Innovazione sicura significa progettare processi di automazione, ottimizzazione, digitalizzazione e trasformazione tecnologica in generale, integrando in maniera nativa la prevenzione e la protezione dal cyber crime. Nella storia dell’informatica, si tratta di una vera e propria rivoluzione copernicana perché sancisce un passaggio epocale: da una sicurezza informatica aggiunta a posteriori (in modo addizionale e spesso con sistemi ridondanti) a una nuova consapevolezza aziendale in cui da mero problema tecnologico la cyber security diventa un obiettivo strategico di business.
Innovazione sicura: una collaborazione sinergica tra CIO e CISO
L’innovazione sicura consente alle aziende di evolversi senza compromettere la loro integrità, proteggendo al tempo stesso i loro partner di filiera e i clienti. In questo contesto, CIO e CISO devono lavorare in perfetta sinergia, unendo le rispettive competenze per integrare nuove tecnologie e metodologie nel contesto aziendale, dove innovazione e protezione diventano un binomio indissolubile. Il tema è stato affrontato nel keynote intitolato “Cybersecurity: verso una nuova frontiera della sicurezza”, in occasione dell’evento Digital360 Awards e CIOsumm.IT 2024 a Lazise, organizzato da Digital360 e Aused.
“In un’era in cui l’Intelligenza Artificiale impatta in modo esponenziale e dirompente su qualsiasi business, è fondamentale bilanciare progresso e sicurezza – ha spiegato Luigi Gobbi, Security Manager e autore del libro Nella Mente dell’hacker -. È crollato il presupposto che CIO e CISO abbiano due obiettivi differenti, in contrapposizione o in sovrapposizione: da una parte il CIO con i suoi obiettivi di business, di innovazione e dall’altra il CISO con i suoi obiettivi di security e di compliance. Presi singolarmente questi obiettivi oggi non hanno né senso né valore. Quello che le aziende vogliono e pretendono è di perseguire è un unico grande obiettivo che è di fare innovazione sicura”.
In questa nuova era che porta le organizzazioni a triangolare Governance, della gestione del Rischio e Compliance, CIO e CISO diventano figure complementari:
- Da un lato i CIO hanno bisogno della visione e del supporto del CISO per non rischiare di uscire fuori strada, perdendosi tra le infinite potenzialità delle tecnologie emergenti, dove l’ultima in ordine di apparizione è la GenAI.
- Dall’altro i CISO hanno bisogno del supporto dei CIO per rimanere ancorati al business, per evitare di diventare dei predicatori nel deserto, per non rischiare di imbrigliare la propria azienda all’interno di una eccessiva rigidità che sarebbe controproducente ma che, magari inconsciamente, a volte chi si occupa di sicurezza informatica tende a perseguire.
L’AI come acceleratore del cambiamento
La premessa è che le ultime evoluzioni dell’AI hanno reso il cybercrime accessibile a una platea più ampia, permettendo anche a individui con scarse competenze tecniche di orchestrare attacchi complessi. Oggi non c’è bisogno neanche di entrare nel Dark Web.
“Con un po’ di astuzia, è possibile utilizzare strumenti come ChatGPT per generare codice malevolo o progettare campagne di phishing – ha aggiunto Gobbi -. Il tutto in modo assolutamente facile, veloce ed economico. Questo ha incrementato la quantità di malware in circolazione, rendendo il cyberspazio un terreno sempre più pericoloso. Il risultato è che il trend di esposizione delle aziende al rischio informatico è in aumento, e continuerà a crescere, anno dopo anno”.
Ransomware adattivi e AI agent di cyber security
Come ha sottolineato l’esperto, uno degli sviluppi più notevoli è l’emergere di ransomware adattivi, alimentati dall’AI. Questi malware non si limitano ad aspettare di essere attivati. Analizzano il contesto in cui operano per identificare e sfruttare le vulnerabilità specifiche di un ambiente. Usando tecniche di offuscamento eludono gli strumenti di sicurezza tradizionali, evolvendo in modo dinamico per continuare a sembrare software legittimi.
“Tutto questo sta cambiando il panorama della cybersecurity: stiamo assistendo alla nascita di agenti di cybersecurity intelligenti che fanno prevenzione – ha proseguito Gobbi -. In che modo? Sfruttando a loro volta l’AI per fare esattamente le stesse cose, ovvero per individuare percorsi di attacco potenziali per bloccarli proattivamente prima che possano essere sfruttati dall’esterno. Innovazione e prevenzione devono andare sempre di pari passo”.
