SICUREZZA INFORMATICA

Cyber security come abilitante di business: un approccio omnicomprensivo e multidisciplinare

Una sicurezza informatica inadeguata non solo danneggia l’azienda, ma comporta anche problemi di conformità e conseguenze legali. Ecco come procedere e cosa prioritizzare per essere un’organizzazione innovativa e produttiva che protegge la propria reputazione e gode della fedeltà dei suoi clienti

30 Ago 2022
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

Le aziende moderne devono abbracciare l’innovazione tecnologica per rimanere competitive sul mercato. Tuttavia, la criminalità informatica è una minaccia per i sistemi digitali. A causa dei crescenti casi di violazione dei dati, alcuni imprenditori sono quindi riluttanti ad adottare tecnologie di nuova generazione e genericamente lo sono ancor di più verso gli investimenti diretti a creare un’appropriata e significativa strategia di sicurezza informatica che possa rendere resiliente tutto il business che poggia su quei nuovi sistemi digitali.

Eppure, i dubbi dei clienti sugli standard di sicurezza dei dati aziendali e di quelli dell’organizzazione possono mettere in discussione la reputazione aziendale, con una conseguente perdita di vendite e ricavi.

Quindi, una sicurezza informatica inadeguata non solo danneggia l’azienda, ma comporta anche problemi di conformità e conseguenze legali.

Come procedere e cosa prioritizzare nella roadmap verso la sicurezza per raggiungere l’obiettivo ideale di essere un’organizzazione innovativa e produttiva, che protegge la propria reputazione e gode della fedeltà dei suoi clienti?

Lo scenario cyber

Nelle aziende l’evoluzione dell’IT e la pervasività progressiva delle tecnologie digitali in favore di produttività e flessibilità rendono i perimetri virtuali aziendali sempre più ampi. Il periodo pandemico ha generato un massiccio ricorso allo smart working e alle soluzioni in cloud senza che la sicurezza informatica fosse altrettanto rapidamente indirizzata.

L’infrastruttura, le applicazioni e gli endpoint compresi i dispositivi IoT possono costituire un target di attacco e la loro sicurezza dovrebbe essere curata per impedire che la minaccia possa causare danni agli investimenti già fatti, a quelli in corso e futuri. La sicurezza non può essere un anello debole, anzi, deve essere vista come strategia di business e governata con approccio end-to-end che non sia solo tecnologico, ma che preveda anche una ottimizzazione di tutti i processi, per garantire la sostenibilità, l’efficienza del business e la sua resilienza nel tempo.

In sostanza nessuna organizzazione può permettersi di relegare la sicurezza a questa o quella soluzione, pensando che solo con una combinazione di tecnologie o di trend del momento ci si potrà difendere dalla minaccia imminente dei criminali informatici. Gli attaccanti in particolare progrediscono nella loro abilità di elusione di queste difese che mancano della “messa a sistema”. Le organizzazioni dovrebbero collaborare con aziende di sicurezza informatica che abbiano esperienza e competenza, perché possano aiutarle nella creazione di una strategia di sicurezza informatica in grado di fornire un livello di protezione multilivello.

È anche importante notare che la criminalità informatica non dovrebbe essere presa sul serio solo dalle aziende in settori fortemente regolamentati, come la sanità o la finanza, ma ogni organizzazione, indipendentemente dalle sue dimensioni e dal tipo, dovrebbe dare priorità all’attuazione di un programma di sicurezza informatica.

Alberto Roseo, Chief Marketing, Communication & Strategy Officer del Gruppo Lutech, fa notare come si debba considerare la cyber security una priorità per le aziende, anche a fronte delle recenti evoluzioni geopolitiche globali che hanno portato a una escalation delle minacce: da cyber crime a una vera e propria cyberwar che risponde a posizioni politiche di un paese sulla questione internazionale.

Proprio per i motivi sopraccitati è fondamentale che i team di intelligence sulle minacce e IT lavorino a stretto contatto con i board di direzione, rendendo i membri consapevoli dei rischi e delle minacce poste alle piattaforme digitali dell’organizzazione in modo tempestivo, pertinente e coerente. In tal modo, l’azienda può quindi prendere decisioni informate sugli investimenti e implementare le modifiche necessarie per rafforzare le proprie difese. In questo senso Cesare Radaelli, Sr Director Channel Account presso Fortinet aggiunge che occuparsi della sicurezza informatica non è una semplice necessità, ma un dovere: “Occuparsi di cyber security dovrebbe essere uno dei primi tre punti dell’agenda di un CIO”.

