Nel giro di pochissimi anni la cultura della sicurezza informatica è diventata patrimonio comune a molte filiere del Made in Italy. A prescindere dalla complessità organizzativa, dalle dimensioni del business e dal settore di riferimento, la tutela degli asset digitali – dati, ma anche processi dematerializzati – sta diventando una priorità anche per le piccole e medie imprese. Le quali, oggi, devono non solo massimizzare gli sforzi per garantire la propria continuità operativa, ma anche dimostrare a partner e clienti la conformità alle normative e soprattutto la capacità di contribuire alla catena del valore con network, strumenti e procedure quanto meno affidabili.
Le sfide della Cyber Security (e non solo) al summit di WeAreProject
Ma qual è lo stato dell’arte, e quali step occorre ancora attuare per coniugare tecnologie, persone e servizi in un approccio alla Cyber Security che sia funzionale alle esigenze – presenti e future – della Pmi italiana? Alcune risposte sono arrivate dal summit “Cyber Security & Sustainability, Challenges for the future”, di scena a Caravaggio (BG) il 24 maggio. L’evento è stato organizzato da WeAreProject, ecosistema di imprese tecnologiche verticalizzate, system integrator e advisory che sfrutta le sinergie di gruppo proprio per sostenere la trasformazione digitale delle organizzazioni di business, puntando specialmente sugli ambiti dell’hybrid cloud, del modern workplace, della sostenibilità e, per l’appunto, della cybersicurezza.
I lavori sono stati aperti da Valeria Mauri e Massimo Brugnoli, rispettivamente Marketing Director e Business Unit Cyber Security Manager di WeAreProject, che hanno ricordato la missione e gli obiettivi del gruppo. «Con più di 30 anni di esperienza sul mercato e forti delle competenze di otto imprese – 3p Technologies, Ates Informatica, Converge, Personal Data, Project Adriatica, Sinthera, Extraordy – legate alla capofila Project Informatica, presidiamo l’intero territorio italiano», ha affermato Valeria Mauri, precisando che con un fatturato consolidato di Gruppo di circa 380 milioni di euro e 7500 clienti, attualmente il gruppo cresce anno su anno a un tasso più veloce della media del comparto Ict. «Vantiamo inoltre un centinaio di partnership e certificazioni tecnologiche – di cui oltre 40 ai massimi livelli – che ci aiutano ad affrontare i settori su cui abbiamo sviluppato le maggiori Tcompetenze: Manifacturing, Finance, Telecommunications , e Public Sector», ha aggiunto Brugnoli.
Who's Who
Valeria Mauri
Marketing Director di WeAreProject
Who's Who
Massimo Brugnoli
Business Unit Cyber Security Manager di WeAreProject
La nuova sfida di WeAreProject è quella della Corporate social responsibility: la prima pubblicazione del bilancio di sostenibilità è del 2021, e mentre si sta chiudendo in questi giorni quello relativo al 2022 il gruppo è impegnato nella gestione delle iniziative programmate per il 2023, che contemplano un piano di volontariato di impresa e la vicinanza agli istituti scolastici del territorio.
«L’importanza che il nostro ecosistema attribuisce alla sostenibilità come parte integrante della propria attività e dell’impegno a lungo termine nei confronti dell’ambiente e della società trova continuamente concretezza anche nell’ordinarietà del nostro business», ha precisato Valeria Mauri. «L’evento, grazie alla collaborazione con Rete Clima, è stato completamente compensato sul piano dell’impatto climatico grazie all’analisi di tutte le attività collegate, dalla progettazione al catering, passando per la mobilità dei partecipanti, allo scopo di quantificarne l’impronta carbonica e neutralizzarla. L’azione di compensazione è realizzata tramite l’annullamento di un numero di crediti di carbonio, certificati secondo lo standard Verra, pari al valore dell’impronta di carbonio dell’evento stesso. I crediti di carbonio sono confluiti nel Progetto Redd Rio Anapu-Pacaja, che consiste nella conservazione di 165.707 ettari di foresta amazzonica in una regione critica del Brasile».
Brugnoli, moderatore dell’evento, ha quindi dato il via al dibattito invitando sul palco Alessandro Piva, Direttore dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, che ha fornito un quadro d’insieme sullo scenario italiano. «C’è in generale una crescita dell’aspettativa di spesa in soluzioni e tecnologie», ha esordito Piva, sottolineando come nel 2022 il 61% delle imprese abbia dichiarato di voler incrementare il proprio budget in cybersicurezza. «Scorporando il dato, una novità che balza all’occhio è senz’altro il maggior interesse della media impresa, storicamente più riluttante a investire su questo fronte. Si punta soprattutto a servizi professionali e gestiti, con l’obiettivo di delegare la complessità dell’IT management a partner esterni. «La spinta», ha continuato Piva, «arriva soprattutto dall’evoluzione dello scenario geopolitico, dallo skill shortage, dall’aumento di filiere sempre più digitalmente interconnesse e, non ultimo dal giro di vite impresso da normative nazionali e regolamenti internazionali. Ma non bisogna sottovalutare l’esperienza diretta: il 67% delle organizzazioni ha registrato un aumento degli attacchi, e il 14% delle aziende che ne hanno subito uno riportano conseguenze sulle performance operative e danni reputazionali».
