Il panorama della cybersecurity aziendale si trova oggi ad affrontare una fase di trasformazione profonda, definita da una “incertezza imprevedibile” che costringe le grandi organizzazioni a rivedere radicalmente la gestione delle proprie risorse.
Durante il convegno “Cybersecurity: immaginare l’imprevedibile”, organizzato dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, Daniele Sangion (CISO/CSO & Head of Digital Transformation Office presso Unicredit Bank Austria) ha delineato una roadmap per orientarsi in questo contesto evolutivo.
Intervenuto sulla necessità per le grandi imprese di concentrare sforzi economici e di tempo (risorsa scarsa per tutti) Sangion ha identificato tre pilastri fondamentali su cui lavorare: l’organizzazione e la governance, l’intelligenza artificiale con le nuove tecnologie, e un approccio industriale al monitoraggio e agli investimenti.
Indice degli argomenti
L’evoluzione del CISO e la convergenza tra sicurezza fisica e digitale
Il primo punto focale per una corretta strategia di cybersecurity aziendale riguarda la struttura organizzativa. Secondo Sangion, le grandi aziende devono prevedere un’evoluzione del ruolo del CISO verso una dimensione più trasversale e onnicomprensiva. Questa necessità nasce dalla natura stessa delle minacce attuali, che non colpiscono più compartimenti stagni dell’infrastruttura.
Sangion sottolinea come oggi sia indispensabile integrare diverse competenze sotto un’unica visione di sicurezza: «Oggi gli attacchi sono molto più spesso trasversali… c’è un tema di attacco digitale che può avere un impatto fisico o viceversa, e c’è un tema anche di cybercrime molto importante».
Questa visione evoluta porta a considerare la sicurezza non solo come protezione dei dati, ma come un ecosistema che include la physical security, l’antifrode e la resilienza.
Il cambiamento di paradigma è evidente nel passaggio dalle priorità del passato a quelle odierne: se in precedenza l’attenzione era focalizzata quasi esclusivamente su data breach e conformità al GDPR, l’attuale priorità per la cybersecurity è diventata la capacità di garantire la continuità operativa.
Dalla protezione del dato alla resilienza operativa
L’impatto più critico per un’azienda moderna non è più soltanto la perdita di informazioni, ma il blocco totale dei servizi. Sangion evidenzia che «l’evoluzione è più sulla resilience. Qual è l’impatto più devastante? È proprio il tema di stoppare dei servizi, quindi il tema della resilience diventa molto preoccupante». Un attacco fisico o digitale che compromette l’operatività aziendale rappresenta oggi la minaccia principale da gestire attraverso una postura di sicurezza governata centralmente.
Governance e gestione del rischio
Per una grande impresa che opera in diverse aree geografiche, la cybersecurity aziendale presenta sfide di coordinamento uniche. Il problema centrale risiede nel mettere a sistema e governare la postura di sicurezza di società controllate che possono trovarsi a livelli di maturità tecnologica e organizzativa completamente differenti tra loro.
La gestione delle terze parti emerge come uno degli elementi di maggiore vulnerabilità. Sangion identifica questo ambito come il punto critico della catena difensiva: «Il famoso anello debole è qui, e anche qui il tema è, con un approccio basato sul rischio, andare a misurare la postura di sicurezza di tutte le diverse aziende che hai nel tuo gruppo fino ad arrivare alle terze parti che purtroppo abbiamo visto essere ancora un rischio molto rilevante».
Il monitoraggio non può quindi limitarsi al perimetro interno dell’azienda, ma deve estendersi a tutta la filiera attraverso un servizio end-to-end e una governance strutturata che permetta di avere una visione d’insieme dei rischi.
L’impatto della GenAI e il rischio di una nuova Shadow IT
Il secondo pilastro della strategia proposta da Sangion riguarda l’adozione dell’intelligenza artificiale generativa (GenAI) e delle nuove tecnologie. Esiste un parallelismo storico tra quanto accaduto in passato con la Shadow IT e quello che sta avvenendo oggi con l’intelligenza artificiale.
In passato, il business tendeva a implementare soluzioni informatiche in autonomia, scavalcando i processi di controllo centralizzati. Oggi, la sfida per la cybersecurity aziendale è evitare che la GenAI segua lo stesso percorso di sviluppo incontrollato. La domanda cruciale che le organizzazioni devono porsi è: «In che modo la sicurezza riuscirà a essere ai tavoli per governare questo aspetto?». La funzione sicurezza deve quindi essere parte integrante del processo decisionale sin dalle fasi iniziali dell’adozione tecnologica per garantire che l’innovazione non si traduca in nuove vulnerabilità.
