• IL NOSTRO NETWORK:
  • The Innovation Group
  • Technopolis
  • ictBusiness.it
logo
logo
  • News
  • Focus
  • Eccellenze.it
  • Strategie di Canale
  • Ti trovi in:
  • Home Page
  • News

Servizi finanziari, lo sviluppo software preoccupa il 75% dei Ciso

Uno studio di Dynatrace svela che tre chief information security officer su quattro associano a cloud, container e nuovi software un incremento del rischio informatico.

Pubblicato il 19 luglio 2022 da Valentina Bernocco

La trasformazione digitale ha investito anche il settore di servizi finanziari, banche e assicurazioni, sull’onda delle innovazioni introdotte dalla Fintech, e che hanno finito per contagiare anche gli operatori tradizionali. L’adozione del cloud computing (nelle sue varie forme), lo sviluppo di applicazioni containerizzate e l’utilizzo di software open source sono, forse, i fenomeni più evidenti ed estesi. E se questi elementi certamente permettono un’evoluzione più rapida dei servizi, d’altra parte favoriscono l’incremento del rischio informatico, connesso per esempio alle configurazioni errate, ai mancati aggiornamenti e alla presenza di vulnerabilità.

 

Il caso di Log4Shell ha mostrato bene quanto una vulnerabilità software possa essere diffusa endemicamente restando magari nell’ombra per anni, per poi diventare uno strumento di attacco. L’open source amplifica il problema perché gli stessi codici software vengono adottati e adattati in contesti differenti, anche (come nel caso di Log4Shell) su scala planetaria.

Un nuovo studio di Dynatrace (“The 2022 CISO Research Report: Financial Services”), basato sulle risposte di 325 professionisti IT di banche, assicurazioni e fornitori di servizi finanziari, svela che tra i chief information security officer la percezione di questi rischi è abbastanza diffusa. Per il 75% dei Ciso intervistati, infatti, la crescente necessità di accelerare la trasformazione digitale sta rendendo sempre più difficile la gestione delle vulnerabilità, attività che come sappiamo richiede tempismo sia nella scoperta dei problemi sia nella distribuzione degli aggiornamenti.

 

L’indagine rivela anche che la maggior parte delle organizzazioni del settore dei servizi finanziari ha adottato ambienti multicloud, architetture cloud-native e librerie di codice open source per riuscire a fornire rapidamente nuove soluzioni digitali ai clienti. Il serverless computing, i container, gli strumenti di orchestrazione come Kubernetes e le architetture a microservizi offrono indubbi vantaggi in termini di costi, agilità e velocità dello sviluppo software, ma d’altro canto complicano il lavoro dei Ciso. Così come non favorisce il loro lavoro l’open source, per via della costante scoperta di vulnerabilità nelle librerie software di terze parti.

Mancanza di visibilità e falsi positivi complicano il lavoro

In generale, un problema che è conseguenza di tutte le trasformazioni tecnologiche citate è la mancanza di osservabilità. Secondo l’indagine di Dynatrace, solo il 31% dei team di sicurezza è in grado di accedere in tempo reale a report completamente accurati e sempre aggiornati di ogni applicazione e libreria di codice in esecuzione (in produzione). Inoltre, il 29% dei Ciso non è in grado di sapere sempre quali librerie di codice di terze parti siano in produzione in un determinato momento. Stando alla ricerca, solo il 6% delle organizzazioni di servizi finanziari ha visibilità in tempo reale sulle vulnerabilità a runtime.

 

 


A volte, poi, è facile che i problemi di codice risolti escano dalla porta e rientrino dalla finestra, per così dire: il 49% dei Ciso ha dichiarato che la velocità di distribuzione del software facilita il rientro in produzione delle vulnerabilità. A ciò si aggiunge poi il ben noto problema dei falsi positivi, che alimentano un volume di alert difficile da gestire, fanno perdere tempo al personale IT e rendono più difficile la scoperta dei pericoli reali. A detta di Dynatrace, un team di cybersicurezza aziendale riceve in media più di 2.200 avvisi di potenziali vulnerabilità ogni mese.
 

“Il settore dei servizi finanziari sta vivendo un cambiamento significativo, guidato dall’evoluzione delle richieste dei clienti e dall’intensa concorrenza dei fornitori digital-first”, ha commentato Emanuele Cagnola, Italy director di Dynatrace. “Tuttavia, questa crescente pressione a innovare più velocemente sta creando un maggiore rischio di vulnerabilità che sfuggono alla produzione. È ormai chiaro che gli attuali approcci alla sicurezza a più livelli non sono sufficienti, poiché i team non possono accedere a tutto il contesto di cui hanno bisogno per evitare che ogni vulnerabilità sfugga. Di conseguenza, è sempre più difficile per loro gestire la sicurezza delle applicazioni, il che potrebbe mettere a rischio dati finanziari sensibili e transazioni critiche”.


