Il personale addetto alla sicurezza del banking si concentra sulle numerose minacce alle informazioni bancarie e dei clienti. Proteggere i clienti, i loro investimenti e i dipendenti è un lavoro complicato. Se sei il responsabile della sicurezza presso un istituto bancario, le sfide che ti attendono non sono poche.
Per fortuna, la persona che supervisiona i controlli di sicurezza presso la Commercial International Bank S.A.E. (CIB), la principale banca egiziana del settore privato, ha colto la sfida.
"Garantire la sicurezza è una delle sfide che più amo del mio lavoro", afferma Shatssy Hassan, Chief Security Officer (CSO) di CIB. "Siamo in grado di trasferire questa sensazione di tranquillità ai nostri clienti e incoraggiarli a lavorare con una banca che ha a cuore i loro investimenti e le loro informazioni."
La CIB fornisce servizi bancari per clienti commerciali e aziendali. È la più grande banca privata dell'Egitto, con oltre 1.000 sportelli bancomat in tutto il paese e oltre 210 filiali in tutti i governorati egiziani. Hassan è CSO dal 2014.
Nel 2016, la CIB ha iniziato una strategia quinquennale per migliorare la gestione dell'identità e degli accessi (IAM) e la governance delle identità. "Si tratta di una strategia in corso che maturerà in futuro per ottenere finalmente un assetto zero-trust all'interno dell'organizzazione", afferma Hassan.
Gestione delle identità su larga scala
Gestione sicura e trasparente delle identità di 8.000 dipendenti
Accesso rapido
Accesso ai nuovi assunti e trasferimenti del personale ridotti da una settimana o più a < 1 al giorno
La CIB si è concentrata innanzitutto su tre obiettivi principali. Il primo è stato quello di effettuare onboarding, offboarding e trasferimenti del personale in modo semplice e conveniente, migliorando i processi per renderli più efficienti e meno costosi e ridurre i tempi di consegna. Prima serviva più di una settimana per effettuare l'onboarding dei nuovi assunti e concedere loro l’accesso necessario, un processo che comportava molte richieste cartacee. Anche il trasferimento del personale da un reparto all'altro o da una filiale all'altra richiedeva un notevole sforzo manuale e molte richieste cartacee. I congedi prolungati e le dimissioni dovevano essere ulteriormente disciplinati e controllati per garantire la revoca immediata degli accessi non necessari.
Il secondo obiettivo era quello di gestire e governare meglio le identità privilegiate per gli amministratori IT su server e sistemi. Il precedente processo manuale e cartaceo non concedeva piena visibilità su queste identità, il che aumentava i rischi per la sicurezza. Visibilità, governance e controllo completi erano essenziali per garantire che agli amministratori IT venissero concessi i privilegi strettamente necessari per svolgere il proprio lavoro. Inoltre, la visibilità e la tracciabilità delle azioni amministrative eseguite erano essenziali per il monitoraggio e la risposta agli incidenti presso il Security Operations Center (SOC) della CIB.
L'obiettivo finale era quello di migliorare i processi di sicurezza dell'autenticazione dei clienti, estendendo il controllo IAM ai canali digitali della CIB. I clienti avevano bisogno di un'esperienza di accesso fluida con maggiore sicurezza e controllo.
È stato un bene che Hassan ami le sfide, perché l'implementazione di questa strategia ne ha presentate molte.
La prima sfida è stata trovare un partner che lo aiutasse con il piano. La CIB ha studiato ed esplorato il mercato alla ricerca delle soluzioni disponibili. "Sapevamo che creare molte personalizzazioni avrebbe creato un ambiente molto complesso e poco gestibile", afferma Hassan. "Volevamo assicurarci che la piattaforma fosse abbastanza flessibile da soddisfare le nostre esigenze e mantenere funzionalità pronte all'uso con personalizzazioni minime."
Ha così determinato che IBM® Security disponeva delle piattaforme di governance in grado di supportare la strategia della CIB. IBM era disponibile anche per la consulenza, altro fattore importante per il team. Il lato della consulenza ha aiutato la CIB a costruire modelli di governance adeguati attorno alle sue applicazioni.
