verso i data center centrali. Il risultato è una diminuzione dei colli di bottiglia, una latenza ridotta e un'esperienza migliore quando gli utenti si connettono alle risorse sul web. 

Zero Trust Exchange include inoltre funzionalità per la protezione dei firewall cloud, il filtraggio degli URL, l'ispezione TLS/SSL e la protezione dalle minacce avanzate. Di conseguenza, importanti misure di sicurezza che in precedenza avrebbero richiesto più prodotti dedicati ora vengono implementate come parte della piattaforma completa di Zscaler. 

"Confinare il lavoro in un ufficio centrale rappresenta un modo ormai obsoleto di concepire la produttività. Le persone vogliono poter lavorare dove desiderano", ha osservato Legg. "Zscaler consente ad Hasting di operare con la massima libertà e flessibilità. Indipendentemente da quando o da dove scelgano di lavorare i nostri colleghi, tutti sono protetti dagli stessi processi zero trust quando si connettono a Internet".

Dopo aver semplificato e protetto la connettività in uscita, Legg ha deciso di concentrarsi sulla "creazione della fiducia" tra i colleghi, per garantire un'esperienza utente positiva alla forza lavoro di Hastings Direct.

Per raggiungere questo obiettivo, Hastings Direct ha implementato Zscaler Digital Experience (ZDX). ZDX offre una visibilità end-to-end dall'utente all'applicazione, il che significa che il team IT di Hastings ha una visione completa delle esperienze digitali su tutti i dispositivi, le reti e le applicazioni. 

Grazie a un'analisi approfondita e basta sull'IA delle cause alla radice, che prende in esame tutte le sfide legate alle prestazioni, il team impiega meno tempo per identificare e risolvere i problemi degli utenti, che spesso vengono risolti prima che possano avere un impatto significativo sul flusso di lavoro. 

Legg ritiene che questa esperienza positiva in ambito amministrativo metta tutta la community del tech in una posizione più forte per farsi portavoce dello zero trust. "Il mio team è testimone in prima persona di come Zscaler protegga l'azienda senza interrompere le operazioni", ha affermato Legg. "Tutti si rendono conto della potenza della piattaforma Zscaler e sono quindi in grado di aiutare gli altri colleghi di Hastings ad adottare il modello zero trust".

I primi passi del loro percorso verso lo zero trust, ovvero l'implementazione di ZIA e successivamente di ZDX, sono stati così fluidi e senza intoppi che Legg pensa che la transizione sia passata in gran parte inosservata. "Il fatto di aver dovuto dire alla maggior parte dei colleghi che avevamo implementato un'architettura di sicurezza completamente nuova e una nuova soluzione di monitoraggio dell'esperienza digitale e che loro stavano già lavorando sotto la protezione dello zero trust, con le soluzioni ZIA e ZDX, è stato uno dei nostri principali indici di successo", ha ricordato Legg.

Hastings Direct adotta un approccio basato sui dati per offrire prodotti assicurativi altamente personalizzati e competitivi, utilizzando in modo responsabile analisi avanzate dei clienti per prendere decisioni più consapevoli. 

Proteggere le applicazioni private essenziali (e i dati dei clienti in esse contenuti) dagli attacchi informatici è uno degli obiettivi più critici per Legg, ma l'architettura di sicurezza legacy dell'azienda stava rendendo questo compito particolarmente arduo. Una soluzione VPN legacy, con policy di accesso generalizzate, gli impediva di segmentare correttamente l'accesso alle applicazioni in base ai ruoli, esponendo l'intera rete al rischio di incorrere nel movimento laterale delle minacce. "Con la nostra migrazione sul cloud, la superficie di attacco è diventata più complessa e difficile da difendere con delle soluzioni legacy", ha confermato Legg.

Hastings Direct ha sostituito i suoi dispositivi VPN legacy con Zscaler Private Access (ZPA), completando una potente tripletta di soluzioni della piattaforma Zscaler (insieme a ZIA e ZDX implementate in precedenza). 

ZPA elimina la necessità di ricorrere alle VPN, consentendo un accesso fluido e zero trust direttamente alle applicazioni private, anziché alla rete. Inoltre, queste risorse, essendo nascoste dietro a Zero Trust Exchange, non sono mai esposte a Internet, rendendole invisibili alle minacce e riducendo al minimo la superficie di attacco. L'identità dell'utente e la verifica del profilo di sicurezza del dispositivo vengono esaminate attentamente durante l'ispezione del traffico inline, per contribuire a bloccare le compromissioni prima che vengano instaurate delle connessioni in ingresso. L'accesso microsegmentato alle applicazioni impedisce il movimento laterale delle minacce, in quanto gli utenti di Hastings vengono connessi direttamente e solamente alle risorse di cui hanno bisogno e sono autorizzati ad accedere, anziché alla rete nel suo complesso. 

