Nel mercato finanziario, la tanto auspicabile innovazione digitale deve andare di pari passo con la protezione dei dati: ecco perché il tema della sicurezza fintech e insurtech assume una rilevanza sempre maggiore con l’andare del tempo. I nuovi player, agili e innovativi, fondano i propri modelli di business e il loro successo sul digitale e sui dati, fornendo user experience ottimizzate e accessibili a tutti. La natura dei dati gestiti li rende estremamente preziosi, da cui non solo la centralità del tema sicurezza, ma anche la forte regolamentazione dell’intera area. Inoltre, lo sviluppo del mercato finanziario come ecosistema di servizi e player connessi genera complicati flussi di informazioni da cui nuove fonti di rischio cyber.
I 5 passi essenziali per la sicurezza fintech e insurtech
Le minacce che incombono sull’attività dei nuovi operatori del settore finanziario sono molte e vanno gestite con preparazione. L’obiettivo è una security strategy articolata, efficace e finalizzata alla protezione dei propri asset digitali. Di seguito, cinque considerazioni imposte dalle esigenze di sicurezza per fintech e insurtech:
1. Promuovere la security awareness
L’anello debole della catena della sicurezza è sempre quello umano. A prescindere dall’attività, dal settore o dell’ecosistema nel quale si opera, è preciso dovere di ogni organizzazione creare una cultura della sicurezza, senza la quale processi, asset e metodologie di gestione sicura dei dati rischiano di essere inefficaci poiché “travolti” da campagne di phishing, social engineering o da malware particolarmente subdoli e pericolosi. A tal fine, gli strumenti disponibili sono molti e vanno dalla formazione tradizionale (non molto efficace) all’impiego di piattaforme avanzate con cui porre in essere percorsi personalizzati, simulare attacchi realistici, sfruttare le dinamiche della gamification per sviluppare engagement e sviluppare così quella consapevolezza che rende l’azienda più solida e sicura.
2. Outsourcing, una carta vincente
Il termine “outsourcing” descrive un fenomeno molto ampio. La sua rilevanza deriva dal fatto che un numero cospicuo di operatori del settore fintech e insurtech non ha (ancora) dimensioni tali da poter garantire internamente quella somma di competenze, processi e asset che è fondamentale per garantire sicurezza ai clienti e conformità alla normativa in vigore. Bisogna quindi valutare in modo approfondito l’architettura del servizio e, preferibilmente, delegare a provider specializzati tutto ciò che non fa parte delle proprie competenze core: in piena era as-a-service, le garanzie di sicurezza e resilienza fornite da operatori specializzati sono solitamente superiori rispetto a quelle delle fintech stesse e favoriscono la continuità del business e la conformità di cui sopra. In ambito di sicurezza fintech e insurtech, si pensi alle soluzioni di Identity and Access Management, alle piatteforme di pagamento e alla gestione dell’infrastruttura che eroga i servizi, infrastruttura che deve garantire resilienza di fronte a eventi cyber ma anche fisici. Non dimentichiamo, inoltre, che tutta la gestione della sicurezza può essere esternalizzata verso aziende specializzate che hanno proprio nelle competenze allo stato dell’arte, negli asset proprietari, processi e certifiche i propri punti di forza. Tutto ciò semplifica l’operatività delle fintech (e insurtech), ma rende più complesso l’ecosistema e quindi necessaria una puntuale attività di Vendor Management soprattutto a livello di processi e certifiche di sicurezza.
3. Controlli e strumenti di Data Protection
Identificare e proteggere gli asset digitali è una priorità assoluta di ogni operatore smart del mercato finanziario. A prescindere da questioni (peraltro centrali) di compliance, è fondamentale definire e implementare metodologie e strumenti di data protection. Vanno quindi definiti ruoli, responsabilità e procedure di gestione sicura dei dati, ma vanno anche implementati strumenti come una crittografia pervasiva, l’autenticazione a più fattori, i sistemi di protezione per i device portatili e via dicendo.
4. Analisi di sicurezza del software
L’identificazione proattiva di vulnerabilità e lacune a livello di architettura e di codice è essenziale per rendere sicura qualsiasi applicazione; la sicurezza fintech e insurtech non fa eccezione. Inoltre, è molto utile eseguire dei penetration test professionali sull’applicazione stessa, di modo tale da far affiorare eventuali debolezze e sviluppare efficaci metodologie di mitigazione.
5. Business Continuity Management
Un piano di Business Continuity è poi essenziale. Data la natura dei servizi erogati da questi operatori, occorre valutare attentamente tutte le cause di potenziali disruption e porvi rimedio. Si parla dunque di potenziali interruzioni a livello di data center – evento che può essere fortemente mitigato rivolgendosi a operatori certificati –, di attacchi cyber dall’esterno o dall’interno, dello smarrimento del laptop del CEO a un’infinità di altre fattispecie: in ogni caso, una strategia di continuità operativa ben pianificata può evitare o ridurre al minimo il rischio di disruption.
