[section_title title=Cybersecurity: non solo obbligo ma opportunità Parte 1]
A cura di Roberto Tavano – VP Security EMEA | Global Sales, Unisys Corporation
Purtroppo i modelli attuali pensati per la protezione delle organizzazioni dagli attacchi informatici sono sempre meno validi. La cybersecurity è destinata a diventare una componente pervasiva di qualsiasi azienda che ha a che fare con il business digitale, per questo deve essere intessuta già in fase di progettazione nella sua stessa trama. Infatti, troppo spesso viene considerata una semplice competenza aggiuntiva, indotta dalla necessità di compliance e gestita dall’IT come fatto squisitamente tecnico. Come tale viene anche percepita dal management, che tende a vederne generalmente uno sgradevole “must-have”, ovverosia un costo aggiuntivo che deve essere ridotto al minimo. Tale percezione negativa di elemento un po’ esoterico, per addetti ai lavori, è aggravata dal fatto che, richiedendo comunque conoscenze e competenze specifiche, l’applicabilità e scalabilità delle soluzioni diventano questioni rilevanti.
I miei recenti interventi spingono il tema nella medesima direzione: l’esigenza di un nuovo stato di consapevolezza da parte del senior management dell’organizzazione – a partire dal consiglio di amministrazione – sul tema degli asset digitali e della differente importanza e valore che rivestono per l’organizzazione e, similmente, per gli eventuali malintenzionati che sferreranno gli attacchi. A seguire, ho voluto fornire una checklist degli aspetti da considerare, pensata nell’ottica di tracciare la roadmap verso un’organizzazione che sappia essere “cyber-resiliente”.
Conosci i tuoi beni più preziosi, e comportati di conseguenza
La conoscenza reale dei dati rilevanti di un’organizzazione e dei rischi di business a essi associati è generalmente scarsa, a volte del tutto inesistente. La proprietà dei dati non è, infatti, un concetto diffuso tra le organizzazioni imprenditoriali; ancor meno, è un concetto del quale il management, a qualsiasi livello, comprenda pienamente il significato in termini di percezione e capacità di assumere la responsabilità della loro integrità e protezione rispetto a tutta la catena del valore che li accompagna.
La protezione dei dati, ben prima di divenire un problema tecnico, è un problema di gestione, e uno dei più rilevanti in questo senso. Concentrarsi principalmente sui dati è fondamentale per l’organizzazione perché consente di evitare l’errore di “appiattire” la vista, vale a dire applicare norme e azioni in modo indiscriminato a livello dell’organizzazione, approccio che le rende principalmente prive di valore, oltre ad essere estremamente costoso e spesso inefficace. Tale situazione, in ogni caso, impone un approccio cooperativo rinnovato che coinvolge tutti i livelli del management e delle operation e chi si trova in prima linea. Ogni categoria e attore singolo deve, infatti, condividere una visione comune, essere partecipe di un obiettivo comune ed essere formato in funzione di questi obiettivi. Chiaramente, non si tratta del pane quotidiano con cui hanno a che fare tradizionalmente i professionisti dell’IT e il cambiamento dovrebbe essere avviato dal CEO stesso.
La cybersecurity non è un capriccio tecnologico ma un rischio effettivo per il business; cogli questo aspetto e agisci in base ad esso
La valutazione del rischio degli attacchi informatici, del loro impatto sulle diverse componenti del business e delle possibili implicazioni per l’azienda dovrebbe essere integrata con le altre analisi di rischio e sottoposta regolarmente al senior management per revisione e discussione. Migliorare la cyber-resilienza di un’organizzazione non è un’azione semplice o ben delineata. Non esiste una scorciatoia o una bacchetta magica. In realtà si tratta di un processo senza fine.
Quindi, più profonda è l’integrazione di tutti gli elementi che rendono appetibile la ricetta di sicurezza per l’organizzazione, migliore sarà il risultato. Questo implica un’integrazione e una collaborazione stretta da parte di una gamma vasta di attori e funzioni, sia all’interno dell’organizzazione che nell’ecosistema più esteso che comprende i partner commerciali, i fornitori e – ultimi ma di certo non meno importanti – i clienti.
Per continuare a leggere l’articolo consultare la pagina successiva
