SOLUZIONI TECNOLOGICHE

Ripensare la sicurezza senza rallentare la produttività del personale: soluzioni operative

Ogni giorno i custodi dei sistemi e dei dati hanno l’ingrato compito di bilanciare la produttività e la facilità d’uso garantendo requisiti di sicurezza efficaci, ma per farlo è necessario ripensare la sicurezza senza rallentare la produttività del personale. Ecco in che modo

30 Nov 2020
O
Ichiro Ohama

Senior Vice-President, Enterprise and Cyber-Security di Fujitsu

R
Danilo Rivalta

CEO di Finix Technology Solutions

Nell’attuale contesto di digital transformation, in cui le aziende sono sempre più data driven, è importante ripensare la sicurezza senza rallentare la produttività del personale. Il perché è presto detto.

Una normale quotidianità

Proviamo a pensare, per un attimo, alle persone che hanno la responsabilità di garantire la cyber sicurezza della nostra azienda. Tralasciamo per un momento i problemi e le lamentele, per quanto siamo certi che ve ne siano. Ogni giorno i custodi dei sistemi e dei dati hanno l’ingrato compito, da una parte, di bilanciare la produttività e la facilità d’uso e dall’altra garantire requisiti di sicurezza efficaci.

INFOGRAFICA
I migliori data analytics tools a confronto: CHI VINCE?
Big Data
Datacenter

Come fare per dare la giusta priorità alla sicurezza senza caricare il personale di infiniti processi, documenti e password?

La realtà non è così semplicistica, ma se gli utenti reputano che le misure di sicurezza restringano eccessivamente la loro produttività, allora proveranno a scavalcarle o evitarle. Il che non migliora certo la situazione in termini di rischi e vulnerabilità.

Come se il compito di bilanciare esigenze così contrastanti non fosse già delicato di per sé, esso va oltretutto svolto all’interno di uno scenario in costante cambiamento.

Le cyber minacce sono in perenne evoluzione ed emergono pericoli sempre nuovi. Un esempio lampante arriva dalla pandemia di COVID-19, quando molti dipendenti hanno dovuto lasciare i confini sicuri delle reti corporate e iniziare a utilizzare risorse potenzialmente meno sicure, come i dispositivi e le connessioni di casa propria, per poter accedere ai dati e ai sistemi aziendali.

Gli hacker hanno sfruttato questa tendenza, utilizzando come gancio tematiche attuali che riflettevano le nuove circostanze. Sono circolate enormi quantità di e-mail di phishing che promettevano informazioni esclusive sulla COVID-19; siti web fasulli che spingevano gli utenti a inserire credenziali, password e dati bancari per false donazioni, finte iniziative di sostegno economico e prestiti o contributi governativi totalmente inventati. E non tutte le aziende sono state in grado di implementare fin da subito la giusta infrastruttura dotata di misure di sicurezza appropriate.

Rafforzare la sicurezza IT ha un prezzo

Ma non siamo troppo indulgenti. Possiamo probabilmente essere d’accordo sul fatto che le modalità con cui gli utenti vivono la sicurezza possono risultare frustranti e che i cyber specialisti debbano ammettere di essere parzialmente responsabili di una tale situazione.

Molte cose che gli utenti vogliono – devono – fare nel corso della giornata lavorativa fanno sentire insicuri gli specialisti della cyber sicurezza: come, per esempio, utilizzare i dispositivi personali privi di software antivirus aggiornato o chiavette USB di ignota provenienza che possono potenzialmente infettare intere infrastrutture aziendali.

Ecco perché le aziende sviluppano policy che proibiscono di usare cose del genere. L’intenzione è quella di rendere difficile la vita ai cyber criminali, il che talvolta produce però l’effetto collaterale di ostacolare la produttività dei dipendenti. Ma le persone devono lavorare, e questo porta quasi inevitabilmente a definire policy apposite per casistiche che rientrano tra le “eccezioni”. Tempo qualche settimana e tutti quanti avranno richiesto un’eccezione per sé, con la conseguenza di fare a pezzi il sistema originale.

Oltre che costringere gli utenti a sottostare a processi laboriosi per poter adoperare l’IT, la cyber sicurezza può addirittura impedire l’accesso all’IT stesso – come quando blocca l’impiego di risorse cloud potenzialmente utili. Come mai? A fianco del lato positivo del cosiddetto “shadow IT”, esiste anche un lato negativo che ne inficia la resilienza.

Le varie divisioni aziendali hanno adottato servizi cloud senza considerare cyber sicurezza e infrastruttura IT in modo olistico. Perché mai avrebbero dovuto? Non è una loro responsabilità. Ma quando si tratta di questioni come la protezione e la privacy dei dati e attività come il backup e la replica dei dati, la mancata applicazione delle regole corporate può provocare una serie di complicazioni, alcune delle quali effettivamente molto gravi.

Quel che peggiora addirittura le cose è che gli utenti fanno regolarmente esperienza di misure di sicurezza maggiormente avanzate o pratiche nell’ambito della propria vita personale. Tutti abbiamo provato la semplicità del riconoscimento del volto o dell’impronta digitale per sbloccare un telefono, e la troviamo assai più pratica rispetto a una policy aziendale che ci costringa a cambiare la password ogni 90 giorni.

