L’importanza dell’identità e della gestione degli accessi nel settore bancario

L'importanza della gestione dell'identità e degli accessi nel settore bancario 4Di Kyle Benson, Direttore del marketing di prodotto di Saviynt

Il panorama della sicurezza informatica nelle organizzazioni bancarie è complesso e pieno di sfide. Per uno, con l’enorme quantità di dati preziosi sui libri contabili, le istituzioni finanziarie saranno sempre un obiettivo prioritario crimine informatico, con BCG che ha scoperto che i servizi finanziari hanno una probabilità 300 volte maggiore di essere vittime di un attacco informatico rispetto a qualsiasi altro tipo di organizzazione. Un sondaggio VMware ha anche rilevato che il 63% degli istituti finanziari ha affermato di aver assistito a un aumento degli attacchi distruttivi contro la propria organizzazione, mentre quasi tre intervistati su quattro hanno affermato di essere stati colpiti da almeno un attacco ransomware.

Un tipo di attacco particolarmente dannoso vede gli hacker che cercano di sfruttare le credenziali rubate per accedere ai dati dei clienti bancari a fini di doppia estorsione. In primo luogo, prendono il controllo delle risorse IT e richiedono il pagamento per riottenere l’accesso, quindi minacciano di divulgare o vendere i dati dei clienti sul Dark Web se non viene effettuato un secondo pagamento di estorsione. Questa esposizione è una considerazione a livello di consiglio, poiché qualsiasi violazione della loro responsabilità fiduciaria può portare a gravi sanzioni, multe e enormi danni reputazionali.

Il passaggio a lavoro ibrido ha anche introdotto nuovi ostacoli e sfide da mitigare, in particolare quando si tratta di rischi. Con il lavoro a distanza, la forza lavoro ibrida e le tecnologie software basate sul cloud che stanno diventando onnipresenti, le organizzazioni di tutto il settore bancario hanno dovuto adottare rapidamente nuove strategie per supportare questo nuovo modo di lavorare, ma hanno ulteriormente complicato le reti IT, aumentato la superficie di attacco per i criminali informatici e ha creato nuovi rischi nel processo. Inoltre, poiché le banche adottano nuove tecnologie come l’intelligenza artificiale, estendono i loro servizi su più piattaforme come i dispositivi mobili e cercano di trasformare digitalmente le loro operazioni, la superficie di attacco aumenta ulteriormente.

In aggiunta a ciò, l’attuale carenza di manodopera ha visto le organizzazioni rivolgersi sempre più terzo fornitori e successivamente si mettono a rischio ancora maggiore. Senza un’adeguata due diligence e governance, queste terze parti potrebbero avere accesso a informazioni che non dovrebbero e quando le organizzazioni non sanno quante terze parti hanno questo tipo di accesso, il fattore di rischio aumenta nuovamente. Secondo il Ponemon Institute, il 66% delle aziende non ha idea di quante relazioni con terze parti intrattengono o di come vengono gestite, anche se il 61% ha riferito di avere una violazione imputabile a una terza parte.

Infine, contesto normativo e normativo nel settore bancario sono in continua evoluzione per proteggere i dati dei clienti e stare al passo con l’introduzione di nuove tecnologie e servizi. Ma conformarsi a questi standard in continua evoluzione può essere dispendioso in termini di tempo e denaro e non sempre facile da implementare: secondo la ricerca della divisione tecnologica del Banking Policy Institute, i CISO trascorrono il 40% del loro tempo a risolvere numerosi requisiti normativi.

Quindi, come possono le banche affrontare queste sfide a testa alta e adottare misure proattive per mitigare i rischi e proteggere i loro ambienti e i dati dei loro clienti? Possono iniziare con Gestione automatizzata di identità e accessi.

Che cos’è la gestione dell’identità e degli accessi?

Fondamentalmente, Identity and Access Management (IAM) consiste nel garantire che gli utenti giusti abbiano il giusto accesso alle risorse giuste per la giusta quantità di tempo e per le giuste ragioni.

IAM è un insieme di strumenti utilizzati per fornire visibilità, controllo e gestione dell’identità e dell’accesso. Lo fa concentrandosi sull’utente autenticazione (l’utente/identità è chi dice di essere), autorizzazione (che autorizzazioni hanno), accesso (a cosa possono accedere e chi fornisce loro questo accesso) e amministrazione (governo e gestione degli accessi e delle identità). Con questi strumenti, le organizzazioni possono monitorare continuamente l’accesso e applicare i principi di “Fiducia zero”, in cui tutto e tutti sono considerati inaffidabili fino a quando non vengono verificati.

