Quando con i clienti e con i partner si parla dei nuovi trend della cybersecurity, la conversazione – ancor più che sulle minacce in sé – spesso verte sul modo in cui dobbiamo prepararci ad affrontare una serie di scenari di cyber risk che sono già sufficientemente chiari. Non si tratta solo del mio punto di vista, ma di evidenze ancorate ai fatti: nel prossimo futuro, le novità di settore saranno sostanzialmente allineate con i fenomeni che stiamo osservando in questi giorni, e che sono diretta conseguenza di quanto avvenuto durante la pandemia.
I nuovi trend della cybersecurity? Infrastrutture sempre più liquide
Il perimetro logico delle imprese si è allargato notevolmente, sia in continuità con il progressivo processo di digitalizzazione delle organizzazioni, sia in risposta all'emergenza sanitaria, con l'esplosione dello smart working e, quindi, degli accessi da remoto alle reti aziendali. A questo si aggiungono l'affermazione del cloud e del modello as-a-Service come paradigma distributivo del software e la crescita delle soluzioni 4.0, che con l'arrivo dei fondi del PNRR non farà che accelerare.
Parliamo di un'infrastruttura destinata a farsi sempre più fluida e questo non riguarda solo gli ambienti strettamente aziendali, bensì l'intera catena del valore lungo cui opera l'impresa, specie se analizziamo uno dei pilastri del Made in Italy: il settore manifatturiero.
La filiera ormai è talmente digitalizzata e integrata che alla difficoltà di circoscrivere un perimetro logico per la singola organizzazione si somma la sfida di determinare la superficie d'attacco di tutta la catena di approvvigionamento per la cyber security della supply chain: la minacciapuò, infatti, insinuarsi in modo latente attraverso i sistemi IT di un fornitore, nel momento in cui non sono protetti tanto quanto lo sono i miei. Per questo, è fondamentale comprendere che ormai non si è più solo responsabili della propria infrastruttura, ma anche di quella dei partner e, più in generale, dell'intera catena di fornitura.
La cybersecurity, oggi più che mai, è un gioco di squadra
Arriviamo qui a un punto per me cruciale: la cybersecurity, oggi più che mai, non può che essere un gioco di squadra, in cui ognuno pensando a sé aiuta anche gli altri. Non riesco in questo senso a non cogliere un'analogia con quanto abbiamo tutti vissuto durante l'emergenza pandemica: se si innalza il livello medio dell'attenzione e della protezione personale, non aumentano solo le chance di non essere infettato per il singolo individuo, ma si previene la diffusione del contagio. Per la cybersecurity in ambito aziendale, dal mio punto di vista, vale lo stesso identico discorso.
Naturalmente vale anche l'appello ad accrescere la cultura degli utenti finali. Sicurezza informatica e protezione dei dati dipendono pure dal modo in cui si comporta ciascuna persona, anche nella dimensione privata del proprio spazio cyber. A causa dell'iperconnessione tra imprese e lavoratori, infatti, è sufficiente essere “bucati” su uno dei social network che si frequentano per trasformarsi in una potenziale minaccia per i sistemi aziendali.
C'è chi ipotizza che con il graduale ingresso nel mondo del lavoro dei nativi digitali il livello di consapevolezza medio si innalzerà. Io, però, personalmente non me la sento di dare un giudizio in merito: non solo perché dobbiamo ancora osservare, all'atto pratico, come la Generazione Z si confronterà con i processi digitali nel contesto professionale, ma anche perché ci troviamo in realtà tutti nella medesima condizione, in quanto lavoriamo con strumenti nuovi e in continua evoluzione. L'adozione di qualsiasi tecnologia innovativa presuppone una curva di apprendimento che non può essere compressa e ci troviamo tutti, indistintamente, nella fase iniziale, in cui la priorità è comprendere come ci si debba muovere e quali danni un errato approccio all'IT può provocare alla persona e al business.