Un modo migliore?

Deve esserci una maniera migliore. Dobbiamo creare un’esperienza di livello consumer protetta da uno strato aziendale quanto più sicuro possibile.

Sono, queste, esigenze quasi diametralmente opposte che producono una tensione di difficile soluzione: creare una user experience migliore implementando nel contempo le misure di sicurezza richieste da aziende che lavorano in Paesi diversi e con partner esterni è davvero una sfida.

Una semplice considerazione economica ci dice, inoltre, che un qualsiasi sistema di nuova realizzazione è destinato a restare al suo posto per un bel po’ di tempo, il che significa che risulterà probabilmente sempre datato ogni volta che sarà messo a confronto con la tecnologia consumer del momento.

Su una cosa possiamo essere d’accordo: la situazione nella quale ci troviamo oggi non è più adatta allo scopo.

La sicurezza deve parlare il linguaggio del business

I dipartimenti IT mettono solitamente a punto lunghi documenti di policy, costringendo i dipendenti a leggerli con cadenza annuale. Ma questo elenco di cose da fare e da non fare ha bisogno di tradursi in qualcosa di maggiormente dinamico.

Si tratta di un cambiamento enorme, ma i cambiamenti necessari stanno iniziando ad arrivare. Tutto questo conduce al fatto che gli aspetti della sicurezza legati alle persone sono spesso più complicati di quelli tecnici.

Paradossalmente, le nuove tecnologie possono rendere le cose ancora più frustranti per gli utenti.

Ciò che occorre è un cambiamento nella cultura della sicurezza che consideri gli utenti più come se fossero dei consumatori. Bisogna superare, ad esempio, il modello del classico corso sulla sicurezza organizzato una volta all’anno, per passare a soluzioni che siano più interessanti, coinvolgenti e durature per i dipendenti.

Anche i prodotti che i vendor offrono ai propri clienti devono seguire gli stessi principi di sicurezza e flessibilità, componendo un sistema integrato che include tutto l’hardware e il software necessari per la realizzazione di un’infrastruttura IT iper-convergente in modo semplice, essendo tutto preconfigurato, testato e pronto all’uso.

A questo è poi possibile aggiungere soluzioni per ottimizzare l’infrastruttura unificandone la gestione per renderla più semplice e sicura, che tutelano gli endpoint dagli attacchi malware e zero-day, permettendo all’utente di gestire tutti gli ambienti virtuali in esecuzione in modo semplice e fluido.

Per riuscire a far questo i team di business e i team della sicurezza devono collaborare insieme, capire e concordare quali rischi siano inevitabili (pianificando le misure di sicurezza appropriate) e quali rischi invece siano più grandi di qualsiasi possibile beneficio. La sicurezza deve parlare il linguaggio del business.

Capire il contesto della sicurezza

Come punto di partenza, la cyber sicurezza deve occuparsi meglio degli utenti. I privilegi di accesso vengono attualmente generati servizio per servizio o sistema per sistema. Questo approccio è troppo grossolano e complicato. Oggi ci saranno meno riunioni in presenza, ma la necessità per gli executive di accedere ai sistemi corporate da remoto rimane. I divieti a tappeto sono impraticabili e inutili.

La sicurezza si sta spostando verso regole basate sui ruoli personali mappando i comportamenti che sono ragionevolmente attesi da ciascuno e applicandoli dinamicamente. In molte aziende questo viene già fatto, per lo meno in maniera rudimentale. Ciò che facilmente manca sono i profili dei ruoli sensibili al contesto, creati dinamicamente per differenti tipologie di utenti che accedono ai dati al di fuori del normale orario di lavoro.

Nuovi ruoli della “digital experience” assistono il cambiamento in atto nell’IT aziendale modellato sulla base dell’ambiente consumer, dove i servizi e i prodotti dispongono di “campioni” esperienziali per far sì che quello che viene fornito sia effettivamente ciò che gli utenti desiderano e di cui hanno bisogno.

Per l’utente Enterprise questa non è solamente una questione estetica: l’obiettivo è quello di proteggere i flussi di valore prodotti dal modo in cui le persone lavorano e di aggiungere valore mappando i workflow da un capo all’altro.

La strada da percorrere deve vedere la cyber sicurezza e i responsabili dell’Enterprise experience integrare la giusta sicurezza direttamente nella fase del design.

Verso una nuova cultura della sicurezza

Il nuovo metodo: emulare il lancio di un prodotto consumer. Guardare all’esperienza complessiva del “cliente” e integrare il design della sicurezza come parte del workflow generale del valore. Se disponiamo di un responsabile della digital experience allora abbiamo un punto di partenza per aggiungere valore alle persone che generano valore.

Ma gli utenti ricoprono anche un proprio ruolo. I team incaricati della sicurezza possono lavorare quanto vogliono per rendere ogni cosa ’sicura per design’; eppure, a meno che gli utenti non si assumano la loro parte di responsabilità, nessuna quantità di tecnologia smart potrà mai mantenere un’azienda totalmente al sicuro.

Quando si ripensa al modo in cui ciascun dipendente può contribuire alla postura di sicurezza dell’organizzazione e a costruire una cultura che integra completamente una sicurezza intuitiva, tutti svolgono un ruolo essenziale.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr