In realtà si stanno mischiando diversi aspetti della security, in un percorso di informazione di massa trainato talvolta dalla necessità dei mass media di esasperare i fatti ai fini dell’audience e della vendita: ad esempio rientra nel “timore del grande fratello” (pericolo certamente attuale e concreto) il tema dei big data, con la capacità degli attuali sistemi analytics di elaborare in tempo reale masse e tipologie di dati fino a poco tempo fa impensabili. Da qui i titoli e gli articoli di alcuni quotidiani che, al di là del sensazionalismo, hanno il pregio di attirare il dibattito sui temi della digitalizzazione della società, con tutte le sue vulnerabilità, violazioni di privacy, furto di dati, controllo più o meno occulto di abitudini di consumatori e tanto altro ancora.
Insomma, come per molte altre tematiche portate in superficie dall’affermarsi della digital economy, anche la sicurezza sta diventando un tema in cima alle principali preoccupazioni (e agli investimenti) delle aziende.
Qual è la genesi del fenomeno? Ricerca illegale di profitto a fronte di un mondo sempre più digitale.
Fonte: Clusit: rapporto 2013 sulla Sicurezza ICT in Italia
Lo scorso anno si è avuto un aumento del 42% negli attacchi per la sottrazione di capitale intellettuale; l’Italia si piazza al settimo posto (sempre più verso il podio, negli ultimi anni) nella classifica mondiale di attacchi cybercrime (terza in Europa – XVIII Internet Security Threat Report di Symantec 2013); la rivoluzione mobile/Byod apre continuamente potenziali vulnerabilità nei sistemi informativi aziendali; ma soprattutto è il fenomeno internazionale a vederci sotto scacco, con attacchi ripetuti alle conoscenze (dati, progetti) delle aziende tipiche del made in Italy e alle numerose informazioni presenti in ambito industriale, senza contare che l’Italia, proprio per una sottovalutazione strategica del fenomeno cybercrime a livello normativo e di strategia nazionale (contrariamente, ad esempio a quanto stanno facendo gli Stati Uniti con l’amministrazione Obama), risulta essere uno dei principali “paesi piattaforma” al mondo, quelli cioè dai quali partono gli attacchi di malware ad altre nazioni. Con un’evidente perdita di credibilità sulle focalizzazioni strategiche e infrastrutturali che il nostro Paese è in grado di realizzare.
Insomma, un “fiume carsico” dal quale, con i debiti scongiuri e contando su fattori statistici, ognuno di noi spera, illudendosi, di non essere toccato. Ma la riflessione di fondo che deve essere fatta è un’altra: è la società digitale che è nel suo complesso un ambiente strutturalmente insicuro nel quale le aziende, e i loro sistemi informativi, devono identificare strategie e modelli di riferimento per accettare un gestibile livello di rischio da correre, in funzione del proprio business e della propria specificità.
A livello aziendale sta accadendo, con un’accelerazione impensabile solo pochi anni fa, quella che Forrester definisce essere la Business Technology: una digitalizzazione spinta dei principali processi attraverso i quali l’azienda opera, in grado di generare una capacità reale di efficientamento, innovazione, miglioramento della competitività e che si spinge, talvolta, fino alla generazione di nuovo business; con un conseguente sempre maggiore rapporto di “dipendenza” tecnologica nel proprio modo di operare ed essere impresa sul mercato.
A questo processo di digitalizzazione concorrono fenomeni di “consumerization” oggi sulla bocca di tutti: il modello cloud (usa ogni cosa as a service), i social network (apriamo l’azienda alla relazione, collaborazione co-creazione di prodotti e servizi, ricerca, strategie pre-verificate con i clienti, o meglio con le communities), la mobility (aziende e clienti, tutti fruiscono e accedono ovunque e da qualsiasi dispositivo), la capacità di analisi (analytics – capire la complessità, la quantità e la qualità dei dati che ci circondano per avere informazioni profilate e prendere decisioni con sempre minori margini di errore). Sono le forze che, afferma Gartner, se opportunamente, integrate potranno generare differenziale competitivo. Ma cosa manca, secondo voi, come quinta forza, quella sulla quale si può reggere il tutto? La security. Una strategia che abbia in sé almeno due livelli di attenzione imprescindibili: il primo riguarda la messa in sicurezza (valutando il livello di rischio sostenibile) della Business Technology. Il secondo, ancora più importante e strategico, è relativo alla definizione di una strategia che passi da una corretta “mappatura” delle esigenze organizzative, dei processi, degli obiettivi di business aziendali e sulla base di questi definisca quelle scelte tecnologiche, metodologiche, quelle policies che rendano la security una scelta di valore di business. La correlazione è lineare: se i processi sono sempre più dipendenti da una digitalizzazione e determinano il mio modo di operare (Business Technology), disegnare una strategia di sicurezza articolata sulle diverse velocità, esigenze, opportunità con cui l’azienda si muove sul mercato, diventa una base imprescindibile di riferimento e di creazione di opportunità.
Non ci siamo ancora, certamente. Oggi, per lo scenario “cyber-criminale” prima descritto in continuo affinamento e crescita e per la complessità dei fenomeni che impattano l’azienda, il percorso verso questo disegno di security strategy è fatto più di rincorse e rimedi che non di pianificazioni e di progetti organici. Tuttavia è importante, in chiusura di questo editoriale, almeno ribadire tre punti fermi emersi durante un confronto nel corso di un nostro recente Executive Dinner su queste tematiche, punti che possono rappresentare l’avvio di una strategia organica di security:
– Primo: L’idea di essere a conoscenza del proprio livello di sicurezza è quanto di più pericoloso possa esserci. Bisogna analizzare oggettivamente i fatti e quindi una forte attività di assessment sulle reti e sulle tecnologie in impresa per capire il reale livello di vulnerabilità è l’essenziale punto di partenza per una fotografia che consenta poi interventi migliorativi.
– Secondo: Conversations con gli utenti aziendali. Capire come lavorano, le esigenze che hanno, gli strumenti che usano al di fuori di quelli sotto la governance dell’It. Capire, parlare, conoscere le modalità operative e anche la cultura digitale dei propri interlocutori aziendali è fondamentale. Reprimere e impedire? Una battaglia persa!
– Terzo: Metodi, approcci e cultura. Impedire che le policies diventino, come già sono, sterili e teorici modelli comportamentali formalizzati in documenti che nessuno legge. Ma disegnare invece in modo dinamico e continuo delle politiche di sicurezza insieme agli utenti, comprendendo le loro esigenze operative quotidiane e anche il loro modo di essere “digital workers”.