La NIS2, una chance per aumentare consapevolezza e sicurezza delle filiere
La prima tavola rotonda, intitolata «2023, come muta la Cyber Security: un fronte comune per le crescenti sfide», ha preso di petto gli spunti di riflessione condivisi da Piva. Tanto per cominciare, si è valutato il potenziale impatto della direttiva NIS2, che amplia il numero dei settori economici considerati critici, accrescendo così la platea di imprese che dovranno garantire la resilienza informatica delle proprie attività.
Il panel riunito da WeAreProject ha definito il framework un’opportunità per potenziare la sicurezza delle filiere grazie a una gestione strutturata dei rischi operativi e degli strumenti di business continuity. Non si tratta soltanto di proteggere meglio la catena del valore, ma anche di creare di modelli che aiuteranno a standardizzare l’industria rispetto alla capacità di reagire agli attacchi.
I rischi informatici, infatti, continuano a evolversi, e le soluzioni devono cambiare di conseguenza tenendo anche presente lo stato effettivo delle infrastrutture in servizio: alcune infatti sono cresciute troppo in fretta, stratificandosi e in qualche caso portando a sottovalutare il fatto che ogni componente necessita di una gestione peculiare.
Le parole chiave da ricordare sono, in questo senso, semplificazione e policy, a cui deve necessariamente affiancarsi una nuova cultura della security, da diffondere a tutti i livelli aziendali. La NIS2 potrà contribuire in modo significativo a questa evoluzione, visto che di fatto obbliga le figure apicali delle aziende a scendere in campo e conoscere da vicino le problematiche del mondo cyber.
Riportare il dibattito sulla centralità della persona
Nella seconda tavola rotonda, «Cyber Security per le imprese del territorio: pura necessità o grande opportunità? – Dalla gestione del fattore umano, alle filiere sempre più interconnesse», ci si è focalizzati soprattutto sull’impatto che lo skill gap ha sulla postura di sicurezza delle organizzazioni, evidenziando come l’80% dei data breach, a livello mondiale, sia generato proprio dall’assenza di competenze. E in Italia non va di certo meglio, se l’indice DESI ci posiziona al 17esimo posto in Europa per gli sforzi sostenuti nell’attuazione dell’Agenda Digitale e addirittura al 25esimo in termini di capitale umano.
Nel momento in cui si arriva alla consapevolezza che la security di un’intera filiera dipende dalla forza dell’anello più debole della catena, e che la sua resilienza complessiva non è una semplice somma algebrica, bensì una funzione più complessa e variabile, si dovrebbe dunque tornare a concentrare il dibattito sulla centralità della persona, introducendo in azienda anche approcci legati al risk adaptive process e assegnando rating specifici a ciascun utente, in base al comportamento che adotta sul fronte della cybersicurezza. In questo senso, gli strumenti digitali di monitoraggio del lavoro, spesso osteggiati da dipendenti e sindacati, non dovrebbero essere visti come una minaccia alla privacy, ma (implementati secondo le disposizioni di legge) come uno strumento al servizio dell’organizzazione, fondamentale per salvaguardare l’integrità del business e di conseguenza gli stessi lavoratori.
Naturalmente non bisogna mai dimenticare l’importanza della formazione continua, anche con il supporto di piattaforma adattative basate sul machine learning, né sottovalutare l’apporto che possono dare soluzioni di Privileged access management, considerate una priorità da Gartner dall’ormai lontano 2018 e ancora troppo poco utilizzate (con un tasso del 30%) nelle imprese italiane.
Fattore umano e tecnologico: le due facce della medaglia dei Managed Services
I lavori del summit si cono chiusi con il confronto tra i partecipanti alla roundtable intitolata «La tecnologia, i talenti, i Managed Services: tre fattori chiave della security – Make or buy strategico per una vera cyber resilience», dove è emersa la necessità di soluzioni tecnologiche, primariamente in cloud, che offrano una sicurezza intrinseca a livello sia di applicativo che di architettura, facendo leva su modelli che consentano all’infrastruttura di adattarsi di volta in volta alle specifiche esigenze di sicurezza di ciascuna applicazione.
D’altra parte, le tecnologie devono servire anche ad aiutare le persone a coltivare competenze e consapevolezza, visto che, quando si parla di cyber resilience, strumenti e talenti sono due facce della stessa medaglia. Si possono anche adottare soluzioni best of breed, ma se non c’è un gruppo di individui in grado di sfruttarle al meglio, con tutto ciò che questo significa in uno scenario di evoluzione continua e rapidissima delle tecnologie, gli investimenti risulteranno vani.
Ed è qui che entrano in gioco i servizi gestiti, come quelli offerti da WeAreProject. Sul piano della cybersicurezza, i managed services dedicati al monitoraggio delle infrastrutture (e non solo) consentono di sviluppare un approccio proattivo, grazie al quale è possibile individuare tempestivamente minacce e anomalie prima che si trasformino in disservizi. Un SOC (Security Operation Center) nelle mani di professionisti con competenze certificate è in grado di identificare potenziali iniziative di attacco e, a seconda della gravità del rischio riscontrato, far partire azioni di response prima e di remediation poi. «Coniugando avanzati strumenti di incident response e competenze maturate sulla gestione di data center», ha chiosato Massimo Brugnoli, «riusciamo a gestire in autonomia sia la fase di security sia quella di ripartenza dei sistemi, tenendo ovviamente presente che non c’è una Cyber Security identica per tutte le imprese, ma che per ogni organizzazione bisogna sviluppare un percorso customizzato. Anche i vendor tecnologici, del resto, sanno bene che non esiste un prodotto che risolva tutto: la chiave del successo sta nella creazione di sinergie».