Ingegneria Sociale: focus sullo Human Vulnerability Management
Un altro punto di attenzione segnalato dall’esperto è l’ingegneria sociale che, con l’avvento delle deep fake, è diventata un fenomeno ancor più complesso e difficile da contrastare.
“L’ingegneria sociale sfrutta le vulnerabilità umane per compromettere la sicurezza delle aziende – ha fatto notare Gobbi -. Nonostante la crescente consapevolezza sull’importanza del fattore umano nella cybersecurity, molte aziende sono ancora indietro nell’implementare misure efficaci. Corsi di formazione e campagne di phishing spesso non bastano se non accompagnati da una cultura della sicurezza che ne spieghi il valore. Le aziende devono adottare un approccio di Human Vulnerability Management. Questo significa trattare le persone come asset informatici, identificando e correggendo le vulnerabilità umane con processi strutturati per evitare che possano compromettere la sicurezza aziendale. In che modo? Definendo e implementando dei percorsi che realmente siano in grado di accompagnare i nostri utenti in una crescita, in una maturazione di quelli che sono i concetti fondamentali della sicurezza informatica, perché solo in questo modo riusciremo a trasformarli in firewall viventi che ci aiuteranno a proteggere la nostra azienda.”
Verso nuovi standard di sicurezza e resilienza nelle filiere
Attraverso l’adozione di strategie di sicurezza avanzate, le aziende possono non solo mantenere la fiducia dei loro stakeholder, ma anche posizionarsi in modo competitivo nel mercato globale. In definitiva, l’innovazione sicura diventa un fattore chiave per la sostenibilità e la resilienza aziendale a lungo termine, permettendo alle imprese di affrontare le sfide future con maggiore fiducia e sicurezza.
“La cybersecurity non è solo una questione di protezione dei segreti industriali – ha precisato Alessio Pennasilico, partner di P4I e responsabile della practice di information Cybersecurity – ma di garantire che le operazioni non subiscano interruzioni, che potrebbero compromettere la capacità di soddisfare gli ordini e mantenere i rapporti con i clienti. Nel settore automotive, ad esempio, i grandi produttori stanno imponendo standard di sicurezza rigorosi non solo ai loro fornitori diretti, ma a tutta la filiera. Questa omologazione forzata crea sfide significative per le piccole e medie imprese, che devono adeguarsi a requisiti complessi per mantenere i contratti e garantire la continuità operativa. In questo senso si spiega anche il crescente interesse legislativo e normativo verso la cybersecurity”.
Innovazione sicura e sostenibile: verso un futuro di trasparenza e fiducia
La SEC americana, ad esempio, richieda alle aziende quotate di includere nei loro bilanci informazioni sui rischi di sicurezza informatica che riflette un impegno per una trasparenza maggiore verso gli investitori, sottolineando l’importanza della resilienza economica. In Italia, l’integrazione della cybersecurity nei bilanci di sostenibilità segna una nuova alba per l’innovazione sicura. Questi bilanci, che tradizionalmente servono a dimostrare al mercato l’affidabilità, la solidità e la responsabilità ambientale di un’azienda, stanno ora includendo anche valutazioni della sicurezza informatica. Questo è fondamentale per mostrare come un’azienda protegga tutti i suoi stakeholder, dai dipendenti ai collaboratori, da clienti ai fornitori.
“Siamo all’inizio di un nuovo capitolo dello sviluppo aziendale – ha concluso Gobbi -. A dispetto di una crescente consapevolezza, molte imprese non sono ancora pronte ad abbracciare appieno l’approccio dell’innovazione sicura. Anche le multinazionali leader nei loro settori possono trovarsi con un board non del tutto allineato a questa necessità. È quindi compito dei CIO portare proattivamente la questione della sicurezza informatica sui tavoli decisionali, coinvolgendo fin da subito il CISO e i security manager in questa nuova pianificazione strategica. Solo in questo modo, i CIO possono veramente affermare di fare il proprio lavoro, non solo guidando l’evoluzione tecnologica, ma garantendo anche la sicurezza dell’azienda. Così facendo, si tutela la capacità dell’azienda di competere e prosperare nel mercato del futuro”.
