L’impresa digitale, detta anche Industry 4.0, è un’impresa permanentemente connessa che lavora attivamente grazie all’uso integrato di un insieme di risorse tecnologiche che gestiscono e risolvono la maggior parte delle procedure, aiutando a costruire e potenziare le relazioni di business. Il problema è che l’impresa digitale per funzionare deve poter contare sulla massima continuità operativa ma la sicurezza digitale ancora non è percepita come l’altra faccia di quella medaglia chiamata business.
A raccontarlo èi Gartner i cui analisti stimano come da qui ai prossimi due anni il 25% del traffico dati aziendali fluirà direttamente all’esterno, dai dispositivi mobile, verso il cloud, bypassando i controlli di sicurezza enterprise.
Non solo: da qui a 60% dei business digitali soffrirà le maggiori avarie di servizi a causa dell’incapacità dei team di sicurezza IT di gestire il rischio digitale. Se la digital security è un tema che sale sempre più spesso alle cronache, cosa impedisce alle aziende di attivare strategie mirate e abbracciare vision più lungimiranti?
Impresa digitale: chi ha paura del cybercrime?
Un’impresa digitale investe nell’innovazione. Se non lo fa, che cosa la frena? Il budget? Il change management? La necessità di reperire nuovi talenti digitali di cui al momento il mercato è sprovvisto? Sorpresa: per 7 aziende su 10 la risposta è legata alle preoccupazioni associate alla gestione della sicurezza cibernetica. Gartner, intervistando personale non appartenente alla direzione IT, ha evidenziato come il 71% del panel affermi che le preoccupazioni riguardo alla cybersecurity stanno frenando l’innovazione all’interno delle organizzazioni.
Per evitare che questo accada sono richiesti cambiamenti sostanziali, non solo a livello tecnologico (non a caso si parla infatti di ragionare oltre la sicurezza di Livello 7), ma anche culturale e comportamentale. I responsabili della sicurezza diventano agenti di intelligence e consulenti fidati, capaci di gestire il rischio secondo un’accezione più ampia, caratterizzata dall’uso di una serie di tecnologie di monitoraggio e di controllo di tipo predittivo e proattivo ma anche di un certo realismo. Essere inviolabili, nell’era digitale, è impossibile. Secondo Gartner, le organizzazioni dovranno imparare a vivere con livelli accettabili di rischio digitale, poiché le business unit quando innovano scoprono solo in un secondo momento di quale livello di sicurezza hanno realmente bisogno e cosa si possono permettere di fare. In ogni caso, la focalizzazione su etica digitale, tecnologie analitiche e risorse umane sarà tanto importante quanto i controlli tecnici. Da qui al 2020, il 60% dei budget (rispetto a meno del 30% nel 2016) per la sicurezza delle informazioni aziendali sarà allocato allo sviluppo di approcci di rapida individuazione e risposta agli attacchi.
Quali sono le linee guida dell’impresa digitale
Gartner ha indentificato alcune aree strategiche su cui occorre concentrarsi per indirizzare con successo la cybersecurity nel digital business: Leadership & Governance, Nuove figure professionali e nuove vision e Digital Security.
1) Leadership & governance
Quando il business corre sui binari del digitale sviluppare e integrare strumenti tecnologici e competenze per far fronte ai rischi legati alla cybersecurity è importante. Le fasi chiave di un programma in grado di bilanciare l’esigenza di proteggere un’organizzazione con quella di gestire il suo business diventano:
- decisione
- definizione di priorità
- allocazione del budget
- attività di reporting
- trasparenza
- responsabilizzazione
In altri termini, la creazione di valore in un programma di cybersecurity sta evolvendo dalle semplici iniziative di difesa e protezione, per migrare verso strategie che supportano la resilienza e gli approcci basati sulla gestione del rischio. Una pratica comune per il consiglio d’amministrazione aziendale diventa richiedere un rapporto annuale sullo stato del rischio IT e della sicurezza delle informazioni.
2) Nuove figure professionali (e nuove vision)
L’impresa digitale ha bisogno di risorse capaci di capire non solo come funzionano i processi di business digitalizzati ma anche quali sono i rischi del business digitale che abbraccia una rete che non ha confini geografici e che può essere minacciata da qualsiasi punto di accesso e in qualsiasi momento. Gli analisti puntano i riflettori sul Digital Risk Officer, una nuova figura che si occuperà di indirizzare la mutevole natura di rischi e minacce negli ambienti IT, OT e IoT, come anche i problemi di safety nell’era del digital business.
In un contesto in cui i responsabili della sicurezza impiegano gran parte del tempo a gestire e far evolvere l’infrastruttura IT preesistente, i CIO stanno cominciando a concentrarsi sul cambiamento culturale imposto dall’evoluzione digitale del business e tutto ciò che comporta lo sviluppo dell’innovazione. Quest’ultima, infatti, per essere reale richiede vision e nuovi approcci, coinvolgendo differenti figure professionali su più fronti che non sono solo tecnologici ma coinvolgono linee di business differenti come il marketing, le HR e la Sales Force. Sono questi gli utenti che vanno supportati da cloud, mobility e software ad hoc, tra sistemi e app (IDC parla di questo cluster chiamandolo Terza Piattaforma).
3) Digital security
Nel 2020 Gartner ha posto una linea di demarcazione precisa: l’impresa digitale diventerà liquida. Le linee di confine tra fisico e digitale svaniranno al punto che il tema principale della cybersecurity sarà la safety. E dal momento che la perfetta protezione non è raggiungibile, i responsabili della gestione del rischio IT e della sicurezza dovranno giocoforza abbandonare il miraggio delle policy di prevenzione valide per ciascuna minaccia per abbracciare approcci di individuazione e risposta agli incidenti di security. Tra i focus da tenere sempre a mente, Gartner indica i crescenti rischi di violazione dei dati e le conseguenti responsabilità finanziarie, derivanti dall’adozione non autorizzata di soluzioni tecnologiche e servizi IT da parte delle diverse business unit di un’organizzazione.
Anche i migliori controlli ex ante, infatti, non potranno prevenire tutti gli incidenti. In aggiunta, il rapido incremento, l’ampiezza e la profondità dei cyber-attacchi, il loro conseguente impatto finanziario e d’immagine, imporranno alle organizzazioni di integrare i processi di risposta agli incidenti di security con quelli per la gestione della continuità operativa. La necessità di trasparenza aziendale, unita a quella di generare valore digitale, guida i responsabili IT a sviluppare best practice di security e gestione del rischio utili a incrementare la resilienza del business.
Digitale ma non del tutto: l’IT sarà comunque e sempre bimodale
Il business digitale è cangiante come lo sono le tecnologie in continua evoluzione. Di conseguenza anche la cybersecurity deve muoversi alla velocità della luce. Le minacce evolvono rapidamente, rendendo inefficaci i classici approcci di sicurezza, studiati per ottenere il massimo controllo.
La questione è che le tecnologie digitali presuppongono comunque una serie di macchine fisiche: l’impresa digitale deve imparare a ragionare gestendo un IT bimodale, che richiede nuove competenze, nuove pratiche e un sistema decisionale tempestivo ed efficiente. Bisogna imparare a bilanciare la necessità di proteggere l’azienda con l’esigenza di adottare approcci tecnologici innovativi, nella consapevolezza che i margini di rischio ci sono e ci saranno sempre. Con un ultima nota degli analisti: insegnare e continuare a insegnare a dipendenti e collaboratori che la sicurezza non è solo una cosa che deve gestire l’IT ma coinvolge e responsabilizza tutti.