Verso un approccio industrializzato agli investimenti in sicurezza
L’ultimo elemento cardine per una gestione efficace della cybersecurity aziendale è l’adozione di un metodo rigorosamente industriale per quanto riguarda il monitoraggio e l’allocazione delle risorse. Non è possibile investire in modo indiscriminato; è necessario un criterio scientifico basato sui dati.
Questo approccio si fonda sull’utilizzo sistematico di indicatori di performance e di rischio:
- KPI (Key Performance Indicators) per misurare l’efficacia delle azioni intraprese.
- KRI (Key Risk Indicators) per identificare preventivamente le aree di maggiore esposizione.
Sangion è categorico sull’importanza di legare questi parametri alla strategia complessiva dell’impresa: «Se non hai un metodo strutturato che li riporti anche tra gli obiettivi aziendali, diventa poi difficile investire nel modo corretto». Un approccio industrializzato significa, in ultima analisi, monitorare costantemente le analisi di rischio e calibrare gli investimenti in termini di persone e costi sulla base della postura di sicurezza effettiva e dei pericoli reali che l’organizzazione sta monitorando.
Un nuovo paradigma per la sicurezza d’impresa
La visione proposta da Daniele Sangion delinea un modello di cybersecurity aziendale che supera la dimensione puramente tecnica per diventare una funzione strategica di business. La capacità di immaginare l’imprevedibile risiede nella creazione di una struttura capace di adattarsi rapidamente, dove la sicurezza fisica e quella digitale convergono per proteggere non solo i dati, ma la capacità stessa dell’azienda di operare e produrre valore.
La governance end-to-end, l’integrazione della sicurezza nei processi di adozione della GenAI e la misurazione oggettiva del rischio lungo tutta la catena del valore (comprese le terze parti) rappresentano i passaggi obbligati per navigare l’incertezza del panorama attuale. Solo attraverso un metodo strutturato e industrializzato è possibile trasformare la cybersecurity da centro di costo a pilastro della resilienza organizzativa.
FAQ: Cybersecurity
Che cos’è la cybersecurity e quali sono i suoi principali elementi?
La cybersecurity, o sicurezza informatica, è un campo in continua evoluzione che si occupa di proteggere sistemi, reti, dati e informazioni digitali da accessi non autorizzati, uso improprio, divulgazione e distruzione di informazioni. Si basa su una combinazione di tecnologie, processi e best practice per proteggere i sistemi informatici. La cybersecurity è più di un insieme di strumenti: è un ecosistema complesso che integra tecnologia, processi e responsabilità umana, rappresentando una vera e propria strategia complessiva, un equilibrio tra innovazione tecnologica e responsabilità umana.
Quali sono le principali minacce alla cybersecurity?
Le minacce alla cybersecurity sono in continua evoluzione e diventano sempre più sofisticate. Tra le principali minacce troviamo gli attacchi digitali intenzionali che crescono significativamente in termini sia di diffusione sia di sofisticazione, con conseguenti difficoltà di individuazione e contrasto. Particolarmente rilevanti sono le APT (Advanced Persistent Threats), minacce tenaci che possono celarsi in una rete per diverso tempo prima di ottenere l’accesso e prelevare le informazioni desiderate. Altri attacchi comuni includono il ransomware, particolarmente pericoloso per le piccole realtà, che può causare non solo danni diretti legati alla perdita dei dati, ma anche ingenti danni di immagine e blocco totale dell’operatività per settimane o addirittura mesi.
Quali sono i ruoli chiave nella gestione della cybersecurity aziendale?
Nella gestione della cybersecurity aziendale, due ruoli fondamentali sono il CIO (Chief Information Officer) e il CISO (Chief Information Security Officer). Il CIO ha visione e responsabilità più ampie, a 360 gradi, dalla infrastruttura ICT agli ambiti applicativi, dagli utenti ai fornitori ICT. Il CISO, invece, ha una responsabilità e specializzazione verticale sulla sicurezza informatica. Tra i principali compiti del CISO troviamo: definire e far rispettare la normativa di sicurezza dell’azienda, prevenire e individuare eventuali debolezze, reagire con prontezza a qualsiasi incidente di cybersicurezza, nonché formare l’organizzazione in materia di sicurezza informatica. La collaborazione efficace tra CIO e CISO è essenziale per rendere sicuro, affidabile e resiliente il sistema informativo aziendale.