Come migliorare la sicurezza del software nel settore dei servizi finanziari
Considerando la tipologia di dati che i servizi finanziari maneggiano, in questo settore le conseguenze di un attacco informatico, ransomware o data leak che sia, non sono certo leggere. Come affrontare tutto questo? Per l’82% dei Ciso del settore dei servizi finanziari, la cybersicurezza dovrebbe essere una responsabilità condivisa sull’intero ciclo di vita del software, dallo sviluppo alla produzione. Sarebbe importante, a tal fine, alimentare e far maturare una cultura del DevSecOps (DevOps con integrati principi di progettazione e controlli di sicurezza), ma oggi solo il 37% delle aziende del campione d’indagine può dire di averlo fatto.

Bisogna poi affrontare anche con le tecnologie il problema dell’osservabilità e quello dei falsi positivi. Qui entrano in gioco le tecnologie di automazione e di intelligenza artificiale, che permettono di identificare rapidamente le falle, di dare un ordine di priorità ai problemi e di rimediare alle vulnerabilità secondo quest’ordine, in modo rapido e riducendo al minimo l’intervento umano.

 

Tag: vulnerabilità, banking, dynatrace, ciso, DevSecOps, cybersicurezza, servizi finanziari, osservabilità

VULNERABILITà

  • L’intelligenza al servizio della ricerca di vulnerabilità
  • Microsoft risolve i problemi di Dynamics 365 e di Windows
  • Ivanti e SentinelOne unite nella lotta alle vulnerabilità nascoste
  • Servizi finanziari, lo sviluppo software preoccupa il 75% dei Ciso
  • Applicazioni cloud-native senza punti deboli con Zscaler

NEWS

  • Intel taglia posti di lavoro e stipendi di mid-level e Ceo
  • Gastone Nencini lascia Trend Micro, promosso Alessandro Fontana
  • Oracle e Red Hat, vecchie concorrenti pronte a collaborare
  • WithSecure protegge anche le attività “esterne” di Microsoft Teams
  • Da Zscaler, Alessio Stellati passa alla guida di Rubrik
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Top news
  • Più lette
  • Ultime pubblicate
Microsoft pronta a spendere 10 miliardi di dollari per OpenAI?
Ericsson prova a voltare pagina con un nuovo presidente
Cominciano i tagli in Amazon, dipendenti sull’attenti
Consigli e previsioni per una migliore cybersicurezza nel 2023
Veicoli connessi, crescita attesa grazie a 5G e guida assistita
Capgemini Italia è guidata da Monia Ferrari, Falleni promosso
Retelit insieme a Irideos, nuovo polo di servizi cloud e telco B2B
Mercato in trasformazione e focus sui servizi per Vertiv
Impresoft Group sceglie il suo Ceo, Alessandro Geraldi
Il cloud moltiplica il valore dei partner Isv di Microsoft
I Mac di Apple potrebbero abbandonare Broadcom
Vertiv ufficializza il passaggio: Albertazzi è il nuovo Ceo
La data protection fatica ad adattarsi al mondo digitale
Zucchetti acquisisce Piteco e Myrios da Dedagroup
Distributori, Icos compra le attività di cybersecurity di CreaPlus
E-commerce, truffe previste in aumento del 20% nel 2023
Evolvono cultura e competenze sui cloud Pbx dei partner Nfon
Microsoft, rumors su undicimila licenziamenti previsti
Più efficienza e prestazioni per i Lenovo ThinkSystem e ThinkAgile
Attacco ransomware al Guardian, violati dati dei dipendenti
Intel taglia posti di lavoro e stipendi di mid-level e Ceo
Gastone Nencini lascia Trend Micro, promosso Alessandro Fontana
Oracle e Red Hat, vecchie concorrenti pronte a collaborare
WithSecure protegge anche le attività “esterne” di Microsoft Teams
Da Zscaler, Alessio Stellati passa alla guida di Rubrik
Per 5,8 miliardi di dollari, Micro Focus è ufficialmente di OpenText
Le idee innovative per la supply chain fanno crescere Stesi
Guerra tecnologica, stop alle vendite di Qualcomm a Huawei?
Lavoro ibrido, le aziende cercano di conciliare flessibilità e controllo
Smartphone in calo del 18,4% a fine 2022, vendor e distributori cauti
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Focus
Eccellenze.it
Strategie di canale
The Innovation Group
Technopolis
indigo logo tig logo
© 2023 The Innovation Group, via Palermo 5, 20121 Milano | P.IVA 06750900968