La governance nell’ambito della cyber security è l’insieme di strutture, processi e politiche che guidano e regolano la gestione dei rischi digitali e la sicurezza delle informazioni all’interno di un’organizzazione.
Mentre spesso si tende a enfatizzare strumenti tecnologici avanzati per rafforzare la cyber resilience – ovvero la capacità di un’organizzazione di resistere e riprendersi rapidamente da attacchi e incidenti cyber – la governance viene talvolta relegata a un ruolo secondario.
Tuttavia, è proprio una governance ben strutturata che assicura che le tecnologie siano implementate correttamente, che le procedure di sicurezza siano seguite e che ogni dipendente comprenda il proprio ruolo nella protezione delle informazioni aziendali.
Nel contesto della cyber resilience, la governance rappresenta l’elemento fondamentale che garantisce l’efficacia dei controlli tecnici e operativi. Senza una governance appropriata, anche le soluzioni tecnologiche più avanzate rischiano di diventare inutili, non portando alcun beneficio se non sono costantemente configurate, monitorate e adattate alle minacce in evoluzione.
Indice degli argomenti
Perché la governance è spesso sottovalutata
Uno dei motivi per cui la governance è talvolta trascurata riguarda la percezione che si ha della sicurezza informatica, spesso considerata quasi esclusivamente una questione di difese tecnologiche.
Studi recenti indicano che molte aziende investono significativamente in soluzioni come firewall, sistemi di rilevamento delle intrusioni e soluzioni di intelligenza artificiale senza una parallela enfasi su processi e policy strutturate.
Secondo una ricerca dell’ENISA (European Union Agency for Cybersecurity), più del 40% delle organizzazioni nell’UE non dispone di un piano di governance della cyber security aggiornato.
Inoltre, la mancanza di visibilità sui comportamenti degli utenti e l’assenza di tracciamento continuo rappresentano un ulteriore fattore critico, poiché comportamenti anomali possono segnalare potenziali violazioni o errori umani che, se non gestiti, portano a data leak e accessi non autorizzati a informazioni sensibili.
Il ruolo delle persone e il monitoraggio comportamentale
Per quanto siano importanti le soluzioni tecnologiche, è fondamentale anche il monitoraggio dei comportamenti degli utenti.
In assenza di una governance efficace, gli errori umani diventano la causa principale di incidenti. Secondo il rapporto Verizon Data Breach Investigations Report (DBIR), tra l’80 e il 90% delle violazioni della sicurezza include una componente di errore umano o di non conformità alle policy aziendali.
Questi comportamenti possono compromettere i dati sensibili, evidenziando l’urgenza di un sistema di governance che garantisca il rispetto delle regole.
Ad esempio, attività sospette come accessi fuori dall’orario di lavoro, durante le ferie o in periodi di trasferte possono rivelare l’inizio di una violazione o l’abuso di privilegi.
Incidenti come il data breach che ha coinvolto SITA nel 2021, azienda che gestisce sistemi di comunicazione per compagnie aeree, ha compromesso i dati di milioni di passeggeri, portando alla luce come la mancanza di un monitoraggio continuo e di una gestione rigorosa degli accessi possa essere un fattore determinante nei fallimenti di sicurezza.
Un altro caso significativo è stato quello di Capital One nel 2019, in cui un ex dipendente riuscì ad accedere a informazioni sensibili di oltre 100 milioni di clienti.
Un sistema di governance più efficace avrebbe potuto rilevare e prevenire comportamenti sospetti come quello dell’operatore, che era stato precedentemente segnalato per attività anomale.
Il ruolo delle normative di sicurezza nella governance
Il panorama normativo della sicurezza informatica si è evoluto rapidamente, con regolamenti come la NIS e NIS2 per la sicurezza delle reti e dei sistemi informativi, il DORA (Digital Operational Resilience Act) per la resilienza operativa delle istituzioni finanziarie, il GDPR per la protezione dei dati personali e la ISO 27001 come standard internazionale per la gestione della sicurezza delle informazioni.
Queste normative riflettono l’importanza che il legislatore attribuisce al trattamento sicuro dei dati personali e sensibili, imponendo alle aziende requisiti sempre più stringenti.
Tuttavia, l’esperienza dimostra che la sola adesione formale a queste normative non è sufficiente per ottenere una protezione efficace. La loro implementazione deve avvenire all’interno di un quadro di governance aziendale ben strutturato, che permetta di integrare tali requisiti in modo completo e coerente con le esigenze dell’organizzazione.
Senza una governance chiara e ben definita, anche le migliori misure di conformità rischiano di essere frammentarie e di non portare ai risultati sperati, lasciando comunque aperte vulnerabilità che possono compromettere la cyber resilience aziendale.
Soluzioni tecnologiche e AI per migliorare la governance
L’anello debole nella sicurezza informatica rimane il comportamento umano. Per questo motivo, esistono oggi soluzioni che monitorano le attività degli utenti, individuando comportamenti anomali e attivando avvisi automatici quando certe azioni escono dallo standard.
Aziende specializzate in cyber security offrono strumenti che, grazie a algoritmi avanzati e intelligenza artificiale, analizzano migliaia di eventi in tempo reale e riconoscono schemi di rischio.
Attraverso l’intelligenza artificiale, è possibile semplificare il processo di analisi e rilevare attività sospette quasi immediatamente, riducendo i tempi di reazione necessari per correggere le deviazioni nella governance aziendale e rafforzare così la cyber resilience.
Conclusione
Le recenti esfiltrazioni di dati e gli accessi non autorizzati a database sensibili ci mostrano quanto sia essenziale una governance robusta. Incidenti come quelli di Capital One o della SITA non sarebbero avvenuti, o avrebbero avuto conseguenze minori, se una governance rigorosa e un monitoraggio continuo fossero stati implementati e mantenuti adeguatamente.
La non completa o corretta implementazione delle normative vigenti in ambito di protezione dei dati, insieme ai comportamenti non standard degli utenti, rappresentano elementi critici, poiché entrambi sono rilevabili e monitorabili attraverso l’intelligenza artificiale.
Questi fattori, se non adeguatamente controllati e gestiti, costituiscono una mancanza di governance e minano profondamente la cyber resilience aziendale.
Solo attraverso una governance efficace e integrata le aziende possono garantire che i dati siano protetti, non solo dalle minacce esterne ma anche dai comportamenti potenzialmente dannosi degli utenti interni.
Implementare processi, policy e strumenti avanzati per il monitoraggio comportamentale diventa quindi cruciale per ridurre la frequenza e l’impatto degli attacchi e per costruire una cyber resilience duratura.
