Come cambia la gestione delle policy di sicurezza IT nel quadro dell’evoluzione del business verso una nuova agilità competitiva? La digital transformation impone di ripensare la security in toto, ridefinendo i tradizionali paradigmi organizzativi oltre che le metodologie di controllo dell’IT, per garantire che il sistema di gestione della sicurezza delle informazioni (ISMS, Information Security Management System) sia coerente con le nuove necessità che il business digitale impone.
In particolare, è l’oggettivo emergere di due aspetti chiave a rendere evidente che, oggi, continuare ad applicare, soltanto e senza distinzioni, le pratiche di sicurezza convenzionali e consolidate non è più sufficiente, e spesso nemmeno fattibile.
Il primo è un problema di ruoli e riguarda i casi di esautorazione della direzione IT centrale di un’organizzazione nel processo decisionale: ciò si manifesta ogni volta che i responsabili del business chiedono a gran voce una crescente autonomia nelle iniziative di dispiegamento delle nuove tecnologie e servizi digitali. Il secondo, invece, è un problema di volume e nasce dall’enorme incremento del numero di elementi da tenere sotto controllo: sistemi IT, dispositivi IoT (Internet of Things), sofisticate interconnessioni di applicazioni e servizi. Questo insieme di elementi porta inevitabilmente alla luce i limiti dei classici meccanismi di controllo e i loro problemi di scalabilità che, alla fine, li fanno collidere con gli irrinunciabili principi di business agility.
Oltre le IT operations: proteggere le sole informazioni non basta
Nella definizione di un programma di sicurezza, sottolinea l’analista di mercato Gartner, il punto di partenza è lo sviluppo di un quadro di riferimento comprensibile dalle persone di business, utilizzabile come base nelle attività di pianificazione strategica. La maggior parte delle organizzazioni, infatti, tende a sviluppare un’impostazione iniziale del sistema ISMS basata unicamente sugli standard e framework esistenti, come ad esempio ISO/IEC 27001. Tuttavia, nel far questo, un punto chiave è anche personalizzare il modello ISMS di base, complementandolo con i fattori di business, tecnologici e di rischio, specifici della propria organizzazione. E senza dimenticare che il paradigma del digital business comprende rischi inediti, che travalicano le IT operation, estendendosi all’intera impresa e al suo ecosistema.
Nella trasformazione digitale, non è più sufficiente adottare modelli tradizionali di protezione come il CIA (confidentiality, integrity, availability), che si limita alla protezione delle informazioni e risulta inadatto a soddisfare gli attuali requisiti dei sistemi cyberfisici. Questi ultimi nascono dalla capacità del processo di digitalizzazione di fondere i sistemi IT – per la gestione di dati e informazioni – con i sistemi e le tecnologie OT (operational technology) adibiti al controllo delle infrastrutture materiali. Tutto questo scarica sui programmi di protezione una responsabilità che non riguarda più solo la security, ma si estende anche alla safety, ossia alla sicurezza fisica, sia delle persone, sia degli ambienti nei quali operano.
Stabilire un ecosistema di fiducia e resilienza
L’imperativo di andare oltre la considerazione dei rischi IT e focalizzarsi sui rischi operativi, impone di applicare i principi di fiducia e resilienza all’intero ecosistema aziendale, fatto non solo di tecnologia, ma anche di persone, processi e funzioni aziendali. Poiché la tecnologia da sola non basta a proteggere gli individui e l’impresa, diventa fondamentale instaurare consapevolezza e responsabilità sulla safety a tutti i livelli, attraverso un processo di formazione continua.
Un’altra linea guida è creare il supporto per una strategia IT bimodale, dove gli specialisti di sicurezza e gestione dei rischi lavorino allo stesso tavolo con i responsabili dell’IT e del business, per valutare la fattibilità e i rischi dei nuovi progetti digitali innovativi, senza tuttavia trascurare i rischi intrinseci nelle modalità operative tradizionali.
Inoltre, essendo il digital business uno spazio inesplorato, le organizzazioni per avere successo dovranno battere nuovi sentieri e, per essere resilienti, dovranno andare oltre gli schemi e le situazioni ordinarie, immaginando di dover reagire a circostanze inedite ma plausibili. Infine, in un contesto in cui occorre proteggere risorse che la direzione IT non possiede o non controlla più interamente – come i servizi cloud based o le applicazioni mobile – il compromesso, in questa nuova IT decentralizzata, si gioca su quanto rischio le varie business unit aziendali sono disposte ad accettare e su quanto sono disposte a pagare per mitigarlo. In definitiva, l’obiettivo resta creare un ecosistema in grado di bilanciare l’imperativo di proteggere l’impresa con l’esigenza di adottare approcci tecnologici innovativi e rischiosi per riuscire a rimanere competitivi.
Adattare i meccanismi di security
Un approccio basato sul rischio implica comprendere quali sono i maggiori pericoli che l’impresa dovrà affrontare, per stabilire le priorità e gli investimenti in tecnologie e servizi ICT e sicurezza che permettono di raggiugere i risultati di business. Con la crescente complessità tecnologica, la limitatezza dei budget e l’impossibilità di proteggersi in egual misura da tutte le minacce, un approccio risk based è l’unico che consente d’indirizzare gli investimenti di cybersecurity laddove emergono i maggiori rischi operativi.
In aggiunta, la strategia di security non deve proteggere solo l’infrastruttura ma i risultati di business: quindi, nel caso di un’impresa, le sue performance e la sua profittabilità. In questo processo, i professionisti dell’IT e della security devono agire come facilitatori, quindi continuare a investire in tecnologia, cybersecurity tradizionale e attività di mantenimento della disponibilità delle operation laddove si rivela ancora appropriato, ma al contempo favorire lo sviluppo del digital business attraverso l’adozione di programmi di cybersecurity e gestione dei rischi dotati di controlli più fluidi, agili e adattabili.
Anche concentrare i controlli sulla comprensione di come i grandi volumi di informazioni eterogenee fluiscono attraverso i processi aiuta a rafforzare la resilienza aziendale e a supportare il raggiungimento dei risultati desiderati, proteggendo in maniera appropriata i processi di business più critici. Altrettanto importante è motivare in modo opportuno le persone, che possono diventare gli anelli chiave della strategia di security, facendo leva sul senso di responsabilità e fiducia di ciascuno piuttosto che sull’obbligo di eseguire degli ordini. Infine, le organizzazioni devono saper individuare un ambiente IT compromesso e reagire con rapidità, potenziando i propri team non solo assumendo personale tecnicamente preparato, ma anche capace di andare oltre il modo di pensare convenzionale.