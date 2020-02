A prima vista, l’implementazione di misure di sicurezza informatica e la ricerca di innovazione potrebbero sembrare reciprocamente esclusive. Le strategie per migliorare la sicurezza sono volte a ridurre i rischi, mentre gli sforzi per l’innovazione richiedono di essere aperti all’assunzione di rischi. Nonostante ciò le aziende stanno trovando il modo di lanciare nuove innovative iniziative commerciali digitali mentre adottano misure per proteggere i dati e altre risorse IT. In tal modo, stanno stabilendo percorsi verso nuove entrate, una migliore esperienza del cliente e nuove opportunità di mercato, anche se rafforzano i requisiti di sicurezza, proteggono sistemi e dati e rispettano le normative.

Dopotutto, questa è la formula per il successo nell’odierno ambiente aziendale: spingere iniziative trasformative che abbracciano tecnologie innovative come il cloud, la tecnologia mobile, l’intelligenza artificiale, l’analisi dei dati e l’Internet of Things (IoT) in modo da garantire la sicurezza di sistemi e dati preziosi. Per fare ciò, le aziende di oggi devono trovare il modo di creare un equilibrio tra mettersi di fronte alla concorrenza, sperimentare nuove tecnologie, portare prove di concetto alla produzione e così via, garantendo al tempo stesso che queste iniziative siano sicure.

In alcuni casi ciò potrebbe comportare un aumento del budget e delle risorse per la sicurezza di tutti i sistemi; in altri, potrebbe significare mettere da parte budget e risorse per garantire pura innovazione. In entrambi i casi, l’obiettivo è quello di essere innovativi ma in modo sicuro e ragionevole. Ecco alcuni esempi di come le aziende stanno tentando di bilanciare innovazione e sicurezza, sia per progetti specifici, sia come prassi generale.

Distribuire nuovi servizi online mantenendo al sicuro i dati

Gli istituti di istruzione superiore statunitensi devono preoccuparsi del rispetto della legge sulla protezione dei diritti della famiglia e della privacy (FERPA), una legge intesa a proteggere la privacy dei dati degli studenti. “Sebbene la conformità sia stata a lungo una priorità, i tradizionali sistemi di informazione e dati degli studenti locali erano generalmente bloccati in tali sistemi e file, con poca preoccupazione che il mondo esterno potesse accedervi” afferma Bill Balint, CIO dell’Università dell’Indiana University of Pennsylvania (IUP).

“Ma con l’avvento dell’accesso via web ai sistemi sicuri, la prospettiva di violazioni della sicurezza su larga scala e di esposizione dei dati ha reso la conformità FERPA una priorità molto più elevata”, afferma Balint. La questione si è intensificata, poiché l’istruzione superiore è stata trasformata in un’operazione molto più simile a un’attività commerciale. “Le istituzioni, cercando di raggiungere gli obiettivi di iscrizione e successo degli studenti, si sono sempre più rivolte a servizi di implementazione rapida basati su cloud in settori quali la gestione delle relazioni con i clienti e le soluzioni di analisi dei dati”.

Tale tecnologia, a cui IUP accede tramite servizi di abbonamento basati su cloud, consente all’università di offrire servizi innovativi come aiutare a creare pacchetti di aiuti finanziari ottimizzati e personalizzati e analisi accademiche personalizzate, che possono aiutare ad attrarre e quindi mantenere studenti di successo. “Ma per farlo, i fornitori in genere richiedono anche che molti dati accademici e/o finanziari sensibili sullo studente vengano importati in applicazioni cloud controllate dal fornitore stesso”, afferma Balint.

Per garantire che i dati sensibili non vengano esposti, il primo passo compiuto da IUP è stato quello di considerare le implicazioni di sicurezza e privacy dei servizi basati su cloud e condividere solo i dati fondamentali per la funzionalità di uno strumento. “Ad esempio, sarebbe importante condividere le informazioni sui voti con un fornitore il cui strumento è incentrato sul successo accademico”, afferma Balint. “Ma i numeri di previdenza sociale non forniscono alcun valore e non devono essere condivisi.”

Oltre a ciò, IUP richiede che tutti i fornitori di servizi cloud con cui sta lavorando soddisfino gli standard di settore per la privacy e la sicurezza dei dati, tramite un contratto formale e accordi sul livello di servizio (SLA). “Pochissimi istituti di istruzione superiore possono ottenere le competenze interne per svolgere le funzioni di questi fornitori, ma i servizi che forniscono sono sempre più critici per la fattibilità di molti istituti. “L’industria deve continuare a sviluppare le migliori pratiche che proteggono i dati sensibili e riservati”.