Sicurezza informatica come challenge per il sostegno del business

Pensare che la sicurezza informatica sia utile solo per ridurre i rischi informatici è una considerazione ormai obsoleta. La competition sui mercati internazionali, la reputazione cliente e la caratteristica di resilienza, sono tutti obiettivi legati ad una implementazione della sicurezza informatica considerata come un fattore abilitante per il business e una parte fondamentale della strategia aziendale di un’organizzazione.

Infatti, l’implementazione di strategie, prassi, processi e tecnologie di sicurezza informatica consente a un’azienda di spostarsi in nuove aree di crescita, che siano paesi internazionali o nuove tecnologie innovative, in modo resiliente e così avvantaggiarsi rispetto ai propri concorrenti commerciali. La maggiore attenzione alla sicurezza della singola organizzazione potrebbe aumentare la fiducia dei suoi clienti verso i servizi aziendali e verso il brand, in funzione della capacità di protezione e governance sicura dei loro dati. Infine, avere un solido piano di risposta agli incidenti in atto, significa continuità di business ed eventuale minima interruzione operativa.

Anche l’addestramento e la formazione del personale sulle prassi basi di cyber hygiene informatica possono contribuire a ridurre gli impatti di una minaccia, sempre più subdola e apparentemente invisibile.

Per Cesare Radaelli la sicurezza informatica è abilitante perché mette a disposizione servizi sicuri da remoto e delocalizzati, garantendo l’accesso alle sole identità aventi diritto e garantendo transazioni BtoB o BtoC ma in modalità sicura e continua. Inoltre, se si garantisce ai decisori di ricevere report e dati rappresentati “nella lingua del business” gli investimenti potranno essere corretti: “Sono necessarie a mio avviso”, continua Radaelli “Comunicazione semplice risultato di assessment e di analisi e confronto con aziende terze, come veicolo per tradurre verso i decisori l’importanza di investire su elementi e servizi di sicurezza”.

Per Alberto Roseo, è necessario attuare un’accurata advisory coniugata a servizi di valutazione della postura di sicurezza e di formazione, per portare consapevolezza nella strategia dell’azienda, facendosi accompagnare nelle implementazioni da professionisti specializzati ed esperti.

Chiudere i gap di sicurezza

Per difendersi dalle minacce digitali è necessario avere un approccio omnicomprensivo e multidisciplinare in grado di rinforzare tutte le componenti di difesa in modo congiunto. Un modello consolidato ispirato ai principi del Ciclo di Deming può consentire la gestione della sicurezza informatica come una componente sistemica nell’organizzazione. Alberto Roseo spiega che nell’approccio di security advisory sono seguite le quattro fasi di:

  1. Assess, per realizzare assessment mirati e finalizzati a conoscere il grado di maturità del proprio sistema di gestione della cyber security;
  2. Design, per progettare piani specifici e personalizzati che equilibrino le esigenze di business e l’obiettivo di protezione dei dati e delle infrastrutture;
  3. Build, per implementare le soluzioni tecnologiche che si rendono necessarie;
  4. Optimize, per attuare il miglioramento continuo in produzione.

Servizi managed di security e “tecnologie as a service” erogate da un SOC consentono una governance operativa della sicurezza mentre il business procede. Cesare Radaelli aggiunge che il business non deve essere frenato dalla sicurezza, ma che quest’ultima deve estendersi alla connettività sicura, gestione delle identità, sicurezza applicativa, protezione mail, analisi minacce con IPS e con ogni altra tecnologia di sicurezza, per poi integrarsi con i processi di business al fine di garantire anche automazione e collaborazione fra discipline di sicurezza come fattore base di un approccio omnicomprensivo.

È considerato molto importate per entrambi gli esperti anche il livello informativo di feedback verso l’organizzazione che si protegge, per fornire dati di: volumi di attività gestite, specificando numero massimo di incident/standard change, livelli di servizio relativi a tempi di presa in carico, di risoluzione di una richiesta di supporto o di detection/analysis/containment per gli incident di security, indicatori di performance basati sull’esperienza e su best practices, inclusione o esclusione di attività periodiche e ricorrenti come major/minor software patching, health check degli apparati, reporting personalizzato.

Infine, per Alberto Roseo le aziende devono capire che sia nella prevenzione di sicurezza sia nei casi di un attacco, ogni area aziendale deve dare una risposta efficace, mentre Cesare Radaelli oltre alla formazione e prevenzione considera necessaria anche la contribuzione di una regia eventualmente esterna all’organizzazione, che possa agire da garante delle prassi di security e della loro continua evoluzione.

Contributo editoriale sviluppato in collaborazione con Lutech

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4