La cybersecurity è la vera sfida della rivoluzione digitale
Il Piano Nazionale di Ripresa e Resilienza (PNRR), predisposto per aderire alle sei grandi aree di intervento (pilastri) su cui si fonda il dispositivo europeo per la Ripresa e Resilienza (RRF), intende promuovere un robusto rilancio dell’economia dalla crisi post-pandemica fondato sullo sviluppo di tre assi strategici: digitalizzazione e innovazione, transizione ecologica, inclusione sociale.
La digitalizzazione e l’innovazione implicano cambiamenti strutturali sul modo in cui le organizzazioni operano e su come devono essere organizzate. L’impiego del Cloud, dell’IoT, dei Big Data e della mobilità causa una rapida evoluzione dei modelli di business, dell’infrastrutture e delle modalità lavorative. Il successo della trasformazione digitale si fonda sul dato, infatti si parla sempre più spessa di Data Economy, quindi la vera sfida è capire se questa rivoluzione digitale renderà i nostri dati più sicuri di prima.
—————————————–
Gli studi pubblicati sul tema della transizione digitale asseriscono che sarà in grado di spianare la strada alla ripresa dell’economia, ma, al contempo, richiederà un approccio rapido e l’adozione di nuove tecnologie digitali. Tuttavia, come in ogni cambiamento, anche questa trasformazione condurrà a nuovi rischi come gli attacchi informatici alle infrastrutture e le violazioni della sicurezza delle informazioni. Con queste premesse si verrebbe a creare un paradosso in cui le stesse tecnologie che permettono la crescita, aumentano l’incidenza del rischio.
Le organizzazioni devono essere consapevoli di questa criticità e affrontarla, in particolare devono assicurarsi che fin dall’inizio siano attuate le opportune misure di sicurezza informatica per eliminare o mitigare l’insorgenza delle nuove minacce. Per cui, è fondamentale che le imprese o gli enti avviino il processo di innovazione in maniera sicura e consentano ai loro team di identificare e priorizzare i nuovi rischi, soppesando questi ultimi con il valore atteso e le opportunità di business.
In realtà siamo già nell’era digitale da qualche tempo, molto probabilmente inconsapevolmente, per sopravvivere alle mode tecnologiche o aderire alle prescrizioni normative e sociali ed abbiamo subito questo cambiamento, non avendolo governato attivamente, senza riuscire a cogliere la moltitudine di opportunità legate alla rivoluzione digitale. Il principale fattore frenante del processo di trasformazione digitale è rappresentato dalla sfiducia che gli utenti hanno nei confronti dell’ICT, in parte avvalorato dal susseguirsi di notizie riguardanti nuovi, e sempre più rilevanti, incidenti informatici. La maggior parte degli utilizzatori dell’ICT tenta di risolvere questa criticità producendo, spesso in maniera compulsiva, duplicati cartacei e/o informatici delle proprie transizioni digitali e, di fatto, sminuisce o vanifica gli obiettivi auspicati.
Per accelerare la Transizione Digitale occorre, pertanto, che ci si fidi delle tecnologie dell’ICT, tutti devono essere certi che le loro transazioni digitali non vadano perse o modificate, e l’unico modo è quello di affrontarla con un altro mindset: il digitale deve essere più sicuro dell’analogico.
Nella transizione digitale non si deve sottovalutare la cybersecurity
A questo punto è lecito porsi una domanda: se è dimostrato che i fattori di cyber risk aumentano con l’avanzamento della trasformazione digitale, allora perché le best practices per l’improvement della cybersecurity non vengono implementate con la stessa velocità con cui le crescono le minacce?
La causa di questa singolarità è riconducibile all’impiego da parte delle organizzazioni di una serie di prassi errate. Cerchiamo di scoprire quali potrebbero essere le possibili motivazioni che rallentano le organizzazioni nell’implementazione delle best practices per la sicurezza dei dati aziendali.
- Monitorano le minacce utilizzando solo risorse interne. Si tratta di un errore grave. È difficile, e in alcuni casi impossibile, identificare le minacce utilizzando solo l’audit interno perché, per un verso, l’universo delle minacce è diventato molto complesso e, dall’altro, si modifica continuamente. L’unica soluzione percorribile consiste nell’anticipare gli attacchi, piuttosto che difendere semplicemente l’organizzazione una volta che si verificano, perché -sempre più spesso – le conseguenze sono irrimediabili. Per realizzare questa finalità occorre attivare sistemi di monitoraggio e strumenti di scambio delle informazioni che consentano di acquisire gli indicatori di compromissione (IoC) e gli indicatori di attacco (IoA) da fonti accreditate esterne all’organizzazione.
- Sottostimano le conseguenze collaterali di un attacco cyber. Quando si effettua la stima dell’impatto che potrebbe arrecare una minaccia nell’ambito della cybersecurity sono considerati solo gli effetti principali che può causare e non vengono presi in considerazione quelli secondari. Nel momento in cui si valuta un attacco informatico, troppo spesso, ci si concentra sui costi diretti in relazione alla perdita o al furto delle informazioni di un’azienda (ad esempio il database dei clienti). Tuttavia, è l’infrastruttura nel suo complesso che viene invalidata dalla perdita o dal furto di tale componente e, pertanto, subire altri danni, come la perdita di credibilità e di fiducia da parte dei clienti, calo di immagine, diminuzione dei ricavi, ecc., con effetti devastanti che posso portare alla chiusura definitiva dell’attività.