"L'aggiunta di ZPA alla nostra distribuzione di Zscaler mi ha portato grande soddisfazione in quanto CISO, perché non devo più preoccuparmi dei client VPN distribuiti sui dispositivi dei colleghi o sulla nostra rete", ha affermato Legg. "Grazie alle potenti funzionalità di Zero Trust Exchange, Hastings ha consolidato un approccio più olistico alla sicurezza zero trust". 

Hastings Direct ha sfruttato la piattaforma multitenant di Zscaler come parte di un piano di interventi deliberato, per snellire in modo deciso il proprio assetto tecnologico. 

Nonostante questo stack di soluzioni tecnologiche più leggero, l'azienda ha raggiunto un livello di sicurezza molto più solido. In uno degli ultimi trimestri, Zscaler ha elaborato 2,5 miliardi di transazioni e 186 TB di traffico per Hastings Direct, prevenendo 45 milioni di violazioni delle policy e bloccando oltre 14.000 minacce alla sicurezza. Quasi 4.500 di queste minacce erano nascoste nel traffico cifrato, dove le soluzioni legacy prive di scalabilità solitamente faticano a rilevarle.

Dato che le mitigazioni sono automatizzate su Zero Trust Exchange, una maggiore sicurezza non equivale a un incremento dei costi amministrativi. Grazie alla minore necessità di ricorrere all'intervento umano intensivo, i dipendenti IT di Hastings non hanno più la sensazione di dover costantemente reagire a problemi poco rilevanti e possono invece concentrarsi su altre priorità strategiche. 

Dato che il mantenimento di una sicurezza zero trust olistica è un processo dinamico e in costante evoluzione, Legg sta già valutando i prossimi passi per Hastings Direct. Nei prossimi mesi, amplierà l'utilizzo della piattaforma Zscaler e adotterà altre soluzioni. "La sicurezza zero trust è un impegno a vita, non un aggiornamento una tantum", ha affermato Legg. "Oggi, siamo molto più fiduciosi del nostro profilo di sicurezza, e saremo sempre preparati ad affrontare i rischi di domani".

Zscaler Risk360™ è considerata una soluzione in grado di contribuire concretamente alla consapevolezza del livello di rischio. Questo framework completo di quantificazione e visualizzazione fornisce una valutazione olistica e basata sui dati dei principali fattori di rischio, consentendo ai team di sicurezza di prevedere i problemi ed eliminarne le cause prima che si manifestino delle conseguenze. Un'ampia gamma di funzionalità di reportistica aiuta inoltre i team a comunicare il rischio informatico in modo meno tecnico.

La salvaguardia dei dati analitici dei clienti è una responsabilità critica per Legg e il suo team. L'adozione di Zscaler Data Protection è considerata un modo efficace per rafforzare le iniziative di prevenzione della perdita di dati (DLP), identificando le informazioni sensibili ovunque si trovino e fornendo una chiara visibilità sull'esposizione dei dati nei sistemi aziendali.

Le relazioni e la collaborazione sono al centro di tutto per Hastings Direct. La cultura aziendale si basa su 4 elementi chiave, ovvero colleghi, clienti, azienda e comunità, e sul ciclo simbiotico che rappresentano: se i colleghi si sentono supportati e responsabilizzati contribuiscono a sviluppare la soddisfazione e la fidelizzazione dei clienti, che a loro volta guidano il successo dell'azienda, e delle aziende di successo sono più propense a investire nelle comunità circostanti. "I nostri colleghi contribuiscono a stimolare la crescita, quindi il nostro obiettivo è fornirgli il supporto e le risorse di cui hanno bisogno per poterlo fare", ha spiegato Legg.

"La partnership con Zscaler è stata fondamentale per aiutare Hastings Direct a realizzare il suo obiettivo di diventare la compagnia di assicurazioni digitali più innovativa del Regno Unito", ha affermato Legg. "Grazie alla protezione di Zero Trust Exchange, i nostri colleghi possono operare con maggiore agilità e sicurezza, continuando a tracciare una nuova rotta nei mercati assicurativi digitali".