Più di ogni altra cosa, oggi occorre che vengano definite e applicate regole chiare. Come tutti sappiamo, però, dal punto di vista legislativo il settore è ancora molto poco disciplinato. Anche qui, a mio avviso, bisogna puntare sul gioco di squadra, facendo leva sull'education e sulla condivisione di buone pratiche per accrescere costantemente la consapevolezza della popolazione aziendale sui temi e sui trend della cybersecurity.
Naturalmente, è un processo che va innescato dall'alto. È innegabile che rispetto agli anni che hanno preceduto la pandemia la consapevolezza sul tema della cybersecurity sia aumentata, ma spesso ancora non c'è una strategia che metta le soluzioni di sicurezza tra le priorità del business. Gli IT manager e le proprietà conoscono bene il problema, ma proprio in virtù dell'assenza di un approccio strutturato per affrontarlo, difficilmente riescono a fungere da sponsor attivi del cambiamento
In un periodo complesso come quello che stiamo vivendo sono d'altronde tanti i fattori nell'agenda del Top Management, e spesso la dimensione Cyber finisce all'ultimo posto fino a quando non si toccano con mano i danni provocati da un'intrusione. Va detto che fino a pochissimo tempo fa, il tema non era nemmeno in agenda, e quindi un miglioramento c'è stato, anche perché sempre più spesso i partner di filiera esigono un livello di protezione adeguato o ci si trova a operare in settori dove vige l'obbligo di adozione di standard certificati.
Il mercato cresce, ma occorre focalizzarsi sui servizi più che sui prodotti
Possiamo dirci insomma cautamente ottimisti. Specie se consideriamo che la componente di spesa IT dedicata alle soluzioni di cybersecurity sta aumentando. Non sempre, però, aumenta in modo esaustivo. Le attività di assessment, insieme ai vulnerability e ai penetration test sono una premessa importante per attivare strategie evolute di difesa. Ma non dobbiamo dimenticare che strumenti del genere si limitano a scattare una fotografia dello status quo, mentre la cybersecurity è molto fluida, cambia di giorno in giorno. Come ho detto prima, siamo tutti in piena fase di apprendimento, e lavoriamo in un ambito in cui ci sono ancora molti miti da sfatare. In questo percorso condiviso di crescita è compito delle aziende del settore guidare le altre in modo virtuoso, introducendo per esempio la fornitura di servizi di consulenza e gestione in aggiunta alla vendita di prodotti software.
Molte aziende del settore, infatti, puntano sull'installazione di prodotti EDR, che sono senz'altro un'ottima alternativa al vecchio concetto di antivirus. Ma non offrono in aggiunta l'accesso a servizi gestiti MDR che, garantendo una visibilità H24 su tutti i processi, rappresentano un approccio decisamente più evoluto quando si tratta di affrontare scenari di rischio in continua trasformazione. Capisco bene che creare e vendere servizi è tutt'altro che facile. Non solo servono risorse, competenze e scelte imprenditoriali coraggiose, ma bisogna anche trovare il modo corretto di spiegare il valore della nuova proposition ai clienti.
Non mi stanco di dirlo: anche qui bisogna fare gioco di squadra. Occorre uno sforzo collettivo perché il mercato metta a disposizione delle imprese soluzioni realmente efficaci e in linea con i trend della cybersecurity. Gli operatori attivi in questo settore, ne sono convinta, pur mantenendo una sana competizione, dovrebbero far prevalere la stessa deontologia professionale che vige nell'ambito della pubblica sicurezza. Non è un gioco, abbiamo del resto a che fare con vere organizzazioni criminali, e dal modo in cui operiamo dipende la business continuity di realtà che danno lavoro a migliaia di persone.
Ora che grazie al PNRR arriveranno nuove risorse, da devolvere soprattutto nell'ambito Industry 4.0, è il momento giusto per unire le forze e promuovere la cultura digitale. C'è solo una digitalizzazione fatta bene ed è quella fatta in sicurezza.
