Finché la cyber resilienza non diventa una priorità aziendale, le possibilità di affrontare i rischi informatici rimarranno limitate. Con tutto ciò che ne può conseguire. Questo avvertimento, proveniente dal report “Building a Culture of Cyber Resilience in Manufacturing” del World Economic Forum (WEF), non lascia spazio a interpretazioni: la resilienza informatica deve essere al centro delle strategie aziendali.
Il report identifica tre leve fondamentali per costruire una cultura di resilienza informatica nel settore manifatturiero: rendere la cyber-resilienza una priorità aziendale, integrarla nei processi e nei sistemi, e gestire l’ecosistema. Ma come possono i CIO mettere in pratica queste indicazioni per proteggere le loro organizzazioni?
Cyber-resilenza come parte del DNA aziendale
Per cominciare, la resilienza informatica deve diventare parte integrante del DNA interno, dalla leadership aziendale fino agli operatori sul campo. I leader aziendali devono alimentare un mindset che identifichi nella sicurezza informatica un valore fondamentale, non solo come una serie di procedure o linee guida da seguire. Ne consegue che i CIO devono convincere i vertici aziendali dell’importanza della sicurezza informatica come pilastro strategico, garantendo che sia erogato un budget adeguato e che le risorse necessarie siano effettivamente disponibili.
Un esempio pratico di questo modus operandi è quello di Unilever, che ha istituito un’organizzazione robusta di “Factory Cyber Security”. Questo modello non solo introduce una governance chiara e specifica per la sicurezza informatica, ma mette in campo risorse a livello globale, regionale e locale per assicurare una risposta rapida ed efficace alle minacce.
Integrare la sicurezza informatica nei processi e nei sistemi
Integrando la resilienza informatica nei processi e nei sistemi aziendali, i CIO devono privilegiare un approccio di “sicurezza by design”. Non si tratta di aggiungere la sicurezza come “ripensamento” di standard già consolidati, ma di farne un elemento costitutivo di ogni processo e sistema, utilizzando un approccio basato sui rischi. Questo significa che, durante lo sviluppo di nuovi prodotti, processi e tecnologie, la sicurezza deve essere incorporata fin dalle fasi iniziali. È quindi necessario disporre di un’infrastruttura robusta che supporti l’emissione sicura di certificati per prodotti e soluzioni, come nel caso di Siemens e la sua infrastruttura PKI (Public Key Infrastructure), che garantisce l’autenticità e la sicurezza dei dispositivi lungo tutto il ciclo di vita del prodotto.
L’importanza della formazione continua
Altro elemento critico è la formazione continua. Per costruire la vera cyber-resilienza, non basta fornire un corso di formazione una tantum e considerare il problema risolto. È necessaria una formazione continua, che coinvolga tutti i dipendenti, dai dirigenti agli operatori di linea, sui principi di base della sicurezza informatica e sulle pratiche specifiche di sicurezza rilevanti per i loro ruoli. Il continuo aggiornamento delle competenze permette di rimanere al passo con l’evoluzione delle minacce, assicurando che l’intera organizzazione sia preparata ad affrontarle.
Puntare l’attenzione sul disaster recovery
Oltre a ciò, la preparazione alla risposta agli incidenti è un altro aspetto cruciale. I CIO devono sviluppare e testare regolarmente piani di risposta agli incidenti, assicurandosi che siano aggiornati e che tutti i membri dell’organizzazione sappiano cosa fare in caso di un attacco informatico. Questo include non solo la gestione immediata dell’incidente, ma anche piani di ripristino e mitigazione degli effetti a lungo termine.
Gestire l’ecosistema manifatturiero
Infine, la gestione dell’ecosistema è fondamentale. Nel settore manifatturiero, le aziende non operano in isolamento ma fanno parte di un ecosistema complesso che include fornitori di materie prime, partner di logistica, fornitori di tecnologia e molti altri. La sicurezza dell’intero ecosistema deve essere gestita in modo olistico. I CIO devono quindi stabilire partnership di fiducia, collaborare con altre aziende del settore e con enti regolatori per condividere informazioni sulle minacce e sugli attacchi.
Un esempio di approccio efficace è quello di Schneider Electric, che adotta una visione olistica della sicurezza della catena del valore, implementando controlli di sicurezza a ogni livello, dalla ricerca e sviluppo alla produzione, distribuzione e operazioni. Queste iniziative non solo rafforzano la sicurezza dell’organizzazione, ma creano anche un ambiente di fiducia reciproca che può essere estremamente vantaggioso in caso di incidenti informatici.
In tutto questo, la gestione proattiva dei rischi legati ai fornitori è essenziale. Questo include la definizione di profili di sicurezza basati sui rischi e l’integrazione di questi requisiti nei contratti con i fornitori. Le aziende devono monitorare costantemente le vulnerabilità dell’ecosistema, condurre revisioni periodiche dei processi e applicare aggiornamenti e patch regolari.
Trasparenza e comunicazione
Un altro aspetto chiave per i CIO è l’importanza della trasparenza e della comunicazione. Una cultura di resilienza informatica richiede che tutte le parti coinvolte siano consapevoli delle potenziali minacce e delle misure di sicurezza in atto. Questo significa che i CIO devono instaurare una comunicazione aperta con tutti i livelli dell’organizzazione, dai dipendenti ai fornitori, fino ai clienti finali. La trasparenza non solo aumenta la consapevolezza della sicurezza, ma facilita anche una risposta più rapida ed efficace in caso di incidente.
Inoltre, i CIO devono promuovere l’importanza della sicurezza informatica come un vantaggio competitivo. In un mercato sempre più digitalizzato, le aziende che dimostrano di avere una robusta resilienza informatica possono infatti differenziarsi dai concorrenti, attrarre nuovi clienti e mantenere quelli esistenti. La sicurezza informatica non deve essere vista solo come una necessità operativa, ma come una componente strategica del business capace di generare valore.
Fare innovazione mantenendo una solida cybersecurity
Il futuro del settore manifatturiero – questo è quanto emerge, in conclusione, dal report WEF – dipende dalla capacità di adottare tecnologie innovative mantenendo al tempo stesso una solida sicurezza informatica. E i CIO hanno un ruolo cruciale in questo equilibrio delicato.
Non si tratta solo di proteggere i dati e i sistemi, ma di costruire un ambiente dove l’innovazione può prosperare in sicurezza. La resilienza informatica diventa così non solo una difesa contro le minacce, ma una piattaforma da cui l’azienda può crescere e innovare, trasformando le sfide in opportunità.