- Pensano di non essere vulnerabili. Alcune organizzazioni ritengono di essere di dimensioni così piccole da non rientrare nel novero dei target di un attacco informatico. È una asserzione sbagliata e pericolosa. Infatti, la vulnerabilità dei dati rende le piccole e medie imprese gli obiettivi ideali degli hacker, soprattutto quando si tratta di attacchi di tipo ransomware. L’economia dei cyber criminali non mira all’azienda, ma al guadagno che può ottenere dai suoi dati. Per cui tutte le organizzazioni devono effettuare un attento risk assessment dei propri asset e individuare le misure di sicurezza commisurate al proprio core business.
- Resistono al cambiamento. Il verbo “trasformare” evoca un passaggio, una transizione, un cambiamento del modus operandi e, come si verifica ad ogni tentativo di rinnovamento, divide gli addetti ai lavori in due schiere opposte: quelli a favore, bendisposti alle innovazioni, e quelli contrari, che vorrebbero resistere al cambiamento. Occorre avere il coraggio di abbandonare i vecchi schemi e approcciarsi al nuovo in maniera olistica: sposare le nuove tecnologie, le nuove metodologie e le nuove regole.
C’è un’attenzione significativa alla cyber security
Negli ultimi anni il settore della cybersecurity ha registrato la più forte crescita di quote di mercato dell’ambito IT a livello globale, in particolare nel contesto delle grandi aziende o amministrazioni. Tuttavia, questa tendenza di crescita è significativamente rilevabile solo nelle organizzazioni che hanno già adottato una politica di paperless. La cybersecurity, guidata dalla crescita dell’industria digitale, rappresenta un mercato importante.
Ma, al di là dello sviluppo di questo settore, sono le persone, i dirigenti, i consigli di amministrazione che devono cambiare le loro abitudini. Loro rappresentano gli obiettivi più vulnerabili di un’organizzazione, perché detengono le informazioni riservate, il know-how e l’intelligence aziendale, fondamentali per il raggiungimento degli obiettivi.
Un’organizzazione che intende avviare un efficace e affidabile percorso di Digital Transformation non deve più osservare la Cyber Security come un requisito dell’IT, ma deve includere le strategie di sicurezza tra gli obiettivi di business per realizzare con successo la propria missione.
La sicurezza è una questione strategica
L’uso di ambienti virtuali e sicuri come il cloud, tanto auspicato anche nel Piano Nazionale di Ripresa e Resilienza (PNRR), può prevenire le conseguenze degli attacchi informatici per l’intera catena di valore dell’azienda. Ma non è sufficiente.
La sicurezza informatica deve rappresentare un obiettivo dal punto di vista professionale e aziendale. Pertanto, la strategia da mettere in atto può essere paragonata ad una tabella di marcia condivisa sia dal singolo che dall’intera struttura aziendale. L’adozione di un approccio “secure by design” aiuta ad anticipare i rischi degli attacchi informatici. Ma occorre investire anche in sistemi di gestione: per esempio l’uso di una soluzione di Data Management può indicare in anticipo i rischi per la sicurezza informatica.
L’efficacia di un progetto di digitalizzazione può essere rafforzata con l’adozione di un sistema di Identity Management che assicuri una gestione semplificata e controllata degli accessi ai propri dati, oppure spostando i propri asset in ambienti ISO27001 compliance per proteggerli da possibili violazioni o manomissioni.
Ovviamente, per completare il processo è necessario disporre della tecnologia adeguata che consenta di raccogliere, elaborare ed analizzare velocemente grandi quantità di dati, provenienti da fonti interne ed esterne, e cercare di prevedere l’insorgere di situazioni critiche per la business continuity. A tal riguardo si ricorre, sempre più spesso, all’applicazione di tecniche di Machine learning e di A.I. poiché la pianificazione della resilienza informatica richiede, oltre che analisti di minacce qualificati, anche strumenti algoritmici avanzati come quelli messi a disposizione dall’apprendimento automatico e dall’intelligenza artificiale. Queste soluzioni sono in grado di individuare e selezionare sempre più rapidamente anomalie e minacce emergenti rispetto agli operatori umani e a costi nettamente inferiori.
Per garantire una governance efficace e una rapida attuazione delle scelte strategiche, è fondamentale disporre di soluzioni adeguate, flessibili e facili da mettere in atto. Perché non c’è economia digitale senza sicurezza digitale.
Questo cambio di prospettiva è auspicato anche nel Piano Nazionale di Ripresa e Resilienza, ma non è sufficiente acquisire solo soluzioni e tecnologie sicure o implementare misure di risposta alle minacce, occorre investire anche in cultura del cambiamento e del rischio.
La sfida si affronta aggiungendo sicurezza alla velocità della trasformazione digitale e garantendo che si estenda su ogni nuovo processo digitale interno, prodotto esterno realizzato o opportunità di business creata. La sicurezza informatica è una responsabilità che va condivisa con tutte le anime dell’organizzazione, poiché tutti avranno un ruolo nella gestione della trasformazione digitale.
Articolo a cura di Vincenzo Calabrò
Referente Informatico e Funzionario alla Sicurezza CIS (Ministero dell’Interno).
È laureato in Ingegneria Informatica ed in Sicurezza Informatica presso le Università di Roma La Sapienza e di Milano. Ha, altresì, indirizzato la sua formazione nei settori della Cyber Security e Digital Forensics conseguendo i Masters in Data Protection e Data Governance, IT Risk Management e Sicurezza Informatica ed Investigazioni Digitali, oltre al CERT Certification in Digital Forensics rilasciato da Carnegie Mellon University, all’European Certificate on Cybercrime and E-Evidence (ECCE) rilasciato dall’European Commission’s Directorate General Justice, Freedom and Security.