Sono ancora numerose le aziende che percepiscono la cybersecurity come una voce esclusivamente di costo. Tuttavia, oggi il paradigma è molto cambiato. Concetti come security by design e le pratiche zero trust raccontano uno scenario in cui i costi legati alla sicurezza informatica, se opportunamente implementati, permettono di ridurre considerevolmente il costo del rischio, trasformandosi in una opportunità di attuare il miglioramento continuo indispensabile per le aziende che vogliono utilizzare il digitale con successo.
Cybersecurity: un nuovo modo di pensare alla sicurezza aziendale
Per comprendere questo nuovo modo di intendere la cybersecurity ci facciamo accompagnare da Riccardo Morsicani, Managing Director di Key Partner Cyber, facendoci spiegare in che modo oggi anche la cybersecurity, come la maggior parte delle decisioni legate all’IT, sia principalmente una scelta di governance e non tecnologica.
“La Cybersecurity oggi riguarda persone e processi, poi c’è un grande tema di orchestrazione. Quindi sì, si tratta principalmente di un tema di governance. Prima di tutto perché la tecnologia non basta a rendere qualcosa sicuro: serve soprattutto una visione strategica.”
Morsicani spiega un concetto interessante riguardo al legame fra le scelte aziendali e la sicurezza: “La Digital Transformation coincide con il rendersi volontariamente più esposte dal punto di vista digitale: le aziende devono farlo per essere competitive”. In quest’ottica, la sicurezza diventa un abilitatore del business. Solo con l’adeguato livello di sicurezza, infatti, è possibile pensare di adottare le soluzioni tecnologiche più avanzate.
E per fare una buona cybersecurity la governance è indispensabile. La tecnologia infatti offre gli strumenti, ma non migliora la sicurezza per sé.
“Uno degli errori più diffusi è quello di approcciare la Cybersecurity solo dal punto di vista tecnologico, in astratto rispetto al loro contesto. La tecnologia, invece, deve essere calata nei bisogni dell’azienda. Tenendo conto di tecnologia, processi e complessità”.
Serve, prima di tutto, concentrarsi sulle modalità per comprendere il contesto: assessment e analisi sono una parte importantissima del processo, tanto più importanti quanto maggiore è la complessità dell’infrastruttura, dei processi e delle loro interazioni.
“Poi – continua Morsicani – è fondamentale che le persone siano coinvolte fin dall’inizio nella progettazione dei processi di sicurezza e di orchestrazione”. Solo così, infatti, si raggiunge il livello di consapevolezza necessario per fare in modo che le soluzioni di cybersecurity siano davvero efficaci. Per esempio, fenomeni come la Shadow IT sono dovuti principalmente alla mancanza di consapevolezza: spesso chi li implementa non ha idea del quadro generale e delle ragioni che hanno condotto a effettuare determinate scelte.
Come sfruttare le opportunità offerte dalla Cybersecurity
Morsicani ci racconta un dato di scenario: “Secondo gli ultimi dati raccolti da Clusit, oggi il 93% delle minacce sono opportunistiche. In altre parole, non sono mirate e hanno il solo fine per gli attaccanti di monetizzare. Questo significa che le tecniche utilizzate non sono particolarmente sofisticate. E questo, in altre parole, significa che con una serie di accorgimenti tecnologici mirati e la giusta consapevolezza è possibile mettersi in una posizione ragionevolmente sicura.”
Elevare il livello della difesa anche ai semplici standard minimi disincentiva di molto l’attaccante. Molti di questi accorgimenti sono abbastanza basilari ma non sono ancora adottati, mancano le misure minime di protezione.
“Fondamentalmente bisogna concentrarsi sulle buone pratiche di base, – continua – le difese che distanziano l’azienda da un valore medio. Per esempio, se non faccio formazione sugli utenti, molto probabilmente subirò phishing. Se non ho sistemi di autenticazione a più fattori, probabilmente subirò un furto di identità. Key Partner Cyber aiuta a identificare queste difese di base”
Nel costruire un proprio framework per la cybersecurity, Key Partner Cyber ha messo a profitto i punti fermi di cui sopra.
Morsicani ricorda: “Prima di tutto occorre dedicare molta attenzione alla fase di assessment, per poi costruire un programma strategico, una roadmap, finalizzata in prima istanza a ridurre il rischio cyber, bilanciando il rapporto costi-benefici. L’importante per noi è guidare le aziende lungo tutto il percorso, compreso l’uso consapevole delle tecnologie di cui l’azienda già dispone”.
In questo, ci sono due fattori importanti da tenere in considerazione. Il primo è la necessità di un approccio progressivo, che permetta alle aziende di raggiungere un grado di maturità adeguato con i ritmi più adatti. Questo conduce immediatamente al secondo punto, ovvero un indispensabile progetto personalizzato.
Cyber security olistica: un processo in continua evoluzione
Fare Cybersecurity è, insomma, un processo olistico, che deve tenere conto di uno scenario in continuo mutamento.
“La sicurezza prima si basava sul concetto di dentro e fuori – conclude Morsicani – Oggi il mondo è diverso, i dati sono distribuiti, così come gli utenti, sia come lavoratori sia come clientela che deve accedere ai dati. Cambia lo scenario, cambiano le modalità.”
Questo implica sia nuovi accorgimenti tecnologici, come le autenticazioni a più fattori e l’approccio Zero Trust, ma anche nuove modalità di gestione, come ci ricorda, per esempio il concetto di Shared responsibility.
Solo in questo modo, comprendendo i propri equilibri, anche fra tecnologia e gestione, oltre a quelli esterni, le aziende possono difendersi in modo efficace e trasformare la Cybersecurity in una opportunità di crescita.
