Tavola rotonda: come allineare la cybersecurity agli obiettivi di Business
Indice dell'articolo
Nonostante un aumento costante del numero e della severità degli attacchi informatici, cresciuti negli ultimi anni molto più in Italia che nel resto del mondo (+169% rispetto a una media globale del 21%), gli investimenti e il commitment delle aziende a favore delle iniziative di cybersecurity sono spesso ancora gravemente inadeguati.
In parte la scarsa considerazione è dovuta a un approccio orientato solo alla mitigazione del rischio, la cui percezione può essere molto variabile nel management, quando non addirittura fuorviante: “in tre anni non abbiamo subìto neanche un attacco: perché dovrei aumentare gli investimenti?”, può pensare qualcuno.
Nel migliore dei casi, la cybersecurity è vista come male necessario e una spesa obbligata, come l’assicurazione dell’auto. Nei casi peggiori, le iniziative cyber – che a volte richiedono cambiamenti negli strumenti, nei flussi di lavoro e l’adesione a policy determinate – sono viste come un ostacolo alla libertà di movimento delle linee di business. Un freno al fatturato.
È possibile invece vedere la cybersecurity come un’attività funzionale non solo alla preservazione del business, ma anche al suo sviluppo? Come qualcosa che non si limiti a “tenere la macchina in strada”, ma anche a farla correre più veloce?
È proprio questo l’approccio “Outcome based security”, proposto da Forrester Research all’interno di una ricerca commissionata da WithSecure, e il tema di una tavola rotonda organizzata da DigitalWorld con CIO e CISO di aziende italiane medio grandi e moderata dal nostro giornalista Andrea Grassi.
Il valore economico della reputazione
I partecipanti hanno ammesso che in generale non è semplice svincolarsi dalla logica della valutazione del rischio. Un primo passo per far comprendere le implicazioni per il business è stimare i diversi impatti che un attacco può avere sul fatturato, non solo a causa di un blocco momentaneo dell’operatività.
Per Tiziano Andreoli, Head of IT di NMS Group, azienda che si occupa di ricerca medica e farmaceutica, la reputazione che ci si costruisce in anni di lavoro con ospedali, pubblica amministrazione e altre aziende che operano in un settore regolamentato, può essere distrutta all’istante se si subisce un attacco importante. Questo crea un danno quantificabile anche economicamente.
Al contrario, “poter dimostrare agli stakeholder che, nonostante il panorama circostante, l’azienda è in grado di difendersi, oggi rappresenta un elemento distintivo importante, e lo sarà sempre più in futuro”, afferma Valerio Savino, CISO di Jakala. “Le aziende che dimostreranno di essere nativamente capaci di proteggere le informazioni andranno conquistare sempre più fette di mercato, mentre altre saranno spazzate via”.
La cybersecurity diventa quindi un vantaggio competitivo, che si concretizza nella capacità di qualificarsi in gare e tender o di superare audit di clienti o enti regolatori. “Poter garantire piena conformità ai requisiti di un bando mette la forza vendita in condizioni di vantaggio, e ricevere da un cliente i complimenti per la nostra postura di cybersecurity dopo un audit durato giorni è qualcosa che lo fidelizza nei nostri confronti”, afferma Savino.
L’effetto virtuoso della cybersecurity sui processi di business
Aziende e pubblica amministrazione a volte spendono male, perché pensano che sia sufficiente acquistare soluzioni tecnologiche per essere al sicuro, mentre la cybersecurity deve essere un processo di evoluzione che comprende le persone, l’organizzazione e i processi, sottolinea un altro partecipante: “in questo senso, farsi carico dell’ottimizzazione dei processi e della formazione tecnica e culturale delle persone, è fornire un grande valore all’azienda”.
Abilitare la cybersecurity permette di migliorare la gestione dei processi aziendali, ed è un fattore molto importante per la compliance ma anche per l’efficienza. “Quel che abbiamo fatto noi è cercare di passare dalle prassi alle procedure, e questo obbliga a fare ordine nei processi operativi, diminuire il numero di strumenti usati e rendere il lavoro dei dipendenti più semplice ed efficiente, aumentando la produttività”, commenta Savino.