Integrare la sicurezza in una nuova app mobile

Alla fine del 2019 lo Stato del Colorado ha annunciato il lancio di Colorado Digital ID nella sua app mobile myColorado per trasformare il modo in cui i residenti interagiscono con il governo dello Stato. La visione di myColorado è quella di fornire ai residenti dello Stato una soluzione mobile innovativa, sicura e conveniente attraverso la quale possano connettersi con l’identità digitale e i servizi governativi.

“Il nostro obiettivo è rendere più semplice per i residenti condurre affari con lo Stato (come ad esempio rinnovare la patente di guida) collegandoli ai servizi attraverso una piattaforma mobile centrale” afferma Deborah Blyth, CISO per lo Stato del Colorado. “Ciò elimina la necessità di visitare un ufficio statale, riducendo in tal modo i tempi e i costi di trasporto per i residenti e, in definitiva, contribuendo a soddisfare la soddisfazione dei clienti”.

Dal lancio pubblico di ottobre, oltre 30.000 residenti hanno scaricato l’app myColorado. Il governo statale si rende conto che ottenere e mantenere la fiducia del pubblico è fondamentale per garantire l’adozione diffusa di qualsiasi prodotto o servizio offerto ai residenti, afferma la Blyth, e ciò si ottiene meglio assicurando che la sicurezza sia una componente fondamentale nello sviluppo delle applicazioni. Le informazioni personali in myColorado sono protette da autenticazione a più fattori e crittografia dei dati per la privacy e la sicurezza in tutta l’app. Inoltre, myColorado impiega l’autenticazione, la convalida e la federazione degli utenti su più livelli per garantire l’identità dell’utente.

“Sin da quando myColorado era solo un’idea, un architetto della sicurezza ha svolto un ruolo fondamentale nel team di progettazione delle app. Fin dall’inizio del progetto c’era la necessità di convalidare l’identità dell’utente mobile per abbinare tale utente alle informazioni appropriate contenute nei sistemi statali.” Altre considerazioni includevano la garanzia di un accesso continuo alle informazioni dell’utente con l’autenticazione appropriata per impedire l’accesso non autorizzato, la valutazione e la scelta di un fornitore di pagamenti per elaborare i pagamenti in modo sicuro.

Il team di sviluppo ha eseguito dei test per garantire che l’app mobile e i server back-end fossero privi di vulnerabilità che potevano essere sfruttate e quindi esporre dati sensibili. Ulteriori precauzioni sono state prese anche durante il processo di sviluppo per impedire agli sviluppatori di accedere ai dati sensibili. Un fattore chiave nella corretta implementazione delle funzionalità di sicurezza di myColorado è stato il fatto che tutti i requisiti di sicurezza sono stati concordati e incorporati nell’app attraverso un processo iterativo mentre veniva progettato e costruito.

“Avere un architetto della sicurezza come partecipante attivo e paritario del team di innovazione ha assicurato che importanti criteri di sicurezza fossero integrati sin dall’inizio, piuttosto che semplicemente considerati una casella di controllo alla fine del ciclo di sviluppo”.

Adottare un approccio sperimentale all’innovazione IT

O.C. Tanner, azienda specializzata in riconoscimenti e ricompense ai dipendenti, sta lanciando progetti che sfruttano tecnologie o metodologie più recenti come AI, stampa 3D e DevOps. Nel fare ciò, segue una serie di pratiche per garantire che dati e sistemi siano sicuri e che la privacy sia mantenuta, senza però che tutto ciò soffochi l’innovazione.

Una delle pratiche più importanti è trattare le nuove iniziative IT come esperimenti scientifici. O.C. Tanner conduce prove tecnologiche di piccole dimensioni che utilizzano i processi e gli strumenti esistenti dell’azienda e isola questi sforzi dalle entità esterne all’organizzazione. “Se uno dei nostri esperimenti ha o crea una vulnerabilità, i nostri processi esistenti dovrebbero trovare la vulnerabilità” afferma Niel Nickolaisen, vicepresidente senior e CIO dell’azienda. “Se non la trovano, la vulnerabilità non mette comunque a rischio il resto del nostro mondo”.

A volte una vulnerabilità può far sì che la società annulli l’esperimento o trovi modi per risolvere o aggirare il problema. “In un caso stavamo sperimentando una nuova tecnologia; abbiamo scoperto alcuni problemi e poi abbiamo lavorato con il fornitore per risolverli”, afferma Nickolaisen. Man mano che gli esperimenti superano alcuni punti, che variano a seconda del tipo di tecnologia e dell’esperimento, “i nostri standard diventano più rigorosi”, afferma Nickolaisen. “Prima che qualsiasi cosa venga rilasciata nei nostri ambienti di produzione, deve soddisfare i nostri standard e tali standard includono sicurezza e privacy”.

