Quali sono i passi da compiere per attuare una strategia di cyber resilienza efficace? E, soprattutto, quali accorgimenti servono per evitare che l’adozione dei nuovi strumenti non ingessi i processi di business? Sono domande che richiedono risposte urgenti, e che specialmente per le PMI italiane – di solito sprovviste di comparti IT strutturati e sempre alle prese con altre priorità di investimento – necessitano di risposte chiare, ben definite.

Uno scenario sempre più allarmante: l’Italia nel mirino dei cyber criminali

Lo scenario dei rischi legati agli attacchi informatici è infatti a dir poco sconfortante: nel 2022 in Italia è andato a segno il 7,6% dei cyber attacchi globali, una percentuale più che raddoppiata rispetto al 3,4% registrato nel 2021. In numero assoluto sono state 188 le iniziative malevoli andate a buone fine, dato che segna un incremento del 169% rispetto all’anno precedente. Nell’83% dei casi si è trattato di incidenti a gravità elevata o critica.

Se questa è l’istantanea scattata dall’ultimo Rapporto Clusit, che ha definito il 2022 “l’anno peggiore da sempre per la cyber security”, non meno allarmante è lo scenario descritto dall’Osservatorio Cybersecurity & data protection della School of management del Politecnico di Milano, secondo cui il 67% delle imprese italiane manifesta un aumento dei tentativi di attacco informatico e il 14% ha sperimentato conseguenze tangibili (interruzioni del servizio, ritardi nell’operatività dei processi o danni reputazionali) a seguito delle intrusioni subite.

L’Agenzia per la cybersicurezza nazionale punta i riflettori sulle piccole e medie imprese, che spesso non investono in contromisure adeguate in quanto, per molti soggetti, la cyber security rappresenta ancora un puro costo.

Gli investimenti, certo, non mancano: la crescita del mercato italiano è sostenuta, in buona parte, dalle organizzazioni di taglia media che stanno iniziando a intraprendere azioni concrete.

Suddividendo il mercato nelle diverse componenti di spesa, il 50% è dedicato ai servizi, mentre l’altra metà alle soluzioni di cybersecurity. Le quote di budget più consistenti rimangono comunque destinate all’acquisto di strumenti di security tradizionali.

Cominciano a registrarsi anche importanti incrementi di spesa per le componenti più innovative di questo capitolo tecnologico, ma il rischio resta altissimo.

Cyber resilienza, una priorità da prendere in considerazione prima che sia troppo tardi

“Gli ultimi report mostrano come le PMI siano costantemente sotto attacco, con incrementi anno su anno di circa il 30%, e la nostra esperienza sul campo è in linea con questo trend”, conferma Luca Bonora, Head of Business Developer di Cyberoo S.p.A., specialista delle soluzioni avanzate di cybersecurity e unico player italiano a figurare come “Representative Vendor” nella Gartner Market Guide for Managed Detection and Response Services 2023.

È proprio a partire dall’esperienza sul campo, a contatto anche con le imprese meno strutturate del panorama nazionale, che Bonora ha maturato un’idea peculiare di cyber resilienza, che non contrasta in alcun modo con l’esigenza di rendere il business sempre più fluido e agile.

“Si tratta anzi della capacità di mantenerlo attivo anche mentre si è sotto attacco. E se pensiamo alla crescita esponenziale di queste iniziative, possiamo star certi che saranno sempre di più le aziende che si troveranno a dover affrontare una situazione di emergenza, spesso troppo tardi. Il tema va dunque preso in considerazione in tempo di pace, quando cioè le organizzazioni non sono sotto attacco e possono ragionare e investire a mente serena e lucida. Questo atteggiamento aiuta a fare tesoro di tutte le scelte tecnologiche compiute nel tempo e soprattutto a far convergere le soluzioni già acquisite verso la creazione di un ambiente unificato da mettere al servizio dell’unico grande obiettivo da perseguire, la cyber resilience per l’appunto”.

Più facile a dirsi che a farsi: portare a fattor comune le singole piattaforme di cui si è già in possesso e metterle in condizione di lavorare in maniera sinergica implica l’aggiunta di un elemento catalizzatore, una sorta di cabina di regia che permetta alle imprese di sfruttare al meglio il patrimonio esistente in modo coordinato. Per Bonora, quell’elemento è l’MDR (Managed Detection & Response).

Perché conviene cambiare prospettiva sulle risorse da investire in cyber security

Impossibile a questo punto non occuparsi del tema del budget, una questione – anzi un’obiezione – ricorrente per molte PMI, che spesso sostengono di non avere fondi a sufficienza da dedicare a soluzioni avanzate di cyber security, come l’MDR.

