CLOSE

This website uses cookies. By closing this banner or browsing the website, you agree to our use of cookies. CLOSE

  • Massimo Tripodi

08/01/2024 ASSICURAZIONI E SERVIZI FINANZIARI AL TOP PER SICUREZZA INFORMATICA

Le assicurazioni e le altre aziende del settore finanziario affrontano meglio il problema delle falle nelle applicazioni. E sono in graduale miglioramento nel fronteggiare un rischio dagli effetti potenzialmente catastrofici. Ad affermarlo è Massimo Tripodi (nella foto), country manager di Veracode Italia.

 

Più sicure. Il settore finance, afferma il top manager, “ha ridotto la presenza di falle di sicurezza nelle applicazioni e velocizzato i tassi di correzione rispetto agli altri settori osservati" (i dati provengono dallo State of Software Security, studio realizzato da Veracode).

Secondo l'indagine, "il 72% delle applicazioni analizzate nell’ultimo anno nel settore dei servizi finanziari conteneva falle. Una percentuale ancora preoccupante, ma inferiore rispetto ad altri mercati”.

Le cifre dicono infatti che “nell’ultimo anno le prestazioni di sicurezza delle applicazioni nel settore dei servizi finanziari sono passate da un livello “intermedio” a “generalmente superiore”, rispetto a quelle degli altri settori nelle quattro tipologie di falle monitorate e analizzate.

Negli ultimi 12 mesi, a riscontrare almeno una falla è stato “poco meno del 72% delle applicazioni, rispetto al 76% medio degli altri settori. Si tratta di un miglioramento dell’1% rispetto al 73% dell’anno scorso, con una tendenza moderatamente positiva". Sia nella Oasp Top10 (elenco che evidenzia i dieci maggiori rischi per le applicazioni web), sia nella Cwe Top25 (le 25 vulnerabilità più pericolose nei software), assicurazioni, banche, gestori patrimoniali ed emittenti di carte di credito "hanno segnato le migliori prestazioni, rispettivamente con il 67,1% e 51,7% delle applicazioni che hanno introdotto almeno una falla nell’ultima scansione degli ultimi 12 mesi".

 
Migliorare in due mosse. Per Tripodi, i due maggiori alleati per fronteggiare questi rischi solo le scansioni tramite Api e la formazione.

Le prime, dice Tripodi, favoriscono “maggiore automazione e controllo sulla pipeline di sviluppo, riducendo del 2,9% mensile la possibilità di introdurre falle. Si tratta di un miglioramento di quasi un punto percentuale rispetto agli altri settori analizzati nel rapporto. Una riduzione significativa, considerando che la probabilità di base è del 27%”.

Con la formazione invece "si sono evidenziati miglioramenti di quasi un intero punto percentuale. Mentre gli altri elementi seguono la tendenza di tutti gli altri settori, scansione Api e formazione si distinguono e, combinati, diminuiscono sensibilmente la probabilità di introdurre delle falle a meno del 22%”.

La formazione degli sviluppatori “ha un effetto positivo quadruplo sulla velocità di correzione e sul numero di difetti risolti. Non è solo questione di analizzare la probabilità di introdurre difetti, ma anche come gli stessi fattori appena citati ne influenzino il numero quando si diffondono. Il dato che emerge è che i team It che hanno completato dieci corsi di formazione hanno introdotto il 26% di falle in meno, un quarto in meno rispetto alla media generale degli altri settori”.

 
Vulnerabilità. “L’analisi approfondita delle vulnerabilità del codice inclusa nel rapporto“, conclude Tripodi, “permette di tracciare un quadro il più possibile completo di uno dei principali fattori di rischio per ogni azienda, che diventa ancor più critico per il settore di servizi finanziari. Una falla nel codice potrebbe compromettere applicazioni rilevanti per il business, danneggiandone di fatto la continuità operativa o mettendo a rischio transazioni sensibili. Una strategia efficace di protezione non può prescindere da una visibilità quanto più possibile estesa del codice sottostante, sotto molti aspetti la base fondante di ogni applicazione aziendale”.

Alberto Mazza