Fra fine gennaio e inizio febbraio, a brevissima distanza, si sono susseguite due giornate a chiaro stampo cybersecurity, quella della data protection, rivolta prevalentemente a educare alla salvaguardia dei dati personali, e quella per rendere Internet un luogo più sicuro. Converremo che le giornate mondiali hanno un senso se i temi che dettano vengono colti e svolti non solamente per un giorno, ma quotidianamente.
Abbiamo quindi voluto simbolicamente far partire una call to action, rivolgendoci ad alcune aziende di riferimento sullo scenario italiano, spostando l’asticella un po’ più in alto.
Sappiamo, infatti, che il tema della protezione dati, non nuovo, vive da sempre un problema di attrattività all’interno delle aziende, che se non obbligate per legge, difficilmente fanno un passo più del richiesto per investire in sicurezza e in protezione dati.
Ma riteniamo che qualcosa stia cambiando, ma vogliamo dare una spinta in più nel fare proseliti, nel raccogliere adesioni, senza ambire a che siano entusiastiche
Ci siamo posti dunque nella posizione di capire come rendere la cybersecurity attraente in azienda, come lo sono le tecnologie smart sul piano personale.
Così ci ha risposto Carlo Mauceli, National Digital Officer Microsoft Italia.
Può la cybersecurity essere davvero smart nell’azienda di oggi?
Nel rispondere a questa domanda mi vengono in mente le parole di Giovanni Falcone “L’importante non è stabilire se uno ha paura o meno, è saper convivere con la propria paura e non farsi condizionare dalla stessa. Ecco, il coraggio è questo, altrimenti non è più coraggio ma incoscienza”. È esattamente quello che le aziende vivono, perché esiste un retaggio culturale secondo il quale la sicurezza costituisce un freno alla flessibilità lavorativa. È quanto di più sbagliato si possa pensare e Microsoft rappresenta l’esempio più evidente: da anni, infatti, in azienda si può lavorare in modalità smart, senza rinunciare alla sicurezza. La sicurezza è la prima preoccupazione di ogni viaggio tecnologico.
Sentire parlare di industria 4.0, di mobilità, di hybrid work e di nuove tecnologie senza avere al centro della propria strategia la sicurezza, significa non offrire servizi al passo con i tempi. Pertanto, se le tecnologie moderne sono il mezzo attraverso il quale lo smart working può essere garantito, la sicurezza rappresenta quella garanzia necessaria per svilupparlo e implementarlo in modo sereno e flessibile.
Quali sono gli elementi tecnologici che lo consentono?
Nel momento in cui un’azienda decide di implementare un nuovo servizio o nuove applicazioni o di migrare le proprie soluzioni legacy verso piattaforme più moderne, efficienti e sicure, le tecnologie cloud sono ormai considerate irrinunciabili.
Sul mercato ci sono diverse tipologie: cloud pubblico, servizi cloud offerti da specifici provider ed erogati attraverso risorse pubbliche, cloud privato, servizi e componenti hardware utilizzati in modo esclusivo da un singolo cliente, cloud ibrido che unisce le principali componenti di entrambi i modelli e cloud iperconvergente.
Quest’ultima soluzione è senz’altro la più indicata per sfruttare appieno i vantaggi del cloud, perché consente di gestire i servizi e le risorse nel modo più funzionale, indipendentemente dal fatto che l’asset sia in cloud pubblico, privato o on-premise nei data center aziendali.
Le soluzioni iperconvergenti rappresentano anche un’interessante opportunità nell’ambito di processi di rinnovamento dei data center e consentono di realizzare soluzioni cloud ibride e di concertare anche installazioni complesse. con una buona semplicità di configurazione e mantenimento attraverso una dashboard unica, indifferentemente da dove fisicamente si trovi il server sul quale è necessario intervenire.
Tuttavia, con queste tecnologie le organizzazioni devono superare il concetto di perimetro aziendale, inteso come spazio al cui interno ogni risorsa è al sicuro perché protetta da device dedicati come appliance o firewall.
