Cinque modi attraverso cui le banche e il settore dei servizi finanziari possono sfruttare al meglio le infrastrutture ibride

Per prosperare in un panorama economico in rapida evoluzione, il settore finanziario ha dovuto reinventarsi adottando il cloud e il mobile computing. Sebbene le organizzazioni finanziarie abbiano compiuto significativi progressi verso la trasformazione digitale, spesso l'adozione di nuove tecnologie si accompagna all'uso di un'infrastruttura IT legacy, e questo impedisce al settore di ottenere il massimo dalla digitalizzazione. In che modo le istituzioni finanziarie possono avere successo in un mondo che si muove tra i due poli delle infrastrutture legacy e delle applicazioni moderne cloud?
 

Il settore delle banche e dei servizi finanziari è in rapida evoluzione

Advances in technology have opened the market to disruptive digital competitors. The rise of so-called challenger banks has developed in line with consumers’ readiness to embrace e-commerce through smartphones and e-payments. This market dynamism means that customers have become more demanding and expect real-time, customized, and seamless experiences in their daily interactions with their banks.

L'innovazione digitale e l'agilità aziendale sono fondamentali per le istituzioni finanziarie, non solo per preservare la propria base di clienti esistente, ma anche per attirarne di nuovi, aumentare la quota di mercato e affrontare le opportunità di crescita in nuovi segmenti di mercato. Nonostante la necessità di preservare il rispetto rigoroso delle normative finanziarie e dei controlli di governance, il settore finanziario si sta evolvendo rapidamente e la trasformazione digitale è in corso.

Per mitigare il rischio di perdere i clienti, le organizzazioni finanziarie devono replicare il livello di servizio clienti della filiale offrendo esperienze digitali della stessa qualità. Questa è la ragione principale per cui l'esperienza utente rappresenta una priorità per la maggior parte delle organizzazioni finanziarie, e non solo per i clienti, ma anche per i dipendenti.
 

Le app cloud non equivalgono a un'infrastruttura predisposta per il cloud

Il problema per le organizzazioni finanziarie è che, anche quando desiderano adottare nuove soluzioni IT per la trasformazione digitale, devono rispettare rigorose politiche per soddisfare i requisiti delle autorità di regolamentazione. Sono quindi avverse ai rischi, e tendono a continuare ad appoggiarsi alla propria infrastruttura IT legacy. Questa riluttanza a interferire con i propri sistemi IT principali, molti dei quali sono utilizzati da più di 30 anni, porta a una configurazione ibrida dell'IT.

Sono vari i motivi per cui implementare cambiamenti nelle architetture legacy è complesso, ma il settore finanziario, come molti altri settori, sta comunque modernizzando il sistema front end con cui interagiscono gli utenti. Tuttavia, a differenza di altri settori, le banche hanno difficoltà a operare nel cloud ibrido e negli ambienti on-premise, e questo a causa principalmente delle stesse ragioni normative che ne ostacolano la modernizzazione. Devono assicurare conformità alle politiche e ai requisiti normativi relativi ai flussi di dati e, allo stesso tempo, devono trovare un equilibrio tra sicurezza ed esperienza utente per le nuove iniziative cloud.

Sebbene le organizzazioni finanziarie stiano adottando la tecnologia mobile e cloud per promuovere la trasformazione digitale a livello aziendale, devono comunque considerare la sicurezza dei flussi di dati che stanno lasciando i propri perimetri. Con la transizione alle applicazioni basate sul cloud, si trovano a dover gestire l'abilitazione della propria forza lavoro, senza compromettere la sicurezza, utilizzando Internet come percorso per accedere alle app.

Affinché gli istituti finanziari possano sfruttare tutti i vantaggi del cloud nelle proprie infrastrutture ibride, preservando al contempo la massima sicurezza, è utile considerare i cinque punti seguenti.

