L’aumento degli attacchi informatici verso aziende e istituzioni rende necessario un nuovo tipo di approccio nella selezione e nell’adozione delle tecnologie di sicurezza. Troppo spesso, infatti, il tema della cybersecurity viene affrontato partendo dai prodotti e dagli strumenti tecnologici per difendersi, limitando gli sviluppi successivi e le possibilità di un impatto positivo sul business. Oggi, una corretta strategia di cybersecurity deve essere “Process first” – come è emerso durante l’ultima edizione di ITASEC, la Conferenza Nazionale sulla Sicurezza Informatica, che si è tenuta a Roma dal 20 al 23 giugno – ovvero deve partire dall’analisi dei processi e delle esigenze dell’organizzazione al fine di implementare, in un secondo momento, le tecnologie più adeguate. Secondo i dati diffusi dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, nel 2021 il 31% delle grandi aziende italiane hanno rilevato un aumento degli attacchi informatici. Alla luce di questi dati, il 54% delle organizzazioni giudica necessario le iniziative di sensibilizzazione culturale nei confronti del personale sulle misure da adottare. Secondo Verizon, gli attacchi ransomware su scala globale sono aumentati del 13% rispetto all’anno precedente.
In questo scenario nazionale e globale sempre più minaccioso è necessario quindi cambiare l’approccio nei confronti della cybersecurity, intervenendo sulle strategie di protezione dei rischi derivanti dalle attività core delle aziende e delle istituzioni. Questo allineamento implica un nuovo approccio nella selezione e adozione delle tecnologie di sicurezza e in particolare dei sistemi di Identity Access Management (IAM). Per implementare una strategia end to end, bisogna partire con un’approfondita analisi dei rischi dell’azienda passando, in un secondo momento, alla fase di monitoraggio, per ridurre al minimo la vulnerabilità dell’organizzazione.
Al fine di rendere efficace una strategia “Process first” sono necessari tre passaggi fondamentali. Il primo è il security assesment & risk analysis, con lo scopo di approfondire e studiare nel dettaglio l’azienda e i suoi processi. Questo step porta con sé alcuni benefici: aumento di consapevolezza, coinvolgimento di tutti i processi aziendali, elaborazione di un piano di Remediation, riduzione dei livelli di rischio e un miglioramento della reputazione e immagine dell’azienda.
Il secondo passaggio riguarda la security strategy che si ottiene attraverso la definizione e attuazione di una strategia di sicurezza personalizzata. I vantaggi in questo caso riguardano la riduzione dei costi, delle tempistiche e delle risorse, il miglioramento della compliance normativa sulla gestione della sicurezza delle informazioni, la prevenzione, la protezione e la riduzione degli impatti delle minacce di sicurezza informatica.
Infine, il terzo e ultimo step è la security awareness. Questo passaggio, di cruciale importanza, riguarda la sensibilizzazione di tutti i dipendenti di un’organizzazione sull’importanza della sicurezza delle informazioni e sulla protezione degli asset critici. Grazie a questo nuovo tipo di consapevolezza sarà possibile creare una cultura cyber aziendale che consentirà di prevenire e ridurre i rischi, oltre a identificare, pianificare e attuare eventuali azioni di miglioramento.
L’approccio “Process first” è ormai inderogabile. Le aziende che non avranno profonda conoscenza dei propri processi e che non investiranno nella creazione di una nuova cultura aziendale, più attenta ai rischi e con maggiore consapevolezza delle minacce, saranno quelle che rischieranno di pagare un prezzo molto alto in un contesto digitale globale sempre più minaccioso.
di Francesco Casertano, CEO di Net-Studio e Cybersecurity Lead di Minsait in Italia