In un caso O.C. Tanner era convinta di disporre di dati abbastanza completi e utili da poter fornire ai clienti informazioni dettagliate su alcune delle cause del turnover dei dipendenti. Per dimostrarlo, era però necessario utilizzare i dati dei dipendenti dei clienti, che dovevano proteggere, al fine di creare algoritmi di machine learning basati su cloud.

“Per iniziare in piccolo, abbiamo reso anonimo un sottoinsieme dei dati dei nostri clienti e fatto delle prove di concetto iniziali nel servizio cloud”, afferma Nickolaisen. “I risultati sono stati talmente incoraggianti che abbiamo ritenuto di dover andare avanti. Ma a un certo punto avremmo avuto bisogno di utilizzare dati reali, non anonimi. In parallelo, abbiamo lavorato con i nostri clienti in modo che potessero partecipare alla nostra valutazione delle pratiche di sicurezza/privacy dei fornitori di cloud”, afferma Nickolaisen. “Avevamo bisogno che fossero a proprio agio come lo eravamo noi con le nostre scelte.”

Un altro esempio riguarda il processo DevOps e gli strumenti utilizzati dall’azienda. Per garantire che il processo DevOps rispettasse i suoi standard di sicurezza ma consentisse comunque implementazioni rapide, O.C. Tanner voleva creare un certo tipo di automazione in modo che i creatori di nuovi servizi e funzionalità potessero auto-implementare solo le modifiche pre-approvate.

“Ciò richiedeva funzionalità o uno strumento che non avevamo”, afferma Nickolaisen. O.C. Tanner ha trovato un tale strumento, ma era in una fase iniziale di avvio e quindi presentava alcuni rischi. “Abbiamo fatto un esperimento con il loro strumento e quando l’esperimento ha avuto successo, abbiamo iniziato ad applicare i nostri standard di idoneità alla produzione e identificato alcune lacune di sicurezza e certificazione nei loro prodotti.” O.C. Tanner ha quindi collaborato con l’azienda per risolvere i problemi prima di passare alla produzione.

Dare priorità all’esperienza del cliente e alla protezione dei dati

La Worldwide Assurance for Employees of Public Agencies (WAEPA), un fornitore di assicurazioni sulla vita, ha l’obiettivo di superare la concorrenza nel servire impiegati e pensionati. “Con l’evoluzione dei servizi e degli strumenti digitali, WAEPA si rende conto della necessità di trasformare ed elevare ogni piattaforma e touchpoint nell’esperienza utente” afferma Brandon Jones, CIO di WAEPA.

Avere una forte presenza digitale è fondamentale per soddisfare questa visione, afferma Jones. “Per migliorare la nostra presenza online, abbiamo prima condotto uno studio di usabilità, analizzando lo stato attuale dell’esperienza digitale dei clienti, intervistando gli utenti e sintetizzando i dati per identificare tendenze, modelli e caratteristiche comuni tra le informazioni raccolte”.

La ricerca e l’analisi hanno scoperto opportunità di miglioramento dell’usabilità, consentendo a WAEPA di generare una serie di risultati e raccomandazioni. Successivamente WAEPA ha lanciato un “sforzo di mappatura del percorso del cliente” per identificare le varie fasi che i clienti attraversano durante una transazione, cosa si aspettano ad ogni passaggio, quali domande hanno ad ogni passaggio e cosa provano ad ogni passaggio.

“Questo esercizio ci ha permesso di identificare i passi che i nostri membri intraprendono per interagire con i nostri prodotti e servizi, nonché le opportunità di miglioramento e le aree in cui i passi dovrebbero essere combinati o divisi”, afferma Jones. “Tracciando metodicamente i passi dei nostri membri, siamo stati in grado di utilizzare questo esercizio come strumento diagnostico”.

WAEPA ha iniziato a costruire un nuovo sito Web e un portale per i membri sfruttando i risultati dello studio sull’usabilità e la mappatura del percorso dei clienti. Gli obiettivi del nuovo sito sono educare meglio gli utenti sui prodotti e sul processo di candidatura, migliorare la coerenza e la facilità d’uso in tutto il sito, fornire strumenti e informazioni self-service in modo che gli utenti possano prendere decisioni informate e “umanizzare” l’esperienza per aiutare, guidare e rassicurare gli utenti online.

Durante tutto questo processo la protezione dei dati dei clienti è stata una considerazione fondamentale e la sicurezza è stata inserita nel nuovo sito Web e nell’infrastruttura di supporto. La strategia di sicurezza include l’uso di strumenti come firewall ridondanti, una rete privata virtuale (VPN), protezione contro spam e phishing e gestione delle identità e degli accessi. Con questi e altri passaggi, WAEPA è stata in grado di creare una migliore esperienza per i suoi clienti e allo stesso tempo offrire un elevato livello di sicurezza.