 

1: Valutare l'esperienza dell'utente

La struttura tradizionale delle banche prevedeva una sede centrale supportata da filiali. Nei tradizionali ambienti di rete "hub and spoke", tutte queste sedi si connettono a una singola rete aziendale e si collegano a un data center privato centrale. In questa configurazione, tutti i dati vengono inoltrati al data center tramite costosi collegamenti MPLS di backhauling. Questo modello funzionava bene con le app on-premise, ma non è più adatto ora che le applicazioni si sono spostate sul cloud. La deviazione di ciascun utente tramite la rete aziendale verso dei breakout e poi verso le applicazioni cloud aggiunge latenza e danneggia l'esperienza utente.

Ad esempio, Office 365 è un'applicazione comune che risiede nel cloud e la sua adozione crea un aumento del traffico dati legato al cloud, che richiede un'enorme quantità di larghezza di banda. In un ambiente legacy, il traffico dati passa dagli uffici delle filiali al datacenter sulle reti MPLS, per poi uscire dallo stack di sicurezza del datacenter verso Office 365 ospitato sui cloud Microsoft. È necessario quindi raddoppiare lo stack di sicurezza in ingresso nel datacenter, quindi quello di ritorno verso le filiali. Questo instradamento di controllo multi-hop e multi-security introduce un'elevata latenza e ostacola le prestazioni di Office 365.

Gli istituti finanziari devono poter fornire al personale un accesso fluido alle applicazioni cloud. Il problema della latenza può essere risolto offrendo ai dipendenti una connettività diretta a Internet e alle applicazioni cloud.
 

2: Fornire un accesso sicuro da qualsiasi luogo

Il percorso del settore bancario e finanziario verso il cloud è stato interrotto bruscamente a causa della pandemia di COVID-19. In pochi giorni, migliaia di dipendenti degli uffici e delle filiali si sono ritrovati a dover lavorare da remoto.

Purtroppo, a causa delle infrastrutture "hub and spoke", questa transizione si è rivelata più complessa del previsto. Per accedere alle applicazioni, i lavoratori da remoto finivano con il far fare ai dati un percorso molto più tortuoso. Torniamo all'esempio di Office 365: il traffico proviene da un client VPN ed entra ed esce dal data center tramite uno stack lineare di appliance, tra cui bilanciatori di carico, sicurezza DDOS (Distributed Denial of Service), firewall, concentratori VPN, IPS (Intrusion Prevention System), SSL, prevenzione dalla perdita dei dati (DLP) e/o protezione da una minaccia avanzata (ATP). La latenza intrinseca nell'instradamento del traffico influisce negativamente sulle prestazioni di Office 365, e causa spesso frustrazione negli utenti. Questo potrebbe anche portare a voler bypassare i controlli VPN, con il rischio che la rete aziendale venga esposta a potenziali attacchi.

Le VPN possono rappresentare un metodo collaudato per offrire connettività, ma ma non sono più efficienti, perché sono state inventate prima dell'era del cloud e influiscono negativamente sulle prestazioni. Una connessione VPN non solo rallenta il traffico, ma apre l'intera rete all'utente e all'applicazione, causando potenziali problemi di sicurezza. Le banche e gli istituti finanziari dovrebbero cercare di lasciarsi alle spalle le VPN e considerare approcci più moderni, che forniscano un maggiore livello di sicurezza e vietino l'accesso alla rete agli utenti che non sono sorvegliati.

La possibilità di stabilire e mantenere connessioni sicure da remoto con le applicazioni cloud non deve comportare necessariamente un peggioramento delle prestazioni, né essere un vettore di attacco. Una soluzione zero trust può garantire agli utenti un accesso alle applicazioni granulare, diretto e sicuro e può essere implementata sulle infrastrutture legacy.
 

3: Risparmiare sui costi e sulla complessità e ottenere maggiore sicurezza

Un ulteriore aspetto da rivedere nelle configurazioni ibride è l'infrastruttura desktop virtuale, o Virtual Desktop Infrastructure (VDI), che è stata ampiamente adottata nel settore finanziario per la sicurezza e la limitazione della residenza dei dati. Invece di accedere direttamente all'applicazione, la virtualizzazione consente di visualizzare le informazioni sullo schermo, senza la possibilità di modificare o estrarre i dati, perché l'applicazione è ancora in esecuzione sul server e rimane all'interno del confine aziendale.

