L’attuale scenario globale impone alle aziende una profonda riflessione su come proteggere i propri asset in un mondo caratterizzato da cambiamenti repentini.
Durante il convegno “Cybersecurity: immaginare l’imprevedibile”, organizzato dall’Osservatorio Cybersecurity & Data Protection, Stefano Vercesi, Head of Information Security di Pirelli, ha delineato i contorni di una strategia cybersecurity industriale moderna.
L’intervento ha messo in luce come la sicurezza informatica non sia più una questione confinata ai soli reparti IT, ma rappresenti un pilastro fondamentale per la resilienza dell’intero ecosistema aziendale.
Vercesi sottolinea come la funzione di sicurezza sia oggi sollecitata da una complessità crescente, che richiede di guardare oltre il perimetro tecnologico. Secondo il responsabile di Pirelli, «la cybersecurity, se c’era ancora bisogno di dimostrarlo, è posizionata all’interno di un crocevia di discipline e tematiche molto diverse: quindi si va dalla geopolitica all’importanza per il business, agli aspetti di compliance, alle nuove tecnologie e aspetti di governance». Questa visione multidisciplinare permette di affrontare una sfida che riguarda aziende di ogni dimensione, siano esse fornitori o clienti finali, accomunate dalla necessità di gestire eventi che non seguono più traiettorie prevedibili.
Per una multinazionale come Pirelli, esposta su diverse aree geografiche, questa necessità diventa un prerequisito per la sopravvivenza e la crescita in un mercato globale instabile.
Indice degli argomenti
I pilastri della strategia cybersecurity industriale: business interruption e riservatezza
Mentre molti approcci si concentrano esclusivamente sull’adozione di tecnologie emergenti, Pirelli ha scelto un percorso basato sul consolidamento dei fondamentali. La costruzione di una strategia cybersecurity industriale efficace parte, secondo Vercesi, dall’identificazione dei rischi di business prevalenti che possono avere un impatto diretto sulla capacità produttiva e sul vantaggio competitivo dell’azienda.
In un settore industriale manifatturiero, le priorità sono chiare e si muovono lungo due direttrici principali:
- La business interruption, ovvero il rischio che un attacco informatico o un evento esterno possa fermare le linee di produzione.
- La riservatezza industriale, che riguarda la protezione dei processi di fabbricazione e della proprietà intellettuale.
Questi due elementi, definiti da Vercesi come «semplici rischi che però guidano tutta la nostra strategia», rappresentano la base su cui viene costruito ogni intervento di mitigazione.
Nonostante la semplicità concettuale, la loro protezione richiede un framework di controllo estremamente rigoroso, che deve rimanere costante nei suoi principi cardine ma evolvere rapidamente nelle sue applicazioni pratiche. Il dinamismo della realtà esterna obbliga infatti a un rinnovo continuo delle iniziative di controllo, garantendo che la postura di sicurezza sia sempre aderente alle minacce attuali.
Flessibilità operativa e gestione dei cicli temporali
Uno dei maggiori ostacoli alla sicurezza nelle grandi organizzazioni è rappresentato dalla rigidità strutturale legata a budget, contratti a lungo termine e progettualità elefantiache. Per garantire l’elasticità necessaria a fronteggiare uno scenario che muta quotidianamente, la strategia cybersecurity industriale di Pirelli prevede una revisione dei tempi di esecuzione.
Vercesi suggerisce la necessità di «accorciare i cicli, fare progetti più focalizzati, più brevi, contratti con i fornitori più ridotti in termini temporali che danno la possibilità di avere un diverso turnover».
Questo approccio permette all’azienda di predisporsi meglio al cambiamento, riducendo i vincoli tecnici ed economici che spesso impediscono una reazione tempestiva alle nuove minacce. L’agilità non è quindi solo una caratteristica tecnica dello sviluppo software, ma diventa una modalità di gestione dei rapporti con il mercato e con i partner tecnologici.
Pianificazione a doppio binario: tra operatività e megatrend
L’esecuzione pratica della strategia in Pirelli si articola su due orizzonti temporali paralleli e complementari. Il primo binario riguarda la pianificazione operativa, con un orizzonte di 1-3 anni. Questa fase è fondamentale per gestire i rischi emergenti di cui esiste già un track record concreto e per rispondere in modo efficace alle minacce che già lambiscono il perimetro aziendale.
Il secondo binario, più ambizioso, riguarda la pianificazione strategica a lungo termine. Il team guidato da Vercesi si concentra sui megatrend, ovvero quegli eventi di vasta scala che iniziano a manifestarsi all’orizzonte. Vercesi descrive questi fenomeni come «quei nuvoloni che vediamo arrivare da lontano e, proprio perché li vediamo arrivare da lontano, vuol dire che sono grandi e ci permettono di cominciare a ragionare in anticipo su questi eventi».
Il caso della sovranità digitale e della weaponization commerciale
Un esempio concreto di questa capacità di anticipazione riguarda la cosiddetta weaponization commerciale, ovvero l’utilizzo delle relazioni commerciali come strumento di pressione politica, strettamente legata al concetto di sovranità digitale. Già tre anni fa, il team di sicurezza di Pirelli si era interrogato sulle possibili conseguenze di una rottura degli equilibri tecnologici globali.
Le domande poste allora riguardavano scenari ipotetici ma di grande impatto: «Ma se un giorno il governo cinese vietasse l’utilizzo di soluzioni americane o israeliane sul proprio territorio, noi come potremmo reagire?». Una strategia che includa questa eventualità permette all’azienda di non farsi trovare impreparata.
La cultura del confronto come acceleratore di sicurezza
Nessuna azienda, per quanto strutturata e dotata di risorse come Pirelli, può sperare di affrontare isolata la complessità del panorama cyber attuale. L’elemento che agisce da acceleratore fondamentale per l’intera strategia cybersecurity industriale è identificato da Vercesi nel confronto costante.
Questo dialogo deve avvenire a più livelli:
- Con le autorità competenti, a partire dall’Agenzia per la Cybersicurezza Nazionale (ACN).
- Con il mondo accademico e della ricerca, come l’Osservatorio del Politecnico di Milano.
- Con i partner tecnologici e, soprattutto, con i peers di settore.
Lo scambio di esperienze e la partecipazione a gruppi di lavoro comuni permettono di «colmare il gap che da soli, nonostante siamo Pirelli, non possiamo sicuramente indirizzare». La collaborazione inter-aziendale e il rapporto con le istituzioni diventano quindi strumenti operativi per trasformare una visione strategica in una difesa concreta e resiliente. In questa prospettiva, la cybersecurity cessa di essere un costo o un obbligo di compliance per diventare una competenza distintiva, capace di proteggere non solo i dati, ma il futuro stesso del business industriale.
FAQ: Cybersecurity
Che cos’è la cybersecurity e quali sono i suoi principali elementi?
La cybersecurity, o sicurezza informatica, è un campo in continua evoluzione che si occupa di proteggere sistemi, reti, dati e informazioni digitali da accessi non autorizzati, uso improprio, divulgazione e distruzione di informazioni. Si basa su una combinazione di tecnologie, processi e best practice per proteggere i sistemi informatici. La cybersecurity è più di un insieme di strumenti: è un ecosistema complesso che integra tecnologia, processi e responsabilità umana, rappresentando una vera e propria strategia complessiva, un equilibrio tra innovazione tecnologica e responsabilità umana.
Quali sono le principali minacce alla cybersecurity?
Le minacce alla cybersecurity sono in continua evoluzione e diventano sempre più sofisticate. Tra le principali minacce troviamo gli attacchi digitali intenzionali che crescono significativamente in termini sia di diffusione sia di sofisticazione, con conseguenti difficoltà di individuazione e contrasto. Particolarmente rilevanti sono le APT (Advanced Persistent Threats), minacce tenaci che possono celarsi in una rete per diverso tempo prima di ottenere l’accesso e prelevare le informazioni desiderate. Altri attacchi comuni includono il ransomware, particolarmente pericoloso per le piccole realtà, che può causare non solo danni diretti legati alla perdita dei dati, ma anche ingenti danni di immagine e blocco totale dell’operatività per settimane o addirittura mesi.
Quali sono i ruoli chiave nella gestione della cybersecurity aziendale?
Nella gestione della cybersecurity aziendale, due ruoli fondamentali sono il CIO (Chief Information Officer) e il CISO (Chief Information Security Officer). Il CIO ha visione e responsabilità più ampie, a 360 gradi, dalla infrastruttura ICT agli ambiti applicativi, dagli utenti ai fornitori ICT. Il CISO, invece, ha una responsabilità e specializzazione verticale sulla sicurezza informatica. Tra i principali compiti del CISO troviamo: definire e far rispettare la normativa di sicurezza dell’azienda, prevenire e individuare eventuali debolezze, reagire con prontezza a qualsiasi incidente di cybersicurezza, nonché formare l’organizzazione in materia di sicurezza informatica. La collaborazione efficace tra CIO e CISO è essenziale per rendere sicuro, affidabile e resiliente il sistema informativo aziendale.
