Svensk Travsport crea una strategia per l’identity security incentrata sulla protezione degli accessi della forza lavoro

Riepilogo

Di fronte a ripetuti attacchi ai suoi dati sensibili, l’associazione svedese per il trotto Svensk Travsport ha scelto di potenziare la sua infrastruttura IT basando la propria strategia di Identity Security su CyberArk. Con l’aiuto di Arnold Johansson, Enterprise Security Architect, abilitare l’accesso sicuro per 600 dipendenti e oltre 200 applicazioni dell’organizzazione è stata una questione di giorni. Oltre ad accrescere la conformità ai requisiti di sicurezza e l’affidabilità, Svensk Travsport ha migliorato il suo rating NIST di diversi punti.

Profilo dell’azienda

Svensk Travsport è l’associazione nazionale svedese per lo sport del trotto: corse a cavallo e su calessino con pilota. L’organizzazione si occupa delle gare, del benessere e della proprietà dei cavalli, del loro allevamento e di informazioni sportive. Svensk Travsport è di proprietà di 33 circuiti di gara svedesi. L’organizzazione si occupa dei servizi informatici, dei dati e dei servizi informativi utilizzati per le operazioni e le scommesse sui cavalli per conto dei circuiti. Sebbene si tratti di una piccola organizzazione, data la sensibilità dei suoi dati, specialmente quelli utilizzati per prendere decisioni sulle scommesse, Svensk Travsport subisce un gran numero di cyber attacchi.

Dipendenti: 600

Le sfide

Ogni giorno, Arnold Johansson si trova ad affrontare innumerevoli sfide; in cima all’elenco c’è il numero insolitamente elevato di cyber attacchi che continuano a colpire la sua organizzazione. Johansson è Enterprise Security Architect presso Svensk Travsport, l’associazione nazionale svedese per il trotto. Nonostante Svensk Travsport non gestisca le scommesse all’atto pratico, le informazioni riguardanti le corse e le transazioni relative ai cavalli vengono fornite dall’associazione. Si tratta spesso di dati sensibili, poiché includono dati sulle prestazioni di cavalli e fantini, la cronologia delle vittorie e i pedigree dei cavalli stessi. Proprio questi dati vengono utilizzati da proprietari e addestratori per decidere gli investimenti da effettuare e come addestrare i cavalli nel modo migliore. Il pubblico utilizza questi stessi dati per prendere decisioni sulle scommesse e questo li rende estremamente preziosi e quindi obiettivi di attacco. Inoltre, i requisiti di conformità e le normative come il GDPR sono in continua evoluzione. I dati comprendono informazioni sul personale e su circa 15.000 associati esterni, come fantini, proprietari e allevatori.

Come se ciò non fosse una sfida sufficiente per Johansson, anche il panorama della cybersecurity sta cambiando. Avendo gestito la sicurezza per molte diverse organizzazioni, Johansson ha assistito al passaggio lento ma graduale dall’on-premise al cloud. “La cybersecurity era come una cipolla”, dice Johansson. “Quando ho iniziato, tutto quando era on-premise e protetto “a cipolla”. Ma una volta che riesci a penetrare gli strati, sei dentro. Ora la cipolla si sta aprendo per consentire ambienti distribuiti, quindi l’approccio alla protezione deve essere diverso.”

Grazie alla guida di Johansson e al supporto del suo CISO, l’Identity Security è una strategia aziendale fondamentale in Svensk Travsport. Due sono gli obiettivi chiave che Johansson ritiene debbano andare di pari passo. Innanzitutto, sta garantendo un elevato livello di affidabilità per la protezione dei dati e degli stakeholder e, in secondo luogo, sta semplificando l’accesso a dati e applicazioni per gli utenti. La strategia prevede diversi approcci, tra cui l’implementazione di una soluzione Single Sign-On di facile utilizzo e l’impiego di procedure MFA ad alta sicurezza, come le smart card e la protezione degli accessi privilegiati.

Soluzioni

Johansson ha valutato diversi vendor prima di scegliere CyberArk per avviare la sua strategia di Identity Security.

Svensk Travsport ha implementato CyberArk Workforce Identity come base per la sua piattaforma di gestione dell’Identity Security. La soluzione garantisce rilevazione e protezione continue delle minacce alle identità e gestisce le identità stesse. L’organizzazione utilizza inoltre CyberArk Privileged Access Manager Cloud per proteggere e isolare l’accesso ai sistemi critici. L’implementazione è stata gestita in collaborazione con CyberArk Services tramite il pacchetto di servizi Jump Start. L’utilizzo delle soluzioni di Identity Security in modalità SaaS di CyberArk e del pacchetto di servizi Jump Start ha aiutato Svensk Travsport a raggiungere rapidamente i suoi obiettivi iniziali e a creare una solida base per espandere e portare avanti il suo programma di Identity Security.

