Qual è la percezione dell’importanza e della portata della cyber security per le aziende? Per fortuna, l’importanza di garantire un adeguato livello di sicurezza dei sistemi IT almeno da qualche anno a questa parte, non è più in discussione. La nuova sfida per gli esperti di cyber security, piuttosto, è quella di trasmettere alle imprese una percezione che ponga la sicurezza come un tema “orizzontale”, che deve necessariamente attraversare diversi aspetti dell’organizzazione dell’azienda che hanno una stretta connessione tra loro.
Progettare la sicurezza in modo efficace
La logica che muove un approccio di questo genere prende le mosse dall’analisi dei fenomeni che si stanno sviluppando nel mondo delle imprese. Di fronte a una prepotente crescita della digital transformation, che sta interessando ormai pressoché ogni attività produttiva in Italia e nel mondo, ciò a cui si sta assistendo è una corrispondente crescita degli attacchi informatici. Questo scenario comporta una duplice ripercussione: se da un lato garantire la sicurezza dei sistemi diventa sempre più complesso, aumenta anche l’impatto del cyber crimine e il danno potenziale che può provocare a chi subisce attacchi informatici. “L’adozione di tecnologie basate su piattaforme cloud e l’introduzione di strumenti digitali che consentono il lavoro in mobilità ha reso obsoleto il concetto di perimetro su cui si basava la tradizionale filosofia della cyber security” spiega Fabio Vernacotola, Security Lead Italy di Avanade . “Ogni azienda, in pratica, sfrutta un network che si estende ben oltre il suo limite fisico e la sua protezione richiede un cambio di strategia”. In altre parole, è necessario abbandonare l’idea di considerare le infrastrutture aziendali come una sorta di “fortezza” che deve essere protetta da attacchi esterni e concentrarsi piuttosto sul controllo di ciò che avviene sui sistemi.
“Il tema della sicurezza informatica è ormai assolutamente trasversale” aggiunge Luba Manolova, Direttore della Divisione Microsoft 365 di Microsoft Italia. “Qualsiasi impresa ha la necessità di mettere in sicurezza le sue infrastrutture IT per garantire la business continuity e tutelare il suo patrimonio, in particolare a livello di proprietà intellettuale”.
E Gabriella Carrozza, Security Innovation Lead Europe di Accenture, precisa: “Il nuovo paradigma della sicurezza si basa su un approccio zero trust. Il controllo dell’identità e degli accessi diventa fondamentale. L’organizzazione delle aziende punta sulla flessibilità sia sotto un profilo fisico, sia sotto un profilo di gestione dei processi produttivi. La security deve adeguarsi a questa filosofia per garantire un controllo efficace a livello IT”.
Non è una questione (solo) per tecnici
Quando si parla di visibilità (o meglio trasparenza) delle attività IT, è necessario considerare i processi aziendali nel loro complesso. Se l’adozione di strumenti basati sulla logica della detection consente di avere una buona presenza e la possibilità di monitorare le attività, il presupposto per poter applicare questo controllo è quello di definire processi e policy che lo rendano possibile.
Quella di cui bisogna liberarsi, in buona sostanza, è l’idea per cui la cyber security sia un ambito “isolato” dal resto, riservato a specialisti che devono esclusivamente garantire il funzionamento degli strumenti di protezione contro malware e attacchi informatici. “Il concetto moderno di cyber security impatta su diversi aspetti dell’organizzazione aziendale” conferma Vernacotola. “Il processo che porta alla definizione dei sistemi di sicurezza informatica coinvolge necessariamente diversi soggetti e richiede la messa in comune di competenze ampie, oltre che strumenti estremamente specializzati”. Insomma: la visione di chi si occupa di sicurezza nel panorama attuale punta a un approccio multidisciplinare, che tocca ogni aspetto nella definizione di policy e processi. “In fondo si tratta di riuscire a mettere in comune know-how e prospettive diverse” prosegue Vernacotola. “Qualcosa che è nel DNA della partnership tra Avanade, Accenture e Microsoft fin dagli esordi di questa collaborazione”.
Un lavoro di squadra
Quando ci si trova di fronte a sistemi complessi, come quelli di aziende di grandi dimensioni, l’improvvisazione non è un’opzione. L’obiettivo di creare un ecosistema tecnologico che abbia caratteristiche di efficienza e un adeguato livello di sicurezza, di conseguenza, è il frutto di un processo articolato in più fasi che comprende l’analisi delle esigenze, la definizione dell’organizzazione aziendale, la scelta degli strumenti tecnici più adeguati e un’implementazione degli stessi che garantisca la loro integrità. “Adottare una visione generale richiede il ricorso a una somma di specializzazioni”. conclude Vernacotola. “L’adozione di partnership con realtà leader nel loro settore consente di affrontare questa sfida in maniera ottimale”.