Gli enti regolatori cominciano a estendere le loro competenze agli ambienti cloud. Tre i temi più comuni: gestione dei dati, cybersecurity e gestione del rischio

Connessione in tempo reale a Google Cloud grazie a Colt on Demand

A cura di Danilo Poccia, Principal Evangelist, Serverless, Amazon Web Services

La percezione globale dello “spostamento verso il cloud” ha subito molti cambiamenti dal suo avvento. Ciò che è iniziato come un atto di fede per l’ignoto è diventato un abilitatore chiave per le aziende che vogliono sperimentare, innovare e crescere, al punto tale che le aziende che stanno rallentando la migrazione sul cloud si trovano lasciate indietro.

Il settore fortemente regolato dei servizi finanziari è stato più lento di altri nella sua adozione. In ogni caso, l’ansia iniziale ha lasciato spazio all’entusiasmo man mano che la sicurezza, la flessibilità e la resilienza del cloud computing hanno continuato a dare prova di sé. Infatti, aziende finanziarie di alto profilo come Capital One, Starling Bank e Stripe sono solo alcuni dei principali player che utilizzano e sostengono il cloud computing.

Con il cloud che sta diventando la norma nel settore dei servizi finanziari, gli enti regolatori stanno cominciando a estendere le loro competenze agli ambienti cloud. Vengono sperimentati approcci multipli: alcuni hanno adottato regole e linee guida su misura per il cloud, mentre altri stanno semplicemente aggiornando linee guida esistenti per renderle più adatte alle tecnologie emergenti. Indipendentemente dall’approccio scelto dagli enti regolatori, un focus globale sulla privacy e sulla cybersecurity ha portato a prendere meglio in esame i modi in cui le istituzioni finanziarie gestiscono i dati sul cloud.

Per queste organizzazioni esistono tre temi comuni che emergono frequentemente nello scenario regolatore: gestione dei dati, cybersecurity e gestione del rischio. Tali argomenti devono essere prioritari per chi si occupa di tecnologia e cerca di garantire la conformità.

Gestione dei dati

Le aziende che offrono servizi finanziari ospitano immense quantità di dati, che si tratti di informazioni personali sui consumatori, di mercato o a uso interno, e la gestione di questi dati è diventata sempre più importante con l’introduzione di regolamentazioni come il GDPR. Per dimostrare la conformità, le istituzioni finanziarie devono implementare controlli e misure volti a proteggere la sicurezza e la confidenzialità dei dati archiviati sul cloud.

Il primo passo per gestire una quantità di dati in continua crescita è quello di confrontarsi con la cifratura. Il punto di partenza per le aziende è assicurarsi che i dati vengano supervisionati da un ente di controllo centrale. Storicamente, i silos sono nemici del progresso, in quanto rendono i processi interni lenti come lumache. Il cloud ha sempre rappresentato la soluzione a questo problema, poiché offre una visione chiara e univoca di dove i dati risiedono, nonché un unico punto di gestione dei dati stessi. Ora, per le parti interessate è vitale gestire le chiavi di cifratura e definire le policy in modo coerente attraverso questo singolo punto di controllo, così da cifrare in modo efficace tutti i dati sensibili.

Fondamentalmente, il data management sul cloud deve essere trattato con un approccio “content agnostic”. Questo coinvolge aziende e cloud provider che trattano i dati dei clienti e gli asset associati in modo altamente confidenziale, con l’implementazione di tecniche sofisticate e misure fisiche contro gli accessi non autorizzati. Questo, a sua volta, limita il fenomeno di loophole e backdoor, offrendo un ambiente sicuro all’interno dell’infrastruttura per tutti gli asset.

Cybersecurity

Le istituzioni finanziarie vivono e muoiono con il loro approccio alla sicurezza informatica. I regolatori finanziari si aspettano che queste aziende mantengano un atteggiamento forte nei confronti della cybersecurity: una breccia potrebbe anche causare danni irreparabili alla reputazione di un brand e questo fa della sicurezza informatica una preoccupazione fondamentale a livello dirigenziale.

Secondo l’aggiornamento semestrale 2018 sulle frodi stilato dai ricercatori di UK Finance, le aziende che lavorano nei servizi finanziari hanno registrato un aumento nel tasso di cyber attacchi rispetto allo scorso anno. È preoccupante come gli attacchi stiano diventando sempre più sofisticati e di successo, rendendo la sicurezza informatica un pensiero scoraggiante per queste aziende.

È qui che i cloud provider possono supportare le aziende che si occupano di servizi finanziari con un approccio di responsabilità condivisa alla sicurezza. Il cloud provider è responsabile della sicurezza del cloud stesso, offrendo livelli di protezione di prim’ordine per le aziende più sensibili in termini di sicurezza. Le istituzioni finanziarie devono comunque ricordare che sul cloud sono responsabili della gestione della sicurezza: dai test di penetrazione alle funzioni automatiche di sicurezza, è vitale per le aziende essere pienamente aggiornate e a conoscenza delle procedure, dei processi e degli strumenti più recenti per mitigare il rischio.

I test di penetrazione, requisito fondamentale dei regolatori finanziari, forniscono un buon esempio di come funzioni il modello di responsabilità condivisa. AWS esegue test di penetrazione regolari della propria infrastruttura e dei propri servizi. I clienti possono eseguire scansioni della vulnerabilità e test di penetrazione sui loro ambienti, ed è responsabilità delle singole istituzioni assicurare che vengano svolti regolarmente in modo da rimanere conformi.

Gestione del rischio

In qualsiasi area dell’IT, ciò che non si può misurare non si può gestire. Se non hanno sufficiente visibilità sullo stato del loro ambiente IT, diventa quasi impossibile per i CIO garantire la compliance. Questo vale in particolar modo per i servizi finanziari, per cui gli enti regolatori richiedono l’attuazione di solidi processi di risk management da parte delle aziende che utilizzano l’infrastruttura cloud.

Il monitoraggio continuo è la chiave per garantire la gestione del rischio degli ambienti cloud, che assicura agli utenti di avere strumenti sufficienti per supportare la governance e la tracciabilità. Ecco perché le aziende devono avere un monitoraggio end-to-end all’interno del loro toolkit, che consenta loro di monitorare, analizzare e controllare gli eventi che accadono nel loro ambiente cloud. Una volta implementato, gli executive possono non solo essere più tranquilli, ma anche fornire un punto di vista necessario e trasparente per i regolatori del settore.

Fondamentalmente, controllare l’adozione del cloud in questo ambiente altamente regolamentato è appropriato, e sta al cloud provider e agli utenti finali collaborare. Linee di comunicazione aperte e un singolo punto di verità per i problemi relativi a conformità e sicurezza sono critici per aziende che si occupano di cloud che vogliano aiutare le istituzioni finanziarie con il loro viaggio digitale. Considerando con attenzione il modo in cui i dati vengono gestiti e messi in sicurezza all’interno dell’ambiente, le aziende possono beneficiare di tutti i vantaggi che il cloud ha da offrire, rimanendo al tempo stesso conformi e mitigando il rischio.