La tecnologia VDI consente agli utenti in remoto di connettersi ai sistemi principali, alle e-mail e ad altre applicazioni tramite dispositivi BYOD, riducendo problemi comuni come l'esposizione e il furto dei dati. La virtualizzazione del desktop è un'impresa complessa e le prestazioni del desktop virtuale possono comunque rivelarsi un problema per l'utente, poiché la trasmissione dell'immagine virtuale si basa sulla connettività di rete. Il percorso di accesso remoto deve comunque utilizzare una VPN per consentire l'accesso VDI, e solo nell'ultimo passaggio fornisce la visualizzazione dell'app.

Inoltre, queste soluzioni non solo sono notoriamente difficili da configurare e costose da gestire, ma vengono anche usate in modo eccessivo, e aggiungono un ulteriore rischio per la sicurezza, soprattutto durante la pandemia. Le organizzazioni finanziarie devono prestare attenzione ed evitare di porre rimedio a una rete poco performante con infrastrutture aggiuntive. Questo non aggiunge solo complessità e costi, ma aumenta anche i rischi. Inoltre, le organizzazioni che continuano a sviluppare la propria infrastruttura legacy, diventano meno agili, meno innovative e meno competitive, ottenendo l'effetto opposto rispetto a quello per cui avevano iniziato il percorso di digitalizzazione.

È consigliabile ripensare la configurazione costosa e complessa di un'infrastruttura VDI. L'integrazione con un approccio cloud alla sicurezza può aiutare a controllare ciò a cui l'utente ha accesso e aggiunge visibilità e controllo in modo centralizzato, oltre a un'esperienza utente più veloce e uniforme.
 

4: Accesso diretto al cloud a confronto con le "applicazioni" mobili e i dispositivi BYOD

Di solito, le banche e i servizi finanziari si affidano a macchinosi sistemi client e desktop nei loro uffici, che sono completamente diversi da quelli a cui il personale è abituato quando utilizza i dispositivi personali per la navigazione privata e l'interazione con i social media.

Per fornire la stessa esperienza, le organizzazioni hanno iniziato a prendere in considerazione la possibilità di supportare i dispositivi BYOD. I CIO dei servizi bancari e finanziari si trovano a gestire sempre più progetti che, attraverso estensioni delle app, estendono le principali funzionai aziendali, come i sistemi di core banking (CBS), ai lavoratori mobili, nel tentativo di per rimanere a galla nel mondo del banking moderno. Dato che gli istituti finanziari non possono fornire l'accesso diretto alle infrastrutture legacy, investono in modo massiccio su app mobili per consentire il lavoro sul campo in alcune parti del mondo. La diffusione di app che offrono queste funzioni di core banking ha l'obiettivo di fornire ai dipendenti sul campo un metodo semplice, veloce e sicuro per aiutare i clienti a prendere decisioni e utilizzare i servizi da remoto. Per fornire e raccogliere le migliore informazioni su preventivi, polizze, dettagli sulla copertura, termini, condizioni e altro, il personale sul campo deve poter accedere ai principali sistemi assicurativi di banking.

Una soluzione per offrire l'accesso remoto consiste nella creazione di app mobili per l'istituzione di prestiti e motori per la creazione di preventivi, nell'inserimento di questi all'interno di un contenitore MDM (Mobile Device Manager) e nell'utilizzo di servizi web o API in tempo reale che si connettono ai sistemi principali. Tuttavia, la creazione eccessiva di app crea nuovi problemi per i responsabili IT, come la necessità di un aumento del carico operativo per gli sviluppatori, richieste frequenti di modifica o una maggiore domanda in risposta alle richieste degli utenti finali. Questo approccio aggiunge complessità all'ambiente IT. Invece di creare app mobili, i team IT dovrebbero cercare modi più efficaci per offrire al personale sul campo un accesso sicuro alle funzionalità principali attraverso il cloud.