“Svensk Travsport ha scelto CyberArk perché ha soddisfatto le nostre esigenze, è facile da personalizzare ed è in grado di evolversi man mano che la nostra azienda cambia. Ho subito pensato che l’approccio di CyberArk all’Identity Security fosse una delle migliori soluzioni sul mercato.” – Arnold Johansson, Enterprise Security Architect, Svensk Travsport

L’altro fattore chiave è stata la partnership con CyberArk. “CyberArk è un’azienda sempre all’erta e si è dimostrata pronta ad aiutare Svensk Travsport a trovare la soluzione migliore per soddisfare gli standard di conformità”, commenta Johansson. CyberArk Workforce Identity è stata una delle poche soluzioni a combinare le funzionalità di gestione degli accessi privilegiati con quelle di gestione delle identità e degli accessi, integrandosi perfettamente con altre applicazioni aziendali, tra cui Microsoft Active Directory.

L’implementazione di CyberArk Workforce Identity:

• protegge 600 dipendenti della sede centrale e circa 200 applicazioni principali
• Si integra con le smart card fisiche per un accesso continuo a dispositivi, applicazioni, dati ed edifici
• La fase successiva dell’implementazione includerà personale e sistemi sui 33 circuiti di gara

Analogamente, Privilege Access Manager Cloud aiuta Svensk Travsport a conservare in un vault le credenziali di accesso alle infrastrutture critiche e di isolare e monitorare le sessioni di accesso a questi sistemi e dati sensibili.

Dalla sua lunga esperienza nel settore Johansson sapeva che sarebbe stato difficile far comprendere al personale che lavorare con risorse distribuite – anziché on-premise – richiedeva di approcciarsi alla cybersecurity in modo diverso. Appena introdotto CyberArk Workforce Identity, Johansson decise di focalizzarsi sulla fruibilità. Sottolineò che, anziché essere restrittiva, la soluzione avrebbe migliorato gli accessi e ridotto le complessità. Ad esempio, agli utenti basta memorizzare le password in modo sicuro una volta sola, anziché utilizzare note adesive sparpagliate sulla una scrivania. “Quando le persone sono abituate a utilizzare una ruota quadrata, convincerle che è meglio una ruota rotonda è faticoso”, commenta Johansson.

Il passo successivo nella campagna di Johansson per migliorare la sicurezza di Svensk Travsport è stato estendere CyberArk Workforce Identity in modo da supportare e proteggere le operazioni in mobilità. Un esempio: il personale presso i circuiti di gara utilizza dispositivi mobili per raccogliere informazioni sulle prestazioni di gara. Inoltre, i dati di Svensk Travsport sono accessibili e utilizzati da app di terzi.

Risultati

Da quando è entrato in Svensk Travsport, Johansson ha supervisionato un’approfondita trasformazione nella gestione e nella protezione della cybersecurity. Johansson dichiara che, grazie alle sue esperienze in ambito sanitario e finanziario, Svensk Travsport ha ora un livello di protezione più elevato rispetto a molte di quelle organizzazioni i cui dati sono molto più sensibili.

“CyberArk Workforce Identity è l’ammiraglia che guida la strategia di Identity Security in Svensk Travsport”, dichiara Johansson. “La soluzione è uno dei nostri prodotti di sicurezza più importanti. La versatilità di CyberArk Workforce Identity in termini di integrazione e fruibilità lo rende imprescindibile per noi e per gli stakeholder che utilizzano i nostri dati e si affidano alla nostra protezione. Ha reso molto più facile il mio lavoro e ormai il nostro CISO non vuole più fare a meno di CyberArk Workforce Identity.”

Grazie al Cybersecurity Framework del NIST, CyberArk Workforce Identity ha contribuito a migliorare molto il livello di Svensk Travsport. Il NIST (US National Institute of Standards and Technology) integra standard di settore e best practice per aiutare le organizzazioni a gestire i rischi di cybersecurity. CyberArk è diventata essenziale per consentire a Johansson e al suo team di gestire efficacemente l’Identity Security in tutta l’azienda. CyberArk è una pietra miliare e una delle soluzioni di sicurezza più importanti e significative per Svensk Travsport.

“CyberArk Workforce Identity mi ha facilitato molto nel parlare di sicurezza con gli utenti. Una volta, l’argomento principale era la crittografia, e persone come me venivano viste come dei maniaci della tecnologia”, conclude Johansson. “Ora tutti capiscono quanto sia importante l’Identity Security e come le soluzioni come CyberArk Workforce Identity semplifichino notevolmente le attività quotidiane.”

Vantaggi principali

• Miglioramento della conformità ai requisiti di sicurezza e dell’affidabilità – accrescimento del rating NIST Cybersecurity Framework
• Contributo alla soddisfazione delle rigide normative di cybersecurity e protezione dei dati
• Razionalizzazione dell’accesso sicuro per 600 dipendenti, 15.000 associati e 200 applicazioni
• Maggiore produttività del personale semplificando le operazioni quotidiane e l’accesso alle applicazioni e ai dati
• Gettato le basi per una strategia di Identity Security estesa all’intera azienda