Quali metriche dovrebbe monitorare un CISO per valutare l’efficacia della cybersecurity?
Un CISO dovrebbe monitorare KPI specifici suddivisi in tre aree principali: inventario degli asset, gestione delle vulnerabilità e quantificazione del rischio informatico. È fondamentale legare le metriche di sicurezza a quelle di business, traducendo il linguaggio tecnico della sicurezza in termini comprensibili per il business. I CISO dovrebbero concentrarsi su metriche che parlino di costi e rischi in termini economici, focalizzandosi sui risultati per comunicare chiaramente come gli investimenti in sicurezza portino a riduzioni misurabili del rischio. Non si tratta di scegliere tra metriche operative e aziendali, ma di identificare metriche che colleghino i risultati operativi della sicurezza alla mission aziendale.
Come possono le aziende affrontare la carenza di competenze specialistiche in cybersecurity?
Per affrontare la carenza di competenze specialistiche in cybersecurity, le aziende possono adottare diverse strategie. Una soluzione è il ricorso al “temporary management” per i ruoli di CIO e CISO, portando valore aggiunto grazie all’esperienza maturata in diverse organizzazioni. Un’altra opzione è l’utilizzo di MSS (Managed Security Services) per la terziarizzazione della gestione operativa della sicurezza digitale, erogata da consulenti o aziende specializzate, e i CSaaS (CyberSecurity as a Service), erogati in cloud. Queste soluzioni sono particolarmente efficaci per le piccole e micro-organizzazioni dove mancano competenze interne specifiche. È importante anche investire nella formazione continua delle persone, trasformando la sicurezza da costo percepito a leva di resilienza.
Quali sono le opzioni formative disponibili per chi vuole specializzarsi in cybersecurity?
Per chi vuole specializzarsi in cybersecurity, esistono numerosi corsi online sia gratuiti che a pagamento, adatti a diversi livelli di competenza: neofiti, profili intermedi e avanzati. Questi corsi sono raccomandati da esperti del settore e possono essere utili per studenti di informatica, imprenditori e professionisti della sicurezza che puntano a perfezionare le competenze e ad arricchire il proprio percorso di carriera. Oltre alla formazione, è importante considerare anche le certificazioni individuali con validità internazionale, come quelle relative al framework e-CF (European Competence Framework), che possono qualificare le competenze necessarie per ruoli come CIO e CISO, in continua evoluzione data la parallela evoluzione delle tecnologie informatiche e dei processi aziendali.
Quali sono le tendenze emergenti nel campo della cybersecurity?
La cybersecurity è un campo in continua evoluzione, con nuove tecnologie e minacce emergenti che pongono sfide sempre maggiori. Tra le tendenze emergenti si nota una crescente attenzione verso un approccio di cybersecurity end-to-end che comprende protezione dei dati, gestione delle identità digitali, sicurezza infrastrutturale, DevSecOps e formazione continua delle persone. Si osserva anche un aumento dell’utilizzo di servizi gestiti come MSS (Managed Security Services) e CSaaS (CyberSecurity as a Service), particolarmente utili per le organizzazioni che non dispongono di competenze interne specifiche. La gestione delle vulnerabilità si è inoltre estesa oltre le tradizionali vulnerabilità software (CVE) per includere problemi di accesso e configurazioni errate, con particolare attenzione alle configurazioni errate del cloud, aspetto critico per molte organizzazioni nel loro percorso di migrazione alla nuvola.
Come si può sviluppare una strategia di sicurezza informatica efficace a livello aziendale?
Per sviluppare una strategia di sicurezza informatica efficace a livello aziendale, è fondamentale adottare un approccio integrato che unisca tecnologie, normative e valorizzazione delle persone. È essenziale la collaborazione efficace tra CIO e CISO, con una chiara definizione dei ruoli e delle responsabilità. La strategia dovrebbe includere la definizione e l’applicazione di normative di sicurezza, la prevenzione e individuazione di debolezze, la capacità di reagire prontamente agli incidenti e la formazione continua dell’organizzazione. È importante anche collegare le metriche di sicurezza a quelle di business, traducendo il linguaggio tecnico della sicurezza in termini comprensibili per il management aziendale. La cybersecurity dovrebbe essere vista non come un mero costo, ma come un investimento per garantire la resilienza dell’organizzazione di fronte alle minacce informatiche in continua evoluzione.