L'accesso alla banda larga mobile, l'aumento della velocità dei cellulari sull'LTE (con il passaggio in corso al 5G) e gli hotspot Wi-Fi pubblici facilitano il lavoro da remoto da qualsiasi luogo. Consentendo ai dipendenti di accedere alle applicazioni principali sul campo con la stessa facilità di accesso disponibile nella sede centrale e in filiale, non ci sarà più bisogno di estensioni per le app mobili, ma piuttosto di dispositivi BYOD sicuri. 
 

5: Supporto per l'attività controllo offerto dalla visibilità

Gli istituti finanziari devono sempre tenere in conto eventuali controlli in arrivo e altri requisiti normativi. Un audit IT interno valuta la capacità dell'organizzazione di comprendere la propria esposizione ai rischi e analizza l'efficienza nel rilevare e segnalare le violazioni dei dati. Inoltre, un'organizzazione deve poter comprendere se dispone di misure adeguate per far fronte a questi rischi. Mentre le organizzazioni finanziarie cercano nuovi metodi per creare valore, raggiungere nuovi gruppi target e tenere traccia del cambiamento della digitalizzazione, devono comunque assicurarsi di essere a conoscenza di tutti i flussi di dati in risposta alle attività di audit.

I CIO devono sempre sapere chi si trova sulla rete e a cosa abbia accesso.

I responsabili IT devono anticipare quello che l'evoluzione della vigilanza comporta per la propria organizzazione e prendere decisioni di conseguenza, anche per quanto riguarda i propri programmi informatici e di analisi delle minacce. Il parametro più importante è quindi la visibilità sul traffico di tutto il personale all'interno e all'esterno della rete, indipendentemente dal luogo di lavoro e dal dispositivo che utilizzano per accedere alle applicazioni. Con la diffusione del cloud e della mobilità, gli istituti finanziari si trovano a dover tenere traccia di tutti i flussi di dati all'interno dell'organizzazione. Hanno bisogno di ottenere visibilità sul traffico in modo centralizzato, e il cloud può rappresentare uno strumento chiave per raggiungere questo obiettivo.

Per soddisfare i requisiti di un audit interno e ottenere visibilità su tutti i flussi di dati per contrastare la criminalità informatica, una piattaforma di sicurezza cloud altamente integrata riduce la complessità delle attività e facilita i processi di auditing.
 

L'approccio zero trust aiuta a superare i limiti delle infrastrutture legacy

Un'architettura zero trust di solito utilizza un modello di sicurezza cloud per supportare i principi fondamentali del default deny (rifiuto automatico) e le policy che seguono gli utenti. In questo modo, lo zero trust estende la protezione della sicurezza ai dispositivi mobili, in modo che il personale da remoto possa accedere alle applicazioni principali con lo stesso livello di sicurezza del personale in ufficio. Gli utenti non vengono mai collocati sulla rete e si connettono solo alle applicazioni, in base a quanto consentito dalle policy aziendali che sono state configurate. Questo è in contrasto con l'accesso VPN tradizionale, che estende la debole rete aziendale oltre i limiti di efficacia dell'effettiva capacità di controllo.

Inoltre, gli utenti e i dispositivi vengono autenticati prima che venga concesso l'accesso a un'applicazione. Dato che ogni utente viene indirizzato a un'applicazione, indipendentemente dal fatto che risieda sul data center o sul cloud, l'approccio zero trust consente una connessione più rapida tra la posizione dell'utente e la posizione dell'applicazione. Non è più necessario eseguire il backhauling del traffico attraverso la struttura di sicurezza aziendale, e questo migliora considerevolmente le prestazioni delle applicazioni e l'esperienza utente.

Il processo di digitalizzazione è a buon punto nel settore finanziario. Tuttavia, per ottenere tutti i vantaggi del cloud, gli istituti finanziari possono fare molto di più rispetto alla semplice implementazione di applicazioni cloud front end. Lo zero trust consente loro di superare i limiti delle infrastrutture legacy, perché aggiunge prestazioni, sicurezza ed esperienza utente alle applicazioni cloud.