Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA

Servire chi ha servito la Patria: perché proteggere i servizi web è essenziale per USAA

Da Jason Compton

Tutti gli istituti finanziari con milioni di membri in tutto il mondo deve affrontare notevoli sfide relative alla sicurezza informatica. In quanto provider esclusivo per i membri dell'esercito statunitense, USAA deve affrontare ulteriori difficoltà, derivanti direttamente dal lavoro di difesa del paese svolto dai suoi membri.

L'azienda con sede in Texas offre servizi bancari, assicurativi e di investimento a 12 milioni di membri dell'esercito attivi e in pensione, nonché alle loro famiglie. Con personale militare impiegato in tutto il mondo, ci si aspetta che USAA offra online experience rapide e affidabili ovunque si trovino i membri quando devono lavorare.

Poiché molti membri dell'esercito ancora in servizio devono fronteggiare sfide finanziarie, USAA si sforza di ridurre al minimo l'ansia riguardo le questioni finanziarie, garantendo fari sempre accesi per i membri. Questa necessità è molto viva in tutta l'organizzazione.

Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA
Presso USAA, il CIO e il CSO sono allo stesso livello nell'organigramma dell'azienda.

Pressione sui membri dell'esercito

Poiché la disponibilità è di primaria importanza, USAA prende tutte le sue decisioni in materia di sicurezza tenendo presenti i tempi di attività.

"Visto che siamo un'organizzazione digitale, per noi è fondamentale avere un servizio always-on, sempre online", ha affermato Gary McAlum, Chief Security Officer presso USAA. "Parliamo di impatto sull'experience dei membri in caso di errori di protezione, siano essi dannosi per un solo membro o per l'intero gruppo".

McAlum è il primo CSO dell'azienda. Prima di assumere questo ruolo sette anni fa, ha servito per 25 anni nell'aeronautica militare statunitense, per lo più in un ruolo relativo alla sicurezza informatica, per conto del Dipartimento della Difesa.

Presso USAA, McAlum è responsabile della difesa dell'azienda contro tutte le minacce che possano influenzare la sicurezza, la continuità e la conformità: dagli attacchi informatici più ingenti alle frodi su scala ridotta. Quando progetta la protezione per USAA e i suoi membri, come nel caso della recente implementazione dell'autenticazione multifattore, tiene in considerazione tutti i trascorsi della maggior parte dei membri.

USAA sa che un'ampia percentuale dei suoi membri è stata vittima di una grave violazione dei dati: oltre 20 milioni di persone collegate alla sfera federale e militare sono state vittima dell'attacco subito dall'OPM (Office of Personnel Management) statunitense. La violazione ha messo le informazioni personali nelle mani di criminali; informazioni che potrebbero essere usate per sfruttare conti finanziari esistenti o aprirne di nuovi in modo illecito. McAlum e la sua famiglia sono stati tra quelli intrappolati in questa rete.

"Di solito crediamo che i membri del nostro esercito siano più esposti ad attacchi rispetto ad altri. C'è sempre stato un lato criminale nella società, una volontà di truffare e sfruttare i membri dell'esercito", ha detto. "Perciò, ci concentriamo molto sulla formazione e sulla consapevolezza, soprattutto per quanto riguarda gli attacchi di phishing".

Come affrontare gli attacchi su vasta scala

Mentre contrasta i singoli truffatori, USAA deve anche restare protetta e disponibile in caso di attacchi informatici ingenti e ben organizzati. USAA è stata presa di mira dalla frenesia di Operation Ababil, gli attacchi DDoS (Distributed Denial of Service) contro le istituzioni finanziarie statunitensi, verificatisi dal 2012 al 2013.

USAA sapeva in anticipo dell'attacco pianificato. Dopo aver valutato l'infrastruttura di rete fornita da Akamai, USAA si è sentita sicura del fatto che un attacco pianificato non avrebbe inciso sui servizi dei suoi membri. Questa previsione si è rivelata corretta. Le protezioni Akamai hanno deviato la maggior parte del traffico che altrimenti avrebbe potuto sovraccaricare i servizi essenziali.

Gli attacchi DDoS spesso prendono di mira i DNS (Domain Name Server) indipendenti che risolvono i nomi di dominio, come USAA.com, in server di hosting. Basta sovraccaricare il DNS per ostacolare il traffico legittimo. La distribuzione del DNS su tutta la rete Akamai aiuta a proteggersi da questa minaccia.

"Entrambi i giorni in cui erano pianificati attacchi non sono stati degni di nota per noi. Abbiamo notato un picco nell'attività che poi è diminuito", ha detto McAlum. "La rete di Akamai ci offre un ingresso principale molto ampio ed è stata in grado di mitigare in modo molto semplice quell'attacco DDoS".

In che modo la cultura dirigenziale influenza la sicurezza

Considerando che tutti i responsabili della sicurezza hanno necessità di essere in linea con gli altri, USAA ha concepito l'ufficio del CSO in modo totalmente indipendente, ma strettamente connesso ai leader senior più in alto.

"Volevamo un budget, una linea di responsabilità per la sicurezza", ha affermato. "Oggi tutto, dalla sicurezza, le indagini alla continuità aziendale rientra nel gruppo di sicurezza del quale sono a capo".

Presso USAA, il CIO e il CSO sono allo stesso livello nell'organigramma dell'azienda. Anziché lottare per trovare un accordo, queste due figure hanno invece tanto in comune, afferma McAlum.

"La cultura della nostra azienda, guidata dal consiglio di amministrazione, è che dobbiamo stare a disposizione dei nostri membri", ha detto.

La partnership funziona: USAA effettua un numero stimato di 1,4 miliardi di transazioni digitali ogni anno e continua a evitare gravi incidenti.

Contro le costanti e continue violazioni di dati di alto profilo, McAlum ha detto che pensa che la stabilità dell'azienda e la sua partnership unica tra CSO e CIO rappresentino un modello per gli altri.

"Continueremo a lavorare a stretto contatto con il CIO, perché pensiamo che se i nostri prodotti e servizi non sono disponibili o vengono compromessi, non vince nessuno", ha detto.

Jason Compton è uno scrittore e reporter con una vasta esperienza in tecnologie aziendali. È l'ex redattore esecutivo della rivista CRM Magazine.

Related CIO Content