IBM® Security ha introdotto le soluzioni IBM Security Guardium, IBM Identity and Access Management (IAM), IBM Security Identity Governance and Intelligence (IGI), IBM Privileged Access Management (PAM) e IBM Security Verify Privilege Manager, che monitorano i database della banca, proteggono i server sensibili, gestiscono la conformità, impediscono la violazione della separazione delle attività (SoD), automatizzano gli audit IT e creano limiti per le minacce identificate. Queste funzionalità forniscono un ambiente più sicuro per l'organizzazione.
La seconda sfida era l'integrazione delle soluzioni nei sistemi legacy. La CIB gestisce un ambiente IT complesso con più di 120 applicazioni. Quando ha iniziato ad attuare la strategia nel luglio 2017, il team ha adottato un approccio agile.
"Abbiamo deciso di concentrarci su risultati rapidi che generassero valore aziendale per i reparti", spiega Hassan. "E abbiamo selezionato le applicazioni che avrebbero dato visibilità ai diritti sensibili a cui il personale aveva accesso."
La configurazione di base è stata integrata con i sistemi delle risorse umane (HR) della CIB e il relativo sistema di controller di dominio. Successivamente ha integrato l’applicazione bancaria principale, portata a termine nel gennaio 2018.
"Quando tutto è diventato operativo, abbiamo iniziato a integrare con IBM sempre più applicazioni di natura complessa", afferma Hassan.
La terza sfida è stata il trasferimento delle conoscenze, un'altra area in cui i consulenti IBM sono stati parte integrante della soluzione. Il team IBM in Egitto ha supportato la CIB mentre sviluppava le competenze del team interno. I dipendenti hanno imparato a risolvere i problemi, creare flussi di lavoro e integrare applicazioni per mantenere le operazioni quotidiane.
"Ci siamo affidati all'esperienza e al supporto di IBM. Hanno trasmesso le conoscenze al team IAM locale e alla CIB per riprendere il viaggio e iniziare a integrare sempre più applicazioni", afferma Hassan.
Le sfide nell'integrazione delle soluzioni strategiche nei sistemi esistenti della CIB sono state molte. Ma ne è valsa la pena.
La seconda sfida era l'integrazione delle soluzioni nei sistemi legacy. La CIB gestisce un ambiente IT complesso con più di 120 applicazioni. Quando ha iniziato ad attuare la strategia nel luglio 2017, il team ha adottato un approccio agile.
"Abbiamo deciso di concentrarci su risultati rapidi che generassero valore aziendale per i reparti", spiega Hassan. "E abbiamo selezionato le applicazioni che avrebbero dato visibilità ai diritti sensibili a cui il personale aveva accesso."
La configurazione di base è stata integrata con i sistemi delle risorse umane (HR) della CIB e il relativo sistema di controller di dominio. Successivamente ha integrato l’applicazione bancaria principale, portata a termine nel gennaio 2018.
"Quando tutto è diventato operativo, abbiamo iniziato a integrare con IBM sempre più applicazioni di natura complessa", afferma Hassan.
La terza sfida è stata il trasferimento delle conoscenze, un'altra area in cui i consulenti IBM sono stati parte integrante della soluzione. Il team IBM in Egitto ha supportato la CIB mentre sviluppava le competenze del team interno. I dipendenti hanno imparato a risolvere i problemi, creare flussi di lavoro e integrare applicazioni per mantenere le operazioni quotidiane.
"Ci siamo affidati all'esperienza e al supporto di IBM. Hanno trasmesso le conoscenze al team IAM locale e alla CIB per riprendere il viaggio e iniziare a integrare sempre più applicazioni", afferma Hassan.
Le sfide nell'integrazione delle soluzioni strategiche nei sistemi esistenti della CIB sono state molte. Ma ne è valsa la pena.
Con le nuove soluzioni in atto, i processi di sicurezza della CIB sono più snelli e sicuri. I nuovi assunti non devono più attendere settimane prima di poter iniziare ad aiutare i clienti, perché la nuova soluzione elabora il loro accesso in pochi minuti.
Analogamente, il trasferimento dello staff da una filiale a un'altra avviene in pochi minuti. Ora la CIB aiuta le sue filiali a corto di personale più velocemente anche quando copre le assenze inaspettate. Anche l'integrazione delle applicazioni è diventata più semplice. 80 delle 120 applicazioni del team si trova sul sistema. Quando viene introdotta una nuova applicazione, il SOC segue una serie definita di requisiti di integrazione che vengono applicati immediatamente.
