Ancora oggi, per proteggere i propri dati da attacchi dannosi, sono molte le banche che adottano un approccio basato sul modello “castello e fossato”, anche noto come “sicurezza perimetrale”. Tale approccio consiste nel rafforzare i perimetri della rete con firewall, server proxy, honeypot e altri strumenti di prevenzione delle intrusioni, così come i castelli medievali per proteggersi da attacchi esterni si avvalevano di mura in pietra, fossati e ponti levatoi. Poiché la sicurezza perimetrale protegge i punti di ingresso e di uscita, tramite il controllo dei pacchetti di dati e dell’identità degli utenti che entrano ed escono dalla rete dell’organizzazione, è normale pensare che l’attività al suo interno possa essere ritenuta sicura.
Tuttavia, attualmente si sta verificando una tendenza all’adozione di un approccio più moderno alla sicurezza informatica da parte delle istituzioni finanziarie più esperte: il modello Zero Trust. Il principio alla base di tale modello consiste nell’accordare zero fiducia, per impostazione predefinita, ad utenti interni ed esterni e nell’esigere la verifica scrupolosa di ogni persona o dispositivo prima di concedere l’accesso.
I perimetri del castello continuano ad essere importanti, ma anziché effettuare ulteriori investimenti in fortificazioni più massicce e fossati più ampi, si predilige scegliere un approccio più articolato alla gestione dell’accesso di identità, dati e dispositivi all’interno del castello, tramite il modello Zero Trust. Grazie a tale approccio, anche se un insider agisce in modo dannoso o negligente, o utenti malintenzionati varcano le mura del castello di nascosto, non è detto che riescano ad accedere automaticamente ai dati.
I limiti dell’approccio di tipo “castello e fossato”
Quando si tratta di proteggere l’attuale patrimonio digitale aziendale, l’approccio “castello e fossato” presenta alcuni limiti critici perché il significato stesso di protezione dalle minacce informatiche è cambiato. Le grandi organizzazioni, comprese le banche, devono fare i conti con reti di dati e applicazioni sparse, a cui accedono dipendenti, clienti e partner in sede o online. Ciò rende la difesa del castello ancora più difficile. E anche se il fossato risultasse efficace per arginare gli attacchi, non può fare molto contro utenti con identità compromesse o altre minacce interne che si nascondono all’interno delle mura del castello.
Le procedure riportate comportano l’esposizione a possibili attacchi e sono pratiche comuni nelle banche il cui approccio alla sicurezza si basa sul modello “castello e fossato”:
Un’unica revisione annuale dei diritti di accesso del personale alle applicazioni.
Criteri per l’assegnazione dei diritti di accesso ambigui e incoerenti, a discrezione del gestore, e governance insufficiente in caso di trasferimenti del personale.
Uso eccessivo di account con privilegi di amministratore da parte dell’IT.
Dati dei clienti memorizzati in più condivisioni di file e poca chiarezza sugli aventi diritto all’accesso.
Fiducia eccessiva nelle password per autenticare gli utenti.
Assenza di attività di classificazione dei dati e di creazione di report per tenere traccia dei dati.
Uso frequente di unità flash USB per trasferire file che includono dati altamente sensibili.
In che modo consulenti e clienti possono utilizzare il modello Zero Trust
I vantaggi dell’approccio Zero Trust sono stati ampiamente documentati e un numero crescente di esempi reali ne dimostra la capacità di prevenire cyberattacchi sofisticati. Nonostante ciò, sono ancora molte le banche che attuano procedure diverse dai principi Zero Trust.
L’adozione di un modello Zero Trust può aiutare le banche a rafforzare la propria posizione di sicurezza, in modo da poter supportare con fiducia le iniziative che offrono ai dipendenti e ai clienti una maggiore flessibilità. Ad esempio, i dirigenti delle banche vorrebbero svincolare dalle loro postazioni i responsabili delle relazioni con i clienti e i consulenti finanziari, per rendere possibile l’incontro con i clienti al di fuori dei locali delle banche. Oggi molte istituzioni finanziarie supportano questa flessibilità geografica attraverso strumenti cartacei statici per riassumere la propria consulenza. Tuttavia, sia i dipendenti delle banche che i clienti si aspettano un’esperienza più dinamica che consenta di utilizzare dati in tempo reale.
Le banche che si affidano ad un approccio alla sicurezza basato sul modello “castello e fossato” sono riluttanti a diffondere dati al di fuori della rete fisica. Ciò significa che i consulenti finanziari possono avvalersi di modelli dinamici di strategie di investimento comprovate e disciplinate solo se le riunioni con i loro clienti si svolgono all’interno dei locali della banca.
