In occasione dell’ECSM, l’European Cyber Security Month (ottobre 2019), facciamo il punto su come affronta il tema della sicurezza informatica DXC Technology: “Anche se ormai il termine è abusato – spiega Federico Santi, Security Practice Leader DXC Italia – ci piace ugualmente definire il nostro approccio end-to-end. I nostri servizi iniziano da una analisi degli obiettivi di business, per passare a un assessment della governance, dei processi, delle risorse e delle tecnologie di cyber security esistenti, fino alla definizione di nuovi progetti di sicurezza e all’implementazione di tecnologie e servizi, la cui gestione potrà essere svolta in autonomia dalle risorse del cliente, in modalità ibrida da team misti anche con nostri collaboratori, o delegata a DXC che la eroga come servizio gestito (MSS) da uno dei suoi global security center”.
Who's Who
Federico Santi
Per tutte queste attività DXC adotta un atteggiamento agnostico rispetto ai fornitori tecnologici. “Oggi – puntualizza Santi – spesso i clienti ci chiedono di fare un benchmark neutrale sulle migliori soluzioni di sicurezza disponibili sul mercato prima di individuare induttivamente una tecnologia specifica.. In diversi scenari conservativi, anche per ragioni di cost saving, aiutiamo i nostri clienti anche ad integrare tecnologie che questi hanno già in casa”.
Un approccio a matrice
In sintonia con il suo DNA ibrido di azienda a forte vocazione tecnologica e società di consulenza e system integration, DXC dispone di risorse specializzate sia in soluzioni verticali di offering IT sia in settori orizzontali di mercato: “Questo ci permette – sottolinea il Security Practice Leader – di portare ai clienti sempre due tipi di prospettive: tecnologica e di industria. La risposta non è né nel nostro portafoglio né nel bisogno che ci esprimono i clienti ma nella soluzione “sartoriale” che unisce entrambi”.
Un altro caposaldo per DXC è partire dai bisogni di business per leggere al meglio sia i rischi di sicurezza a cui sono esposte le organizzazioni sia le soluzioni più adatte per la gestione di quei rischi. “Se, per esempio, siamo coinvolti in un progetto di cyber security nell’autonomous driving – spiega Santi – la nostra pietra filosofale è la concezione nativamente sicura della guida autonoma. La scelta delle tecnologie necessarie è una conseguenza. Questo vale in generale per la messa in sicurezza dell’Internet of Things (IoT) e delle Operational Technologies (OT), utilizzate soprattutto nelle infrastrutture critiche. La sicurezza non è più, da tempo, un add-on su processi e tecnologie disegnate in materia tradizionale ma una chiave di lettura “by design” dei processi di business”.
Partire dal business outcome connota anche il modo con cui DXC affronta anche la cyber defence. “Fino a qualche tempo fa – conclude Santi – le aziende venivano chiamate a implementare misure minime di protezione. Oggi – come del resto prevedono la direttiva NIS e il regolamento GDPR – occorre essere pronti (“preparedness”) a individuare tempestivamente gli incidenti di sicurezza. Quindi occorre sapere a chi rivolgersi per la remediation e la comunicazione di eventuali violazioni dei dati personali (data breach), come previsto dal GDPR. Consapevoli di queste esigenze, a tutte le aziende converrebbe disporre di SOC (Security Operation Center) per il monitoring, e CERT (Computer Emergency Response Team) per rispondere agli attacchi. Entrambe queste strutture possono essere interne, esterne o implementare in modo ibrido. DXC è in grado di guidare e supportare ognuna di queste opzioni”.