Il Piano Nazionale di Ripresa e Resilienza (PNRR), predisposto per aderire alle sei grandi aree di intervento (pilastri) su cui si fonda il dispositivo europeo per la Ripresa e Resilienza (RRF), intende promuovere un robusto rilancio dell’economia dalla crisi post-pandemica fondato sullo sviluppo di tre assi strategici: digitalizzazione e innovazione, transizione ecologica, inclusione sociale.
La digitalizzazione e l’innovazione implicano cambiamenti strutturali sul modo in cui le organizzazioni operano e su come devono essere organizzate. L’impiego del Cloud, dell’IoT, dei Big Data e della mobilità causa una rapida evoluzione dei modelli di business, dell’infrastrutture e delle modalità lavorative. Il successo della trasformazione digitale si fonda sul dato, infatti si parla sempre più spessa di Data Economy, quindi la vera sfida è capire se questa rivoluzione digitale renderà i nostri dati più sicuri di prima.
—————————————–
Gli studi pubblicati sul tema della transizione digitale asseriscono che sarà in grado di spianare la strada alla ripresa dell’economia, ma, al contempo, richiederà un approccio rapido e l’adozione di nuove tecnologie digitali. Tuttavia, come in ogni cambiamento, anche questa trasformazione condurrà a nuovi rischi come gli attacchi informatici alle infrastrutture e le violazioni della sicurezza delle informazioni. Con queste premesse si verrebbe a creare un paradosso in cui le stesse tecnologie che permettono la crescita, aumentano l’incidenza del rischio.
Le organizzazioni devono essere consapevoli di questa criticità e affrontarla, in particolare devono assicurarsi che fin dall’inizio siano attuate le opportune misure di sicurezza informatica per eliminare o mitigare l’insorgenza delle nuove minacce. Per cui, è fondamentale che le imprese o gli enti avviino il processo di innovazione in maniera sicura e consentano ai loro team di identificare e priorizzare i nuovi rischi, soppesando questi ultimi con il valore atteso e le opportunità di business.
In realtà siamo già nell’era digitale da qualche tempo, molto probabilmente inconsapevolmente, per sopravvivere alle mode tecnologiche o aderire alle prescrizioni normative e sociali ed abbiamo subito questo cambiamento, non avendolo governato attivamente, senza riuscire a cogliere la moltitudine di opportunità legate alla rivoluzione digitale. Il principale fattore frenante del processo di trasformazione digitale è rappresentato dalla sfiducia che gli utenti hanno nei confronti dell’ICT, in parte avvalorato dal susseguirsi di notizie riguardanti nuovi, e sempre più rilevanti, incidenti informatici. La maggior parte degli utilizzatori dell’ICT tenta di risolvere questa criticità producendo, spesso in maniera compulsiva, duplicati cartacei e/o informatici delle proprie transizioni digitali e, di fatto, sminuisce o vanifica gli obiettivi auspicati.
Per accelerare la Transizione Digitale occorre, pertanto, che ci si fidi delle tecnologie dell’ICT, tutti devono essere certi che le loro transazioni digitali non vadano perse o modificate, e l’unico modo è quello di affrontarla con un altro mindset: il digitale deve essere più sicuro dell’analogico.
A questo punto è lecito porsi una domanda: se è dimostrato che i fattori di cyber risk aumentano con l’avanzamento della trasformazione digitale, allora perché le best practices per l’improvement della cybersecurity non vengono implementate con la stessa velocità con cui le crescono le minacce?
La causa di questa singolarità è riconducibile all’impiego da parte delle organizzazioni di una serie di prassi errate. Cerchiamo di scoprire quali potrebbero essere le possibili motivazioni che rallentano le organizzazioni nell’implementazione delle best practices per la sicurezza dei dati aziendali.
Negli ultimi anni il settore della cybersecurity ha registrato la più forte crescita di quote di mercato dell’ambito IT a livello globale, in particolare nel contesto delle grandi aziende o amministrazioni. Tuttavia, questa tendenza di crescita è significativamente rilevabile solo nelle organizzazioni che hanno già adottato una politica di paperless. La cybersecurity, guidata dalla crescita dell’industria digitale, rappresenta un mercato importante.
Ma, al di là dello sviluppo di questo settore, sono le persone, i dirigenti, i consigli di amministrazione che devono cambiare le loro abitudini. Loro rappresentano gli obiettivi più vulnerabili di un’organizzazione, perché detengono le informazioni riservate, il know-how e l’intelligence aziendale, fondamentali per il raggiungimento degli obiettivi.
Un’organizzazione che intende avviare un efficace e affidabile percorso di Digital Transformation non deve più osservare la Cyber Security come un requisito dell’IT, ma deve includere le strategie di sicurezza tra gli obiettivi di business per realizzare con successo la propria missione.
L’uso di ambienti virtuali e sicuri come il cloud, tanto auspicato anche nel Piano Nazionale di Ripresa e Resilienza (PNRR), può prevenire le conseguenze degli attacchi informatici per l’intera catena di valore dell’azienda. Ma non è sufficiente.
La sicurezza informatica deve rappresentare un obiettivo dal punto di vista professionale e aziendale. Pertanto, la strategia da mettere in atto può essere paragonata ad una tabella di marcia condivisa sia dal singolo che dall’intera struttura aziendale. L’adozione di un approccio “secure by design” aiuta ad anticipare i rischi degli attacchi informatici. Ma occorre investire anche in sistemi di gestione: per esempio l’uso di una soluzione di Data Management può indicare in anticipo i rischi per la sicurezza informatica.
L’efficacia di un progetto di digitalizzazione può essere rafforzata con l’adozione di un sistema di Identity Management che assicuri una gestione semplificata e controllata degli accessi ai propri dati, oppure spostando i propri asset in ambienti ISO27001 compliance per proteggerli da possibili violazioni o manomissioni.
Ovviamente, per completare il processo è necessario disporre della tecnologia adeguata che consenta di raccogliere, elaborare ed analizzare velocemente grandi quantità di dati, provenienti da fonti interne ed esterne, e cercare di prevedere l’insorgere di situazioni critiche per la business continuity. A tal riguardo si ricorre, sempre più spesso, all’applicazione di tecniche di Machine learning e di A.I. poiché la pianificazione della resilienza informatica richiede, oltre che analisti di minacce qualificati, anche strumenti algoritmici avanzati come quelli messi a disposizione dall’apprendimento automatico e dall’intelligenza artificiale. Queste soluzioni sono in grado di individuare e selezionare sempre più rapidamente anomalie e minacce emergenti rispetto agli operatori umani e a costi nettamente inferiori.
Per garantire una governance efficace e una rapida attuazione delle scelte strategiche, è fondamentale disporre di soluzioni adeguate, flessibili e facili da mettere in atto. Perché non c’è economia digitale senza sicurezza digitale.
Questo cambio di prospettiva è auspicato anche nel Piano Nazionale di Ripresa e Resilienza, ma non è sufficiente acquisire solo soluzioni e tecnologie sicure o implementare misure di risposta alle minacce, occorre investire anche in cultura del cambiamento e del rischio.
La sfida si affronta aggiungendo sicurezza alla velocità della trasformazione digitale e garantendo che si estenda su ogni nuovo processo digitale interno, prodotto esterno realizzato o opportunità di business creata. La sicurezza informatica è una responsabilità che va condivisa con tutte le anime dell’organizzazione, poiché tutti avranno un ruolo nella gestione della trasformazione digitale.
Articolo a cura di Vincenzo Calabrò
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…