D’altra parte, per i consulenti in movimento, o comunque senza VPN, è complicato condividere aggiornamenti di modelli in tempo reale o collaborare attivamente con altri consulenti od operatori. Eppure, questa flessibilità è un fattore importante per prendere decisioni di investimento solide e per la soddisfazione del cliente. Grazie al modello Zero Trust il responsabile delle relazioni con i clienti o l’analista può sfruttare le informazioni dei fornitori di dati di mercato, sintetizzarle con i propri modelli e lavorare in modo dinamico in diversi scenari, sempre e ovunque.
Fortunatamente è in corso una nuova era di intelligent security, basata sul cloud e sull’architettura Zero Trust, in grado di semplificare e modernizzare la sicurezza e la conformità per le banche.
Microsoft 365 aiuta a trasformare la sicurezza bancaria
Con Microsoft 365 le banche possono passare subito alla sicurezza Zero Trust attraverso l’implementazione di tre strategie chiave:
Identità e autenticazione—Innanzitutto, le banche devono verificare l’identità degli utenti e fornire loro garanzie di accesso in base al ruolo. Con Azure Active Directory (Azure AD), possono utilizzare Single Sign-On (SSO) per consentire agli utenti autenticati di connettersi alle app ovunque, garantendo ai dipendenti mobili l’accesso sicuro alle risorse senza comprometterne la produttività.
Inoltre, con l’implementazione dei metodi di autenticazione avanzata, come l’autenticazione a più fattori a due fattori o senza password, possono ridurre il rischio di violazione del 99,9%. Microsoft Authenticator supporta notifiche push, passcode monouso e dati biometrici per qualsiasi app connessa ad Azure AD.
Per i dispositivi Windows, i dipendenti possono utilizzare Windows Hello, una funzione di riconoscimento facciale sicura e pratica per accedere ai dispositivi. Infine, le banche possono avvalersi dell’accesso condizionale di Azure AD per proteggere le risorse da richieste sospette mediante l’applicazione di criteri di accesso appropriati. Microsoft Intune e Azure AD collaborano per garantire che solo i dispositivi gestiti e conformi possano accedere ai servizi di Office 365, incluse posta elettronica e app locali. Attraverso Intune, è anche possibile valutare lo stato di conformità dei dispositivi. I criteri di accesso condizionale vengono applicati in base allo stato di conformità del dispositivo nel momento in cui l’utente tenta di accedere ai dati.
Esempio di accesso condizionale.
Protezione dalle minacce—Con Microsoft 365, le banche possono anche rafforzare la loro capacità di proteggere, rilevare e rispondere agli attacchi con la sicurezza integrata e automatizzata di Microsoft Threat Protection. Microsoft Threat Protection sfrutta la tecnologia di Microsoft Intelligent Security Graph per raccogliere i segnali di minaccia e l’automazione avanzata basata sull’intelligenza artificiale (IA) per migliorare l’identificazione e la risposta agli incidenti, consentendo ai team di sicurezza di risolvere prontamente le minacce in modo accurato ed efficiente. Il Centro sicurezza Microsoft 365 fornisce un hub centralizzato e un’area di lavoro specializzata per gestire e sfruttare appieno le soluzioni di intelligent security di Microsoft 365 per la gestione di identità e accessi, protezione dalle minacce, protezione delle informazioni e gestione della sicurezza.
Centro sicurezza Microsoft 365.
Protezione delle informazioni—Identità e dispositivi sono i principali vettori di vulnerabilità per gli attacchi informatici, ma ciò che i criminali informatici desiderano davvero sono i dati. Con Microsoft Information Protection, le banche possono migliorare la protezione delle informazioni sensibili, ovunque risiedano o viaggino. Microsoft 365 consente ai clienti di 1) identificare e classificare i propri dati sensibili; 2) applicare criteri di protezione flessibili e 3) monitorare e correggere i dati sensibili a rischio.
Esempio di uno scenario di classificazione e protezione.
Semplificare la gestione della sicurezza con Zero Trust
Microsoft 365 aiuta a semplificare la gestione della sicurezza in una moderna architettura Zero Trust, sfruttando la visibilità, le dimensioni e l’intelligence necessarie per combattere il crimine informatico.
L’ambiente Zero Trust è ottimale per proteggere il proprio “castello” moderno dalle attuali minacce alla sicurezza informatica. Nell’ambiente Zero Trust la supervisione degli accessi è aggiornatissima su chi accede a cosa, dove e quando e se l’accesso è consentito.
Le funzionalità di sicurezza e conformità di Microsoft 365 aiutano le organizzazioni a effettuare verifiche prima di affidarsi a un utente o a un dispositivo. Microsoft 365 offre anche una soluzione completa per il lavoro in team e la produttività. Complessivamente, Microsoft 365 offre una soluzione completa per aiutare i dirigenti delle banche a concentrarsi su clienti e innovazione.
The post Perché le banche si affidano al moderno modello Zero Trust per la propria sicurezza informatica appeared first on Microsoft 365 Blog.
Source: office365