IAM è composto da due parti: identità gestione e accesso gestione. Questi regolano il modo in cui gli utenti interagiscono con dati e applicazioni attraverso sistemi informativi, reti, database e software. Anna identità può essere qualsiasi persona, oggetto o codice che interagisce con le informazioni, dai dipendenti locali e remoti, ai robot robotici di automazione dei processi che svolgono attività amministrative. Ognuna di queste identità ha bisogno di determinate risorse per completare il proprio lavoro, e accesso sta stabilendo cosa sono esattamente queste risorse e chi ha bisogno di accedere a cosa. Un account manager di una banca, ad esempio, richiederà risorse e accesso diversi rispetto a un chatbot rivolto ai clienti sull’app mobile di quella banca.

Perché le banche dovrebbero preoccuparsi di IAM

Poiché i perimetri di sicurezza continuano a cambiare ed espandersi, con infrastrutture ibride e cloud sempre più complesse, e le organizzazioni continuano a integrare nuove tecnologie e un numero sempre crescente di identità che richiedono identificazione, autenticazione e privilegi, l’approccio alla protezione dell’identità e dell’accesso deve essere proattivi.

Ciò significa creare e implementare una politica che limiti l’accesso alle informazioni e alle identità delle applicazioni, sia umane che robotiche. È qui che IAM è indispensabile, fornendo alle organizzazioni bancarie una vasta gamma di vantaggi, tra cui:

Gestione efficace del ciclo di vita: IAM aiuta le organizzazioni bancarie a tenere traccia dei propri dipendenti in ogni fase del loro impiego, dall’onboarding al pensionamento. Questo è importante poiché quando i dipendenti avanzano in un’organizzazione, le loro autorizzazioni e i requisiti delle risorse cambiano. E quando un dipendente lascia o si trasferisce, il suo accesso deve essere limitato o rimosso completamente. La gestione dei cicli di vita delle identità per un’intera organizzazione è estremamente complessa, quindi avere un programma IAM che faciliti questo processo è inestimabile.

Accurata evasione della richiesta: Con un numero crescente di nuove identità che emergono in un’organizzazione, da terze parti ai bot, che richiedono tutte l’accesso a risorse diverse in luoghi diversi, IAM può aiutare a soddisfare tali richieste in modo accurato e rapido.

Esperienza utente intuitiva: Ogni identità richiederà un accesso diverso ed è probabile che la maggior parte di queste identità abbia un diverso livello di conoscenza IT (questo vale anche per i bot). Le soluzioni IAM possono semplificare le cose garantendo che tutti possano fare richieste per ottenere le risorse di cui hanno bisogno per svolgere correttamente il proprio lavoro.

Livello extra di auditing: le banche soggette a conformità non sono estranee a un audit e possono garantire che siano costantemente conformi e sicure utilizzando i sistemi IAM per identificare i punti deboli. Utilizzando i dati delle soluzioni IAM per produrre report di attività e analizzando i dati per eventuali discrepanze o fattori di rischio, come le violazioni della separazione dei dazi, le banche possono lavorare per mitigare i problemi prima che si verifichino danni.

Sicurezza informatica flessibile: Nel mondo del lavoro ibrido, le organizzazioni cambiano continuamente forma e hanno bisogno di gestire le identità attraverso più tecnologie, in diversi ambienti di lavoro e per un numero di utenti in continua evoluzione. Avere un sistema IAM flessibile compatibile con le tecnologie on-premise o cloud è fondamentale per proteggere un’organizzazione, in base alle esigenze dell’azienda.

Conclusione

Le organizzazioni bancarie dovranno sempre affrontare rischi nuovi e diversi e avranno sempre la necessità di soddisfare severi requisiti di conformità per la privacy e la sicurezza dei dati. Con IAM, possono garantire che i loro dati siano protetti dall’accesso non autorizzato e che rimangano conformi alle normative del settore, garantendo che gli utenti giusti abbiano il giusto accesso alle risorse giuste al momento giusto e per il giusto motivo.

Leave a Comment

Your email address will not be published. Required fields are marked *