Un altro esempio viene portato da Sirio Antonellini, CIO di Augusta Ratio: “A volte alcune iniziative di marketing sono frenate da timori relativi alla protezione del dato. Da un lato c’è la paura di compiere involontariamente delle violazioni, dall’altra quella che i dati dei contatti – da cui dipendono i risultati e il proprio successo personale – vengano utilizzati in modo errato da colleghi o sottratti da fornitori esterni. Se si abilitano strumenti efficaci per la protezione dei dati, il marketing può muoversi serenamente su nuovi canali digitali, sicuro che i dati personali saranno trattati in modo conforme e che non ne perderà mai il controllo”.
Abilitare nuovi strumenti e metodi di lavoro
L’evoluzione tecnologica a volte compie dei balzi e a volte l’IT e la sicurezza aziendale riescono a tenere il passo. A volte il cambiamento è improvviso, come quando all’inizio della pandemia da Covid19 le RSA di gruppo Colisée hanno consegnato a ciascun ospite un dispositivo per poter fare videochiamate con i propri parenti, ai quali l’accesso alle strutture era vietato dalle disposizioni sanitarie.
“È stata un’iniziativa che il nostro marketing ha preso in modo molto veloce, e non è stato semplice prevedere connettività e funzioni di sicurezza per consentire l’utilizzo di questi dispositivi in modo che non causasse disservizi o rischi all’operatività delle strutture”, ha affermato il Country Information Manager di Colisée Fabrizio Alampi.
Ma anche nelle aziende di altri settori, nuovi software, servizi e dispositivi vengono adottati in modo molto veloce. Impedirne o rallentarne l’utilizzo – come precauzione contro i rischi cyber – sarebbe dannoso per la competitività dell’azienda.
“Da questo punto di vista, l’adozione di un modello Zero Trust è un chiaro beneficio, perché dando per scontato che ci possa essere una violazione, e nessun dispositivo o rete può essere considerato affidabile, la prevenzione e l’isolamento delle minacce viene fatto con tecnologie basate su EDR, XDR, accesso condizionale e sensori per eventi anomali in modo selettivo”, commenta Savino. “Una politica Zero Trust può quindi risultare meno restrittiva e permettere al business di adattarsi più velocemente al lavoro remoto e a nuovi modelli, tecnologie e soluzioni”.
Un modello che può permettere di costruire un ambiente aziendale protetto in cui potersi focalizzare sulla crescita del business, commenta Massimo Marabese, Group CIO di Cellularline: “Tutti quanti investiamo molto tempo nella formazione, nello stilare e far rispettare le policy, nell’imparare e adottare nuovi strumenti e tecnologie. Se si potesse avere un ambiente sicuro, una sorta di sandbox, in cui i dipendenti si muovono liberamente senza rischi, si libererebbero tantissime energie da indirizzare nel lavoro quotidiano o nuove iniziative. Chissà se un giorno ci arriveremo mai”.
Una cybersecurity allineata agli obiettivi di Business
“In molti hanno sottolineato come la cybersecurity non sia ancora una commodity, qualcosa che possiamo dare per scontata, e sono necessari ancora interventi e investimenti – commenta Carmen Palumbo, Country Sales Manager di WithSecure Italia, sponsor dell’evento. È importante investire, ma soprattutto spendere bene. Fare una spesa sbagliata – magari perché una certa tecnologia è la moda del momento – non è solo uno spreco di soldi, ma anche uno spreco della credibilità di chi ha proposto quella spesa”.
“È necessario passare a una cybersecurity basata sui fatti, che sia allineata agli obiettivi aziendali e semplifichi le operazioni del business. La nostra proposta è quella di una cyber security ad hoc, progettata insieme ai clienti con il metodo della Outcome Based Security”, conclude Palumbo.
