Il ritornello lo conosciamo tutti: dalle lamentele per la mancanza di budget alla rassegnazione per un’attività che viene considerata il più delle volte una “scocciatura”. Gli esperti di cyber security, quando vengono interrogati riguardo il livello di considerazione che il loro ruolo ha all’interno delle aziende, finiscono sempre lì. Le cose, però, stanno cambiando e il tema della sicurezza informatica si sta guadagnando (finalmente) uno spazio di primo piano. “Quello della security non può più essere considerato un tema tecnico” spiega Paolo Alberto Flammini, Presidente della società di consulenza Cyber Partners, azienda con oltre venti anni di esperienza nella cyber security. “Nel panorama della digital transformation, la sicurezza delle infrastrutture digitali diventa un tema strategico, che coinvolge direttamente i board delle aziende”.
Una dimensione comune a tutti
Il punto di partenza è quello che vede la cyber security diventare un tema comune a tutte le aziende. “Quando oggi si parla di sicurezza informatica, non si tratta più di risolvere un problema, ma di offrire un servizio integrato” conferma Flammini. “La cyber security, nell’ottica di Cyber Partners, è parte integrante dell’organizzazione aziendale e richiede, di conseguenza un approccio multidisciplinare in cui la strategia globale comprende la sicurezza, i servizi integrati, la comunicazione e anche la parte legata alla sfera finanziaria”. In quest’ottica la cyber security deve essere considerata come una business opportunity, che permette all’azienda di fornire servizi efficaci, affidabili e sicuri. In buona sostanza, la sicurezza informatica oggi influenza i processi a tutti i livelli.
Il ruolo degli esperti di sicurezza
L’approccio alla cyber security attraverso una prospettiva strategica, però, richiede uno sforzo anche per gli addetti ai lavori. “Chi si occupa di cyber security, oggi, deve essere in grado per prima cosa di comunicare” sottolinea Paolo Capozucca, amministratore delegato di Cyber Partners. “Riuscire a far percepire al management l’importanza della sicurezza informatica diventa parte integrante dell’attività di messa in sicurezza dei processi”. A partire, per esempio, da un cambio di paradigma per quanto riguarda la valutazione del rischio, che a oggi ha un carattere ancora troppo soggettivo. Dalle parti di Cyber Partners lo sforzo è quello di ragionare in termini di una Cyber Risk Quantification (CRQ) su basi scientifiche e riferita a standard internazionali. Un metodo che consente di definire con maggiore precisione il contributo che il rischio cyber dà al rischio operativo. In altre parole: considerare in maniera appropriata l’impatto reale che può avere un incidente informatico, anche in termini di perdite economiche.
Prospettive di lungo periodo
L’evoluzione verso una definizione “oggettiva” del livello di cyber security non risponde solo a un’esigenza strategica nel breve periodo, ma è destinata a trasformarsi in un fattore abilitante per il business di qualsiasi impresa, ad esempio per quanto riguarda l’affidabilità e la percezione della reputazione a livello di partnership con altre aziende. “Il tema della sicurezza informatica nella supply chain sta guadagnando sempre maggiore importanza” conferma Paolo Capozucca. “Oggi le imprese sanno benissimo che il confine con fornitori, clienti e partner è sempre più sfumato. Lo dimostra la diffusione di certificazioni specifiche, come ISO 28000, che prende in considerazione proprio questo aspetto”. Una quantificazione affidabile del rischio cyber interviene anche nel campo assicurativo, in cui il settore dedicato alla copertura di danni derivanti da un incidente informatico è in prepotente crescita. “Affidarsi a semplici statistiche, in questo settore, è estremamente pericoloso” spiega Paolo Flammini. “Un approccio più evoluto consentirà di avere maggiori certezze e vantaggi sia per gli operatori nel settore assicurativo, sia per le aziende che richiedono copertura”.