Periodo di crescita del fenomeno cybersecurity, quello che stiamo vivendo, con molti dubbi da fugare e scelte da prendere. E mentre l’azienda tituba, nel confronto internazionale le sue difficoltà aumentano.
Di questo si è occupato l’Axis Cybersecurity Summit 2023, evento dedicato alla cybersecurity nei sistemi di sicurezza fisica, patrocinato dalle associazioni AIPSA e ANIE Sicurezza e svoltosi in cogestione su Roma e Milano.
Analisi del defencing debt
Sofia Zhou, Axis Solution Knowledge Manager, ha presentato un’indagine di Thoughtlab del 2021 che mostra come la sicurezza informatica sia giunta a un inflection point critico nella gestione del debito di difesa complessivo. L’indagine, che ha coinvolto 1.200 organizzazioni mondiali operanti in 14 settori, presenta una lista di punti che può essere ridotta a due blocchi da tre, uno che descrive la realtà delle aziende e uno che indica le vere nuove sfide. La necessità di operare sull’intera filiera evidenzia la necessità di una collaborazione tra le parti in continuo movimento verso i migliori risultati. Ma procediamo con ordine.
Le sfide: variabilità e organizzazione
Sta emergendo una serie di sfide -tra di loro annodate- che renderanno il panorama della cybersecurity più rischioso e complesso da gestire.
La cybersecurity è passata da problema informatico a sfida centrale per la gestione dei rischi e delle prestazioni aziendali, richiedendo di conseguenza la massima attenzione da parte del management. È quindi chiaro perché il settore si trovi attualmente di fronte a una svolta cruciale. Seguendo il citato studio proposto da Axis, abbiamo voluto identificare due macro-componenti, la variabilità e la riorganizzazione.
La variabilità comprende tre elementi: digitale, tecnologie e volatilità, tutte in accelerazione.
La riorganizzazione è spinta da tre scontri: tra fisico e digitale, tra sistemi ed ecosistemi, tra norme vecchie e nuove.
In questo scenario, si intuisce quindi facilmente che la sicurezza informatica non può che rappresentare una priorità per le aziende di ogni settore. In realtà è evidente che le aziende sono generalmente impreparate, forse per la confusione nel passaggio al platform model. La soluzione potrebbe essere trovata in una nuova governance: “Quello che appare premiante, nella scelta di un fornitore di sicurezza informatica, è un adeguato modello organizzativo che preveda chiare responsabilità e procedure”, ha dichiarato Roberto Setola, Professore Ordinario all’Università Campus Bio-Medico di Roma.
Italiani, non piangetevi addosso!
Nel corso della sessione, Baldvin Gislason Bern, Software Security Group Axis, ha espresso un’interessante osservazione riguardo alla regolamentazione e alla normativa nel campo della sicurezza informatica. “La normativa non mi sembra così astrusa come viene spesso descritta; inoltre, in Italia esistono competenze adeguate per affrontare queste sfide”. è un chiaro invito a rimboccarsi le maniche e sfruttare le risorse che abbiamo, magari non sempre adeguate ma comunque non trascurabili.
“Non trovo corretto – ha proseguito Baldvin – enfatizzare l’elevato numero di piccole aziende, come se accadesse solo in Italia. È importante superare questa mentalità e guardare a quanto avviene in altri mondi, ad esempio nel mondo delle app per gli smartphone. Anche in quel settore ci sono numerose piccole imprese che operano con successo e ottengono profitti significativi, ciascuna con un suo profilo e una lista di debolezze, ma le grandi aziende leader sì prendono cura delle fasi mancanti nella loro catena di fornitura”.
Lo stesso principio potrebbe applicarsi anche al settore della sicurezza informatica. “Negli Stati Uniti, le grandi aziende tecnologiche sono andate oltre e hanno adottato misure più avanzate rispetto all’Europa. Ad esempio, con l’introduzione del GDPR, ora è possibile infliggere multe molto elevate, che rendono i dirigenti più sensibili alla questione della sicurezza informatica. Questo ha portato a una maggiore sensibilizzazione sulla sicurezza informatica nel mondo in generale ed anche NIS2 ha seguito questa strada”. Tuttavia, è importante che queste multe non vengano applicate indiscriminatamente. Si potrebbe considerare l’idea di imporre multe solo alle grandi aziende, così da stabilire una giusta proporzione e responsabilità tra le diverse realtà aziendali.
Le certificazioni e l’audit
Parlando dello scontro tra vecchio e nuovo, al confine tra piattaforme e preparazione è spuntata una domanda. “Ma i tuoi fornitori sono preparati?”. Questo bisogna chiedersi, secondo Setola, prima di partecipare alle gare. In genere viene richiesta la certificazione 27001 che però è obbligatoria solo nel 30% dei casi: più l’azienda committente è avanzata tecnologicamente o -come si dice adesso- ha una cyberpostura superiore, meno la certificazione è determinante. L’aspetto è sottile: la certificazione è una misura statica, una foto scattata con quadro fisso in un passato magari anche recente, ma comunque andato. Le grandi aziende, invece, sono in grado di fare autonomamente un audit diretto e continuo delle competenze, affrontando il defencing debt in modo più corretto. Ovviamente la certificazione è sempre più una garanzia per le piccole aziende. In qualche modo sta seguendo quanto è già successo all’università.