Numerosi fattori stanno contribuendo a cambiare l’assetto infrastrutturale degli istituti di credito. Migrazione verso il cloud, normative e trend di mercato stanno imponendo revisioni ed evoluzioni che portano con sé effetti e ricadute sulle strategie di cybersecurity. Nel “pandemico” 2020 si sono aggiunti il boom dello smart working e il remote customer management.

I sistemi core banking racchiudono le applicazioni mission critical per le banche, collegate alla gestione dei conti e depositi, ai prestiti e finanziamenti, ai pagamenti e alla sicurezza. Pur nella loro lentezza e rigidità, apparivano più semplici da controllare, mentre oggi i responsabili tecnologici si trovano a dover governare una combinazione di soluzioni ancora allocate su piattaforme legacy e altre proiettate sui nuovi fronti di fruizione digitale, modalità di accesso multiple, quantità di dati del tutto inedite, componenti acquisite da dipartimenti diversi per le loro esigenze operative e aperture all’interazione con altri operatori dettate soprattutto dalle evoluzioni normative, Psd2 in testa. Inoltre, anche se molti istituti finanziari hanno investito risorse nella costruzione di moderni sistemi e infrastrutture software, nel settore è ancora utilizzata una quantità enorme di tecnologia legacy.

La conoscenza dell’infrastruttura alla base del controllo

Lo scenario fin qui delineato ci aiuta a comprendere l’importanza strategica, soprattutto per i Chief Information Security Officer (Ciso), della piena e affidabile visibilità sull’infrastruttura tecnologica della banca. Un concetto che vale sicuramente per le realtà che gestiscono internamente la maggior parte dei processi core, ma anche per quelle che hanno scelto la strada dell’outsourcing operativo e per quelle, soprattutto fra le realtà digital native, con una forte propensione alla fruizione di servizi in cloud.

Da qui ha preso spunto il progetto di ricerca qualitativa che Technopolis ha realizzato intervistando una quindicina di istituti di credito di varie dimensioni, allo scopo di approfondire, in particolare, quale sia stata fino a oggi l’evoluzione del presidio e del controllo sulle infrastrutture Ict, in quale misura si stia gestendo un eventuale passaggio al cloud, come incidano gli sviluppi in direzione della trasformazione digitale e quali siano gli strumenti adottati per garantire la minimizzazione della superficie vulnerabile e la capacità di risposta e rimedio in caso di problematiche di sicurezza.

L’organizzazione e i team di sicurezza

Le evoluzioni normative di questi ultimi anni hanno certamente avuto un impatto non trascurabile sulle infrastrutture informatiche delle banche e sull’organizzazione delle risorse. Il Gdpr ha evidenziato quanto la sicurezza dei dati dei clienti non sia più una semplice scelta, bensì un vero e proprio obbligo, regolamentato per tutelare le persone e le loro libertà fondamentali.

Sembra però che l’impatto più rilevante anche sul fronte della sicurezza sia stato determinato dall’arrivo della Psd2, divenuto concreto nella seconda parte del 2019, ma con ricadute tuttora attive per molti istituti, soprattutto nello sviluppo di nuovi servizi. Per diverse realtà, il passaggio ha comportato investimenti utili a garantire che gli accessi dei clienti da propri endpoint avvengano ai livelli di sicurezza più elevati del momento e, quindi, con tecniche di strong authentication a due fattori. L’apertura delle reti a terze parti ha inciso sull’approccio architetturale alla cybersecurity per far sì che tutto avvenga garantendo nel contempo l’impenetrabilità delle proprie infrastrutture.

I mutamenti imposti dal mercato o dalle emergenze

Per decenni, la filosofia della sicurezza, non solo in ambito finanziario, si è concentrata sulla protezione interna dalle minacce provenienti dal mondo esterno, di fatto la stessa filosofia alla quale i Romani si affidavano per proteggere la loro frontiera. Allo stesso modo, le organizzazioni hanno fatto fin qui affidamento sulle VPN per fornire ai dipendenti la possibilità di svolgere i propri lavori in sicurezza mentre si trovavano fuori sede, anche se, almeno nell’era pre Covid-19, lo sfruttamento è spesso stato inferiore al potenziale utilizzabile.

Il campione analizzato per la ricerca conferma che più o meno tutti hanno esteso il raggio d’azione dei propri strumenti di protezione negli ultimi anni. A differire è il peso di queste componenti e le conseguenti metriche di valutazione dei team di sicurezza. La difesa perimetrale non è certo scomparsa, la sua utilità non viene disconosciuta e in alcuni casi questo è ancora il tipo di approccio preponderante alla cybersecurity. Strumenti come il Siem o l’analisi comportamentale sono patrimonio comune fra le banche di ogni dimensione (o i loro outsourcer), ma si può dire sia ancora minoritaria la logica di misurazione basata sul tempo di rimedio a una falla riscontrata (e prima ancora individuata) e sulla garanzia della minor superficie vulnerabile possibile.

La pandemia che ha caratterizzato la prima parte del 2020 e ha improvvisamente costretto le aziende a spostare in remoto gran parte del lavoro dei propri dipendenti non pare aver richiesto importanti revisioni infrastrutturali nelle banche analizzate. Lo smart working era più o meno già presente ovunque, anche se certamente minoritaria era la quantità di personale coinvolto. I responsabili Ict & Security hanno dovuto in prima battuta occuparsi di un’emergenza soprattutto al numero di persone, dispositivi e connessioni coinvolte. Laddove esistevano le adeguate premesse, si è dato spazio alle architetture Zero-Trust, dove si assume che chiunque possa rappresentare una minaccia e quindi occorra verificare sempre e in continuazione, ma più in generale l’attenzione è stata assorbita dalla necessità di mettere tutti nelle condizioni di lavorare come se si trovassero in ufficio, rincorrendo la disponibilità di laptop laddove non ci fosse già una dotazione interna sufficiente, attivando la connessione remota tramite VPN rafforzate nella loro portata e generalizzando l’utilizzo di sistemi di autenticazione multifattore.

Le spinte all’innovazione

Ci sono numerosi fattori che fanno pensare come, nel breve e medio termine, la sicurezza informatica resterà un tema rilevante nei piani di investimenti degli istituti di credito italiani. La già citata normativa PSD2 ha fornito una spinta determinante per il rinnovamento dei controlli sugli accessi e le operazioni effettuate sui sistemi.  L’emergenza Covid-19 ha portato in qualche caso ad accelerare decisioni magari già pianificate ma con tempi di esecuzione più lunghi, nella consapevolezza che gli effetti perdureranno nel tempo e, in alcuni ambiti, saranno forse irreversibili.

In questo scenario, pare esserci spazio anche per un maggior utilizzo del cloud, anche se in alcuni ambiti piuttosto delimitati. Già oggi è abbastanza frequente intercettare realtà che ne sfruttano le caratteristiche per gestire la sicurezza della posta elettronica o della condivisione di file, nel più ampio contesto di diffusione di soluzioni di collaboration non più gestite in-house. Anche per i sistemi di monitoraggio e visibilità infrastrutturale, utili per individuare, classificare e porre rimedio a eventuali vulnerabilità critiche riscontrate sulle reti, l’idea di affidarsi a una soluzione in cloud non incontra più le stesse resistenze di un tempo.

Questo articolo è uscito anche sul numero 43 di Technopolis, periodico mensile edito da Indigo Communication Srl