Anche se i termini possono sembrare semanticamente contigui, dal punto di vista concettuale c’è un enorme divario tra cyber security e cyber resilience. E passare dall’una all’altra implica per le imprese e per le pubbliche amministrazioni uno sforzo non indifferente: cambiano infatti non solo gli strumenti, ma anche gli approcci ai processi operativi.
Più di ogni altra cosa, cambia la cultura della sicurezza che ciascun utente deve maturare, a prescindere dal ruolo che ricopre nella catena del valore.
Ecco, questa è la principale differenza tra le due filosofie, ed è il gap che ancora troppe imprese devono colmare per costruire una strategia adeguata alle sfide di questi tempi.
Indice degli argomenti
Perché nella cyber security è importante il concetto di resilienza: la situazione italiana
Ma qual è il livello di consapevolezza delle aziende italiane rispetto al tema della cyber resilienza, e quali strumenti vengono messi in campo per passare dalla teoria alla pratica? A rispondere è Fabrizio Marche che, in qualità di Business Development Manager dell’area Centro Sud di Cyberoo, ha il polso della situazione sia sulle differenze marcate dalle diverse geografie, sia sulle tipologie di roadmap intraprese dalle realtà che segue sul territorio.
“Avendo avuto in passato esperienze fuori dalla mia attuale area di competenza, posso dire che il gap rispetto alla consapevolezza, almeno a livello geografico, sta diminuendo. Anche a Sud ormai vigono le metriche e le tempistiche del Nord, il cui mercato, per anni, è stato contraddistinto da expertise più ampie. Tuttavia, rimane considerevole il delta quando si prende in considerazione la dimensione delle aziende. Le organizzazioni di classe enterprise hanno fatto importanti passi in avanti, e stanno eseguendo con successo piani di cyber resilience approntati già da qualche anno. Se si parla di PMI, invece, riscontro molta più variabilità. Tra quelli che si sono mossi prima, molti purtroppo hanno dovuto rompere gli indugi dopo aver sbattuto il muso. Altri hanno invece avuto la fortuna di operare nell’ambito di filiere in cui si si è già potuto vedere da vicino cosa succede quando non si predispongono strategie a supporto della resilienza”.
Cyber resilienza e compliance, un nuovo elemento da considerare
C’è poi, secondo Marche, un altro fattore trainante. “Il tema della compliance sta promuovendo un cambiamento ad ampio spettro. Basti pensare all’impatto che è destinata ad avere la Direttiva NIS 2, che diventando vincolante il prossimo 17 ottobre è sulla bocca di tutti. Ma pensiamo anche al Regolamento Dora, che pur essendo circoscritto al verticale del Finance implica una radicale trasformazione di tutte le filiere che lo supportano.
E non dimentichiamo la sfida della conformità al GDPR, dispositivo ormai datato ma ancora non del tutto acquisito da molte delle aziende che visito. Quello che noto, in generale”, continua Marche, “è una crescente sensibilità nei confronti del valore che la compliance ai principali framework normativi e le certificazioni sugli standard internazionali possono generare per il business”.
Per l’esperto di Cyberoo non si tratta solo di incontrare le aspettative di clienti e partner, che desiderano elevati livelli di sicurezza nel momento in cui condividono network e informazioni sensibili, ma anche e soprattutto di adottare buone pratiche per garantire la continuità operativa con un approccio integrato.
Come costruire una strategia di cyber resilienza
Indipendentemente dalle finalità con cui ci si muove, costruire una strategia compiuta di cyber resilience significa adottare tecnologie, soluzioni e competenze specifiche.
Trovare la giusta alchimia e imbastire un percorso coerente con le esigenze dell’organizzazione non è sempre facile, e si rischia di investire in componenti che in realtà non migliorano la postura di sicurezza.
“Le tecnologie di base sono fondamentali, e ormai sono presenti nel 90% delle aziende con cui entro in contatto”, racconta Marche. “Dalla protezione degli endpoint alla sicurezza perimetrale, chi più chi meno tutti hanno approcciato in modo verticale gli ambiti principali (fatta eccezione, devo segnalare, per l’autenticazione multifattore) della cyber security. La fase successiva consiste nel riuscire a unire tutti questi vettori, facendoli convergere in modo trasparente nei processi. Qui non bastano più le tecnologie: servono piani di recovery e di incident response, oltre che procedure ad hoc che consentano all’organizzazione di mettersi un passo avanti agli attaccanti nel momento in cui si verifica un incidente. Serve, soprattutto, awareness”.
Consapevolezza e conoscenza arrivano solo nel momento in cui l’organizzazione decide di esplorare i propri processi, individuare punti di debolezza e margini di miglioramento e condividere con tutti gli stakeholder quanto appreso.
“Il risk assessment andrebbe condotto adottando un punto di vista nuovo, oserei dire vergine. Che non può ovviamente essere quello di chi gestisce quotidianamente l’ambiente IT”, nota Marche.
“È infatti necessario verificare che tutte le misure intraprese siano adeguate anche sotto il profilo della compliance, e sempre partendo dal processo, non dal substrato tecnologico. D’altra parte, un piano di incident response è efficace solo se è basato su informazioni disponibili a tutti livelli, fuori e dentro i tradizionali perimetri aziendali: c’è chi fa ancora fatica a uscire dal dipartimento IT, ma non si può sottovalutare il fatto che un numero sempre maggiore di task viene assegnato a consulenti esterni, con la logica del Business Process Outsourcing. Anche quelle attività, dunque, devono essere tenute sotto controllo, coinvolgendo i diretti interessati”.
Cyber resilienza, la svolta sta nell’allargare il tavolo di lavoro
L’assessment non è naturalmente fine a sé stesso, ma propedeutico alla selezione e all’implementazione di servizi agnostici che valorizzino le tecnologie già presenti e semplifichino l’introduzione di nuove soluzioni.
“Il Managed Detection and Response, per esempio, migliora la postura di sicurezza dell’azienda a prescindere da chi ha scelto e installato gli strumenti di base, fungendo inoltre da acceleratore e catalizzatore delle piattaforme avanzate che si vorranno implementare”, dice Marche, che parla anche di Threat Intelligence: servizi a più ampio raggio in grado di individuare e soprattutto monitorare le minacce, anche nascoste, che gravitano intorno all’ecosistema aziendale sul piano digitale e nei vari strati del Web.
“Qualsiasi tecnologia si decida di sposare, l’importante è allargare il tavolo di lavoro e aiutare il maggior numero di utenti a comprendere e ad adottare l’approccio scelto. CFO, Quality Manager e più in generale tutti i membri del board aziendale non possono più girarsi dall’altra parte e lasciare al solo IT manager la responsabilità di difendere il fortino. Anche perché non c’è più un fortino da difendere: in gioco c’è la stessa continuità operativa, e quindi la capacità dell’azienda di creare valore”, rilancia Marche, che chiosa: “La cyber resilienza in questo senso diventa un tema squisitamente economico, ancor prima che tecnologico. Anche perché un’azienda che non è in grado di garantire la resilienza dei propri processi non solo può venire sanzionata per mancata conformità ai framework normativi, ma – nel momento in cui subisce un attacco e sperimenta un fermo operativo – rischia anche di veder precipitare la propria reputazione sul mercato. E saranno i competitor che avranno sviluppato una strategia di cyber resilienza a 360 gradi quelli che ne trarranno maggior vantaggio”.
Contributo editoriale sviluppato in collaborazione con Cyberoo