Quali metriche dovrebbe monitorare un CISO per valutare l’efficacia della cybersecurity?
Un CISO dovrebbe monitorare KPI specifici suddivisi in tre aree principali: inventario degli asset, gestione delle vulnerabilità e quantificazione del rischio informatico. È fondamentale legare le metriche di sicurezza a quelle di business, traducendo il linguaggio tecnico della sicurezza in termini comprensibili per il business. I CISO dovrebbero concentrarsi su metriche che parlino di costi e rischi in termini economici, focalizzandosi sui risultati per comunicare chiaramente come gli investimenti in sicurezza portino a riduzioni misurabili del rischio. Non si tratta di scegliere tra metriche operative e aziendali, ma di identificare metriche che colleghino i risultati operativi della sicurezza alla mission aziendale.
Come possono le aziende affrontare la carenza di competenze specialistiche in cybersecurity?
Per affrontare la carenza di competenze specialistiche in cybersecurity, le aziende possono adottare diverse strategie. Una soluzione è il ricorso al “temporary management” per i ruoli di CIO e CISO, portando valore aggiunto grazie all’esperienza maturata in diverse organizzazioni. Un’altra opzione è l’utilizzo di MSS (Managed Security Services) per la terziarizzazione della gestione operativa della sicurezza digitale, erogata da consulenti o aziende specializzate, e i CSaaS (CyberSecurity as a Service), erogati in cloud. Queste soluzioni sono particolarmente efficaci per le piccole e micro-organizzazioni dove mancano competenze interne specifiche. È importante anche investire nella formazione continua delle persone, trasformando la sicurezza da costo percepito a leva di resilienza.
Quali sono le opzioni formative disponibili per chi vuole specializzarsi in cybersecurity?
Per chi vuole specializzarsi in cybersecurity, esistono numerosi corsi online sia gratuiti che a pagamento, adatti a diversi livelli di competenza: neofiti, profili intermedi e avanzati. Questi corsi sono raccomandati da esperti del settore e possono essere utili per studenti di informatica, imprenditori e professionisti della sicurezza che puntano a perfezionare le competenze e ad arricchire il proprio percorso di carriera. Oltre alla formazione, è importante considerare anche le certificazioni individuali con validità internazionale, come quelle relative al framework e-CF (European Competence Framework), che possono qualificare le competenze necessarie per ruoli come CIO e CISO, in continua evoluzione data la parallela evoluzione delle tecnologie informatiche e dei processi aziendali.
Quali sono le tendenze emergenti nel campo della cybersecurity?
La cybersecurity è un campo in continua evoluzione, con nuove tecnologie e minacce emergenti che pongono sfide sempre maggiori. Tra le tendenze emergenti si nota una crescente attenzione verso un approccio di cybersecurity end-to-end che comprende protezione dei dati, gestione delle identità digitali, sicurezza infrastrutturale, DevSecOps e formazione continua delle persone. Si osserva anche un aumento dell’utilizzo di servizi gestiti come MSS (Managed Security Services) e CSaaS (CyberSecurity as a Service), particolarmente utili per le organizzazioni che non dispongono di competenze interne specifiche. La gestione delle vulnerabilità si è inoltre estesa oltre le tradizionali vulnerabilità software (CVE) per includere problemi di accesso e configurazioni errate, con particolare attenzione alle configurazioni errate del cloud, aspetto critico per molte organizzazioni nel loro percorso di migrazione alla nuvola.
Come si può sviluppare una strategia di sicurezza informatica efficace a livello aziendale?
Per sviluppare una strategia di sicurezza informatica efficace a livello aziendale, è fondamentale adottare un approccio integrato che unisca tecnologie, normative e valorizzazione delle persone. È essenziale la collaborazione efficace tra CIO e CISO, con una chiara definizione dei ruoli e delle responsabilità. La strategia dovrebbe includere la definizione e l’applicazione di normative di sicurezza, la prevenzione e individuazione di debolezze, la capacità di reagire prontamente agli incidenti e la formazione continua dell’organizzazione. È importante anche collegare le metriche di sicurezza a quelle di business, traducendo il linguaggio tecnico della sicurezza in termini comprensibili per il management aziendale. La cybersecurity dovrebbe essere vista non come un mero costo, ma come un investimento per garantire la resilienza dell’organizzazione di fronte alle minacce informatiche in continua evoluzione.