La CIB ha anche ridotto i rischi per la sicurezza con PAM. Il SOC può vedere tutte le attività svolte dagli amministratori IT su tutti i sistemi operativi e i database, garantendo che le attività dell'utente concordino con i suoi diritti. Il SOC può anche registrare le attività per l'indagine, se necessario.
E tutto questo è avvenuto senza incidere sull'esperienza del cliente, anzi, migliorandola. Collaborando con IBM, la CIB si è assicurata che l'esperienza degli utenti fosse fluida e diretta.
"La strategia approfondita che abbiamo implementato ora offre ai clienti soluzioni più sicure", afferma Hassan. "Il nostro solido approccio alla nostra strategia di trasformazione digitale va di pari passo con la nostra strategia di sicurezza."
La strategia della CIB ha ridotto le attività manuali di governance delle identità, assumendo la gestione di oltre 8.000 identità di dipendenti e semplificando il rispetto dei requisiti aziendali.
La CIB prevede di continuare a lavorare con IBM sulla sua strategia verso zero trust. "Il livello di supporto che riceviamo dai team locali e globali è stato davvero eccezionale. Continueremo a lavorare con IBM® Security in diversi ambiti per garantire il raggiungimento degli obiettivi della strategia di sicurezza della CIB."
Non c'è dubbio che le sfide della sicurezza continueranno ad arrivare, ma grazie alla partnership e alla strategia di IBM Security, Hassan e la CIB sono pronti ad affrontarle.
CIB (link esterno a ibm.com) è una delle principali banche del settore privato in Egitto. Situata in Cairo, offre prodotti e servizi finanziari a più di 1,4 milioni di clienti, tra cui aziende di tutte le dimensioni, istituzioni, famiglie e privati di alto valore. La sua missione è "trasformare i servizi finanziari tradizionali in soluzioni semplici e accessibili investendo in persone, dati e digitalizzazione per soddisfare oggi le esigenze di domani."
Legale
© Copyright IBM Corporation 2022 IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Prodotto negli Stati Uniti d'America, marzo 2022.
IBM, il logo IBM, ibm.com, IBM Security e Guardium sono marchi registrati di International Business Machines Corp., registrati in molte giurisdizioni in tutto il mondo. Altri nomi di prodotti e servizi potrebbero essere marchi di IBM o di altre società. Un elenco aggiornato dei marchi IBM è disponibile sul web alla pagina "Copyright and trademark information" all'indirizzo ibm.com/legal/copyright-trademark.
Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.
Gli esempi citati relativi a dati di prestazione e clienti sono presentati unicamente a scopo illustrativo. Gli attuali risultati in termini di performance possono variare a seconda delle specifiche configurazioni e delle condizioni operative. LE INFORMAZIONI RIPORTATE NEL PRESENTE DOCUMENTO SONO DA CONSIDERARSI “NELLO STATO IN CUI SI TROVANO”, SENZA GARANZIE, ESPLICITE O IMPLICITE, IVI INCLUSE GARANZIE DI COMMERCIABILITÀ, DI IDONEITÀ A UN PARTICOLARE SCOPO E GARANZIE O CONDIZIONI DI NON VIOLAZIONE. I prodotti IBM sono coperti da garanzia in accordo con termini e condizioni dei contratti sulla base dei quali vengono forniti.
Dichiarazione di buone pratiche di sicurezza: la sicurezza dei sistemi IT comporta la protezione dei sistemi e delle informazioni tramite la prevenzione, il rilevamento e la risposta ad accessi impropri all'interno e all'esterno dell'azienda. Gli accessi impropri possono causare alterazione, distruzione, appropriazione indebita o abuso dei dati e danni o abuso dei sistemi, anche per essere utilizzati per attacchi verso terzi. Nessun sistema o prodotto IT va considerato totalmente sicuro e nessun singolo prodotto, servizio o misura di sicurezza è da considerarsi completamente efficace nella prevenzione dell’uso o dell’accesso improprio. I sistemi, i prodotti e i servizi IBM sono progettati per far parte di un approccio legittimo e completo alla sicurezza, il quale implica necessariamente procedure operative supplementari, e potrebbe richiedere altri sistemi, prodotti o servizi per fornire la massima efficacia. IBM NON GARANTISCE CHE SISTEMI, PRODOTTI O SERVIZI SIANO ESENTI DA O RENDERANNO L’AZIENDA ESENTE DA CONDOTTA MALEVOLA O ILLEGALE DI UNA QUALSIASI PARTE.