Gestire la sicurezza all’interno delle aziende oggi è un compito sempre più complesso, sia dal punto di vista tecnico, visto il numero sempre maggiore di attori coinvolti nella gestione e manutenzione dell’infrastruttura IT, sia a livello normativo, con un avvicendarsi di regolamenti e norme che non conosce uguali nella storia. Fra i temi più ricorrenti in questo scenario troviamo senza dubbio quello della shared responsibility, la responsabilità condivisa, che racchiude un concetto tanto semplice nel principio quanto complesso nell’applicazione: comprendere, e identificare, i confini delle responsabilità di ogni singolo attore all’interno di una filiera di sicurezza.
Ma c’è anche un’altra lettura possibile della shared responsibility: l’idea che si possa collaborare fra attori e realtà per costruire una sicurezza migliore. Una lettura in cui crede molto Axis Communications, azienda che opera nel settore della videosorveglianza e che promuove attivamente questa strategia.
Diversi livelli di sicurezza
Quello della videosorveglianza è un settore che, in qualche modo, convoglia tutte le principali problematiche relative alla sicurezza. Sia sotto il profilo tecnico (le telecamere IP, per esempio, sono storicamente al centro delle attenzioni dei criminali informatici), sia di integrazione, sia, soprattutto, di compliance. Questo anche in virtù dell’attenzione che, in particolare in Unione Europea, si pone sulla gestione e conservazione delle informazioni che riguardano le persone.
Il concetto di responsabilità condivisa emerge nelle dichiarazioni di Sofia Zhou, Solution Knowledge Manager Cybersecurity Axis HQ, espresse non a caso nel corso di un evento intitolato “La cybersecurity è una responsabilità condivisa”
“La cybersecurity è un asset centrale ancora troppo sottovalutato dalle aziende italiane” ha esordito la manager. “Ora è il momento di agire, investendo nella cybersecurity e nella conoscenza di essa. I dipendenti devono essere preparati da un punto di vista tecnologico e normativo, avendo consapevolezza delle minacce e dei rischi, e soprattutto di chi coinvolgono in questi processi”.
Ed è proprio questo il punto che definisce le linee del concetto di responsabilità condivisa. “Ogni azienda ha un proprio network collaborativo in cui ogni azione è responsabile dell’equilibrio dell’intero ecosistema. Questo è il punto cardine del concetto di cybersecurity come responsabilità condivisa: dobbiamo comprendere questo processo ed equilibrio, così come le tecnologie coinvolte nell’ecosistema collaborativo.”
Le sfide della sicurezza nel 2023
Le parole di Sofia Zhou trovano sponda in un interessante sondaggio condotto dall’azienda su 1200 organizzazioni mondiali di 14 settori diversi. Questo ha contribuito a identificare le sfide che aspettano la cybersecurity nei prossimi anni. Tra questi spiccano alcuni fenomeni che hanno un particolare impatto sul tema sicurezza.
Il primo è quello legato all’incremento dell’uso del digitale, soprattutto per quanto riguarda il lavoro agile e da remoto. L’aumento della forza lavoro che si trova all’esterno del tradizionale perimetro aziendale deve essere tenuto sotto controllo come parte dell’organizzazione.
Un altro tema rilevante è quello dell’esposizione digitale degli asset fisici, in particolare macchinari di produzione e di filiera, e le infrastrutture strategiche che sono, attraverso la connettività, esposte a una serie di nuovi potenziali attacchi.
Fra le sfide emerge anche quella legata alle nuove tecnologie (intelligenza artificiale, IoT, 5G e multi-cloud) che, se da un lato costituiscono una importante opportunità per le aziende, possono essere usate come strumenti anche dal cybercrime, sia perché introducono potenzialmente nuove vulnerabilità, sia perché possono diventare a loro volta nuovi strumenti di attacco. Infine, non bisogna dimenticare l’evoluzione del cybercrime: le organizzazioni legate all’e-crime diventano sempre più strutturate e organizzate.
Le linee strategiche
Secondo Axis il tema della responsabilità condivisa può essere “spinto” attraverso tre principali filoni, verso i quali è indispensabile rivolgere l’attenzione degli operatori del settore.
Il primo, apparentemente semplice e scontato, è quello della ripartizione delle responsabilità all’interno della cybersecurity, in particolare in caso di incidente. Quasi un “tema-ombrello” che dovrebbe guidare lo spirito della shared responsibility.
Il secondo è decisamente più formale: l’aspetto normativo, in particolare l’attenzione alla luce delle leggi che entreranno in vigore in futuro o che sono già in discussione presso le diverse istituzioni, europee e italiane.
Infine, non bisogna dimenticare gli aspetti pratici della responsabilità condivisa: spiegando tecniche, metodi e strategie per attuare il tipo di integrazione necessario per affrontare nel modo giusto i rischi legati alla cybersecurity, oggi è possibile costruire un ecosistema virtuoso in cui la collaborazione è favorita.
Matteo Scomegna, Regional Director per il Sud Europa di Axis Communications, si fa portatore di una vera e propria “missione” in questo senso.
“Prima dell’estate abbiamo avviato un ciclo di incontri sud-europei, iniziato a Parigi, seguito dall’evento di Madrid e concluso poi in contemporanea su Roma e Milano. Gli obiettivi però sono gli stessi: sensibilizzare su una tematica di grande attualità, complessa e in continuo divenire; mettere attorno a un tavolo i diversi attori del nostro ecosistema, dalle associazioni, agli end-customer fino a partner tecnologici e system integrator. Il principio alla base è che non può esistere cybersecurity senza collaborazione. Parliamo quindi di un impegno congiunto di tutti i player coinvolti in un percorso che richiede sforzi continuativi. Ed è qui che la collaborazione e la responsabilità condivisa entrano in gioco per rafforzare l’intera ‘catena’ di sicurezza.”