Le previsioni di tendenza di OneSpan sulla sicurezza informatica attribuiscono un ruolo alla coda lunga del Gdpr.
Secondo Christian Vezina, CISO di OneSpan normative come il Gdpr richiedono alle aziende di contrastare e segnalare immediatamente le violazioni delle informazioni personali. Sei mesi dopo l’entrata in vigore del Gdpr, il mancato rispetto del termine di 72 ore entro cui segnalare le violazioni dei dati sembra essere diffuso, ma è soggetto a multe che ammontano fino a 10 milioni di Euro o al due per cento del fatturato globale annuo.
Dato il crescente numero di Paesi che adottano leggi sulla protezione dei dati, è sorprendente notare come molte organizzazioni non siano ancora in grado di reagire a episodi di violazione. Dal momento che questi continuano ad assumere maggiori dimensioni, aumentano anche i costi necessari a gestirne le conseguenze, incluse le multe imposte quando gli incidenti non vengono rilevati a affrontati in modo tempestivo.
Secondo Vezina, pertanto, òe organizzazioni dovranno prevedere più risorse per prepararsi a un’eventuale violazione dei dati.
DevSecOps al centro delle applicazioni per la sicurezza
Will LaSala, Director of Security Services, Security Evangelist di OneSpan, nota come il ruolo del DevOps e del DevSecOps si è spostato oltre la protezione delle app rivolte ai consumatori e sta ora guardando a come proteggere le applicazioni interne di sicurezza aziendale, come le applicazioni single sign-on.
Per LaSala vedremo il DevSecOps passare alla tecnologia di intelligent authentication per aiutare a proteggere e semplificare i potenziali rischi associati alle piattaforme applicative per i dipendenti. Dato che circa il 30% di tutte le violazioni derivano da una vulnerabilità a livello di applicazione, le organizzazioni dovranno adottare un processo di sviluppo software maturo e sicuro, che vada oltre la semplice scansione e correzione di errori nella sicurezza.
Tecnologie come l’intelligent authentication, che garantiscono che i dipendenti utilizzino il corretto livello di autenticazione al momento giusto, saranno fondamentali per un’infrastruttura di sicurezza di successo e per impedire future vulnerabilità delle applicazioni all’interno dell’organizzazione.
Vedremo il ruolo del DevSecOps completamente integrato nei security team aziendali, con questi ultimi che si espanderanno rapidamente all’interno delle organizzazioni per proteggere le applicazioni dell’azienda.
Gli standard per l’open banking
Per Frederik Mennes, Senior Manager Market & Security Strategy, Security Competence Center di OneSpan una delle tendenze più importanti nel 2019 sarà l’adozione globale dell’open banking, in particolare nel Regno Unito, nell’Unione Europea e nell’area Asia-Pacifica (principalmente a Singapore, Hong Kong e in Australia).
L’open banking consente a fornitori terzi di servizi di pagamento (third-party payment service providers, TPP) di ottenere dalle banche i dati sulla storia finanziaria dei consumatori e di avviare pagamenti direttamente attraverso conti bancari.
I TPP hanno quindi la capacità di creare attorno alle API fornite dalle banche soluzioni per servizi finanziari rivolti a consumatori e imprese, come applicazioni per l’aggregazione di conti e nuovi metodi di pagamento. Ciò dovrebbe dar luogo a meccanismi di pagamento più diversificati, con minori costi e maggiore praticità per gli utenti.
Nel contesto dell’open banking, assisteremo a molti dibattiti sulla praticità del processo di autenticazione. Quando desidera accedere a un’applicazione bancaria tramite l’applicazione di un TPP, un utente deve essere autenticato dalla banca e il flusso di autenticazione deve essere integrato nell’applicazione del TPP. L’autenticazione deve avvenire in modo sicuro e allo stesso tempo pratico per gli utenti, che altrimenti non adotterebbero le applicazioni dei TPP. Ci sono ancora molte discussioni tra istituzioni finanziarie, TPP e autorità di regolamentazione su come questa autenticazione debba avvenire, e sono diversi gli approcci considerati (ad esempio integrata, con reindirizzamento, disgiunta).
Il dibattito si svolgerà in particolare nell’Unione Europea, poiché le istituzioni finanziarie devono fornire le API per l’open banking entro settembre 2019, in linea con il calendario stabilito dalle Norme Tecniche di Regolamentazione della PSD2.
Migliorare la sicurezza e l’esperienza utente
Sempre Will LaSala ritiene che nel 2019 l’intelligent authentication diventerà una necessità per le istituzioni finanziarie per offrire una migliore esperienza ai clienti, diminuire i costi, ridurre i rischi e aumentare le entrate, elementi che nel loro insieme garantiscono un vantaggio competitivo. I consumatori non vogliono più pagare per la sicurezza, semplicemente se l’aspettano.
Oggi le banche e le istituzioni finanziarie stanno cercando di semplificare e proteggere le transazioni online e mobile dei loro clienti. SI inizia con l’uso dell’adaptive authentication e dell’orchestrazione all’interno delle proprie piattaforme e infrastrutture. Quello che segue è una completa e continua autenticazione intelligente che impedisce passi falsi come bloccare un utente durante il login o richiedergli salti mortali senza considerare il rischio potenziale associato alla transazione.
Poiché i clienti si aspettano che le loro applicazioni bancarie siano protette a partire dal momento in cui le scaricano, durante l’uso di ogni giorno e quando utilizzano nuove funzionalità e prodotti, banche e istituti finanziari non avranno altra scelta se non quella di rafforzare i loro sistemi e le loro tecnologie core, quali le applicazioni bancarie di uso quotidiano, con tecnologie intelligenti che garantiscano il corretto livello di autenticazione al momento giusto.