Si è recentemente svolto a Milano l’Executive Dinner organizzato da ZeroUno, in collaborazione con Dedagroup, It security: individuare e gestire le criticità del percorso.
Di questo servizio fanno parte anche i seguenti articoli: | |
I DATI – Attacchi informatici in Italia, i trend | |
IL DIBATTITO – Sicurezza informatica e aziende: quali sono i freni? | |
LE SOLUZIONI – Sicurezza informatica: i servizi del C-Soc di Dedagroup |
“L’evidente contesto di digitalizzazione degli utenti e delle imprese impone un ripensamento dei modelli organizzativi e competitivi di impresa e richiede l’impostazione di percorsi di trasformazione complessi, rispetto a cui è necessario armonizzare la velocità di innovazione tecnologica con la velocità, decisamente diversa, dell’adeguamento culturale e organizzativo”, spiega Stefano Uberti Foppa, Direttore di ZeroUno, in apertura, sottolineando come le criticità di un simile percorso siano poi da calare sull'ulteriore elemento di complessità rappresentato dalla sicurezza informatica; su questo fronte, tra i problemi principali delle aziende c’è quello, oggi, di riuscire a conciliare le esigenze di security con quelle di rapidità, flessibilità e agilità del business: “Il security designer che descrive Forrester – dice Uberti Foppa riferendosi a una figura che, per come è tratteggiata dalla società di ricerca, nel suo essere sia product designer che esperto di sicurezza, incarna questa sfida – non è affogato nelle technicalities della sicurezza informatica; quando è impegnato nella progettazione dei prodotti, lavorando per renderli sicuri, deve infatti riuscire a mantenere sempre il focus anche sull’utente e sulla sua user experience”.
I maggiori problemi
Luca Bechelli, del Comitato direttivo e Comitato tecnico–scientifico del Clusit, ha focalizzato alcune delle criticità che devono gestire le imprese mentre cercano di trovare il bilanciamento appena descritto tra sicurezza ed esigenze di business:
1) si spende poco oppure male – “Come mostrano i dati di una survey realizzata da ZeroUno [in collaborazione con Partners4Innovation – ndr], nel settore finance, uno dei più preparati in campo security, il 77% delle aziende dichiara di disporre di sistemi specifici di protezione, ma solo poco più della metà di questi ritiene le proprie misure di difesa adeguate”, dice Bechelli che quindi legge questo gap come il segnale dell’inadeguatezza delle spese fatte dalle aziende, se non per la quantità per la qualità degli investimenti: “Molte realtà investono in tecnologie di sicurezza, ma lo fanno male, senza riuscire a ottenere i benefici attesi”.
2) non si valutano i rischi – Perché investono “male”? Spesso manca, a guidare le scelte dell’It, una vera valutazione dei rischi: “Solo un approccio basato sulla risk analysis e sullo studio delle best practice può eliminare gli anelli deboli che pregiudicano il livello di sicurezza di un’azienda: è inutile rafforzare un fronte se si lascia un altro totalmente scoperto”, dice Bechelli.
3) si trascura la mobile security – Secondo alcuni dati riportati da Bechelli solo il 30% circa delle aziende ha completa fiducia nella capacità del proprio personale di mantenere riservate le informazioni e l’80% dei possessori di dispositivi mobili utilizza gli stessi per attività lavorative; queste percentuali sottolineano il rischio che rappresenta oggi la mobility se si considera la generale disattenzione che viene posta al tema: “È inutile blindare i pc delle persone se poi sugli smartphone transitano dati e informazioni sensibili di ogni tipo – dice l’analista – Le imprese devono imparare a trattare i terminali mobili con stesso livello di importanza degli altri asset”.
Il cloud non è un rischio ma una opportunità
Anche se l'approccio è radicalmente cambiato rispetto soltanto ad un paio di anni fa, molte aziende si dimostrano ancora dubbiose sulla sicurezza del cloud e sono diffidenti all’idea di affidare ad altri i propri dati; tuttavia, come fa notare Bechelli, spesso quelle stesse aziende:
- danno in gestione alcuni sistemi a società esterne magari senza essere tutelate adeguatamente da un punto di vista contrattuale e senza poter aver voce in capitolo sul personale che dovrà trattare quei dati;
- gestiscono i dati internamente ma non hanno abbastanza figure It in azienda per farlo adeguatamente, o non c’è il know how sufficiente;
- l’infrastruttura non è tecnologicamente all’altezza della sfida.
“Di fronte a questi scenari il cloud diventa un’opportunità”, spiega l’analista, facendo notare che a maggior ragione questo è vero se l’atteggiamento di rigore che un’azienda ha nel rifiutare la nuvola non è esteso anche alla mobilità: “Non ha senso essere reticenti sul cloud per mantenere il controllo diretto sui dati se poi li faccio viaggiare senza controllo sui device mobili”.
Per approfondire queste tematiche vai all’Osservatorio Security journal di ZeroUno