Le tecnologie cloud, infatti, impongono un approccio più fluido: le risorse hardware possono essere disponibili anche utilizzando infrastrutture non di proprietà e sulle quali la singola azienda non ha pieno controllo.
Alle aziende è quindi richiesto un nuovo approccio culturale nel considerare quali siano i reali confini della propria infrastruttura: per consuetudine si tende a considerare fattori di rischio i singoli PC e i dispositivi IT ma, in un ecosistema sempre più connesso, le aree potenzialmente pericolose sono anche altre.
Le aziende devono infatti valutare tutti i possibili attacchi informatici derivanti dalla pluralità dei dispositivi connessi al di fuori della propria rete aziendale, e considerare tutti gli end-point che lo smart working porta con sé. Questo nuovo approccio culturale si applica quindi a tutte le componenti informatiche presenti in azienda, siano esse moderni dispositivi IIoT (Industrial Internet of Things), vecchi macchinari connessi alla rete, postazioni di lavoro tradizionali o device connessi da remoto.
Si tratta di mettere a punto una nuova strategia di sicurezza non più legata a un perimetro da proteggere, ma flessibile per quanto riguarda le minacce e la loro provenienza. Diventa, quindi, di primaria importanza la protezione dei dati e la loro gestione, soprattutto nel delicato processo di trasferimento del dato su piattaforme Cloud.
Quali le iniziative organizzative da intraprendere?
Dopo anni di budget cospicui allocati ad acquistare tecnologie all’ultimo grido e risultate talvolta insoddisfacenti, è giunto il momento sia per i responsabili della sicurezza sia per quelli aziendali di rivedere le priorità degli investimenti in cybersecurity come parte dell’approccio strategico di business aziendale.
La cybersecurity deve diventare uno degli elementi costituenti della strategia di business in modo che qualsiasi rischio di sicurezza sia correttamente pesato e pensato all’interno dell’intero sistema di gestione aziendale.
Da quando la digitalizzazione ha iniziato a permeare il mercato, cambiando il modo di lavorare nell’industria e nel commercio, le strategie di business non hanno quasi mai tenuto conto in modo appropriato della sicurezza informatica. Anche oggi, in molti consigli di amministrazione e nei board aziendali sono pochi coloro che si possono dire esperti di cybersecurity.
Questa mancanza di conoscenza non consente di comprendere pienamente i rischi e soprattutto gli impatti sul business che deriverebbero da un caso di effrazione digitale e conseguente furto di dati aziendali e personali. Per troppi anni il tema della sicurezza è stato affrontato come una sfida puramente tecnica dettata dalla tecnologia e dalle normative.
Un altro elemento molto importante della strategia di cybersecurity riguarda il modello organizzativo, che deve includere ruoli di governance e di gestione del rischio così da essere in grado di sviluppare una strategia ben definita e di allinearla alle esigenze del business.
Ulteriore obiettivo è quello di sviluppare una cyber resilienza ovvero la capacità di rimanere operativi durante una violazione informatica quando dovesse verificarsi, perché “restare in vita”, in termini di business, riesce solo a chi sa mantenere operativi i suoi sistemi operativi, anche sotto attacco. Questo concetto è trasversale a tutta l’azienda perché abbraccia persone, procedure e asset, ovvero elementi diversi che non devono essere trascurati in un piano omnicomprensivo.
Un punto di partenza assolutamente imprescindibile è avere la consapevolezza di cosa accada all’interno della propria infrastruttura.
E se davvero fosse smart, un euro speso in cybersecurity che rendimento avrebbe per l’azienda?
I dati dell’ultimo report Clusit ci dicono che gli attacchi informatici hanno avuto a livello globale nell’ultimo anno un impatto economico pari al 6% del PIL. C’è un proverbio che dice “chi più spende, meno spende”. Ecco, direi quindi che è fondamentale non sottovalutare i rischi e dedicare il giusto budget agli investimenti in cybersecurity per evitare costi, o mancati introiti, molto più ingenti a danno avvenuto.
Leggi tutti i nostri articoli su Microsoft e la cybersecurity