“A mio avviso quest’impostazione è inesatta” replica Bonora. “È vero, queste piattaforme costano. Qui però non si tratta di riservare un budget per la cybersecurity, ma di identificare le risorse necessarie a supportare il business aziendale. Se un attacco andrà a buon fine, saranno le Operation a fermarsi o ad avere importanti contraccolpi a tutti i livelli. Ecco perché, molto semplicemente, la questione ormai è mal posta: il punto non è più investire in un qualche sistema tecnologico, bensì sostenere il proprio business, garantendone la resilienza”.

Bisogna d’altra parte comprendere lo squilibrio tra le risorse umane messe in campo dagli attaccanti e quelle a disposizione delle imprese, specie se di piccole dimensioni. “Dobbiamo pensare che i cyber criminali sfruttano tutte e 24 le ore al giorno per poter raggiungere i loro obiettivi. Le aziende, dal canto loro, vedono ancora il personale IT come un costo”, rimarca Bonora. “E seppure alcune imprese investano in personale qualificato, è impensabile per una PMI avere all’interno della propria divisione IT operatori e servizi attivi 24 ore su 24, sette giorni su sette”.

Realtà come Cyberoo riescono a supplire a questi limiti fisiologici, grazie proprio alle soluzioni MDR, che possono essere integrate con tutti gli ambienti aziendali senza la necessità di mettere in discussione il parco applicativo esistente e gli investimenti già sostenuti. La possibilità di erogare un servizio con un unico SLA (Service Level Agreement) 24/7 e la facoltà di adattarsi a una catena del soccorso capace di coinvolgere partner che conoscono approfonditamente l’infrastruttura del cliente completano questo tipo di offerta.

Superare la complessità dell’implementazione e dell’integrazione: l’approccio di Cyberoo

Resta l’ostacolo della complessità. Anche provando a cambiare prospettiva, la domanda rimane la stessa: come si implementa una piattaforma MDR nel contesto di un’impresa di piccola taglia? Dall’assessment ai tempi di roll out, senza dimenticare lo sforzo da profondere nell’evoluzione dei processi e delle skill, parliamo comunque di una transizione tutt’altro che semplice da avviare e da gestire.

“Di modelli di implementazione ce ne sono diversi” premette Bonora. “Quello scelto da Cyberoo va nella direzione di un adattamento alla realtà di ciascuna azienda cliente, con l’obiettivo di semplificare il lavoro per l’IT. Come? Innanzitutto, facendo leva su un modello di business basato sul numero di postazioni di lavoro e server, siano essi fisici o virtuali. Ciò consente di ridurre la complessità del processo di acquisto per i responsabili IT, che possono compiere le proprie scelte indipendentemente dalla dimensione e dal perimetro dell’azienda, dai servizi attivati on premise o cloud, e dal numero di sedi. L’assessment quindi viene posticipato alla fase di startup, nella quale entrano in gioco le persone con le skill necessarie a snellire e rendere il più veloce possibile l’implementazione. Parliamo naturalmente dei profili tecnici e dei project manager”.

I tempi di avvio del servizio dipendono molto dal tipo di soluzione scelta: facendo riferimento al portfolio Cyberoo, un prodotto come CSI richiede 15-20 giorni, in quanto non impatta sull’infrastruttura dell’azienda cliente. Cypeer deve invece integrarsi con le soluzioni preinstallate e quindi necessita di tempi di implementazione maggiori, dettati sostanzialmente dalla complessità dell’infrastruttura. “Per Cypeer in particolare abbiamo adottato il metodo delle Wave” precisa Bonora. “In sostanza, dividiamo in ondate le diverse fasi di attivazione e in ciascuna diamo sempre più spazio alle soluzioni, che integriamo allargando la visione sull’ecosistema”.

Non bisogna dimenticare che la cybersecurity va intesa come un processo continuo, che deve permettere al cliente una naturale e continua evoluzione sul piano delle soluzioni e delle competenze. “Per fare questo, fin dal collaudo delle prime Wave vengono introdotte professionalità dedicate alla gestione del servizio, che hanno un duplice obiettivo. Devono innanzitutto verificare e monitorare nel tempo la soddisfazione del cliente. In secondo luogo, hanno il compito di mostrargli la via da seguire per le necessarie evoluzioni future. Partendo dalle analisi quotidiane degli eventi rilevati dalle nostre soluzioni è possibile, infatti, guidare il cliente e aiutarlo ad accrescere la consapevolezza sia dei processi attivati sia dei limiti che le soluzioni implementate potrebbero mostrare nel tempo. Questa consapevolezza – chiosa Bonora – si traduce in esperienza che, condivisa poi con i nostri partner, permette al cliente di individuare gli interventi da fare per rendere sempre più proficuo il proprio percorso di cyber resilienza”.

