L’universalità di certe tematiche e l’influenza che hanno su persone e aziende spesso trascende settori, mercati, dimensioni, ruoli. Quando si parla di sicurezza, o più specificamente di cybersecurity, si può non essere tecnici o esperti ma è (quasi) impossibile non sentirsi in qualche in modo coinvolti. La sicurezza IT è, oggi, una colonna portante del sistema economico ed è alla base dei sistemi informatici presenti in qualsivoglia contesto aziendale. Ma proprio per questo carattere di imprescindibilità, non è raro che la sicurezza informatica venga considerata un fatto scontato, qualcosa a cui non dover prestare troppa attenzione perché implicita, ovvia. È così che, inconsciamente, si diventa facili bersagli delle più disparate modalità di attacco (malware, vulnerabilità, phishing, account cracking, ransomware ecc.).
In questo numero di Where IT’s headed, ci faremo accompagnare da Roberto Francalanci, Business Line Manager di Cegeka Italia, in una discussione sullo stato attuale della cybesecurity in Italia oltrepassando i confini dell’IT e investigando gli aspetti culturali alla base di certe consolidate e pericolose abitudini aziendali.
“La situazione in Italia è critica, inutile girarci intorno. Le ragioni sono molteplici, potremmo parlare del fatto che l’Italia sia ultima in Europa per quota di laureati in ambito ICT*, potremmo citare il fatto che il nostro Paese sia 20° su 27 per quanto riguarda il livello di digitalizzazione complessivo tra le nazioni dell’UE*, o anche che spendiamo la metà in servizi di sicurezza informatica rispetto agli altri grandi Paesi europei**. Anche analizzando tutti i numeri nel dettaglio, molto probabilmente non riusciremmo a descrivere in maniera esaustiva il quadro generale. Questo perché ci sfuggirebbe il tassello più importante: l’aspetto culturale della cybersecurity”.
*Dati Rapporto Clusit sulla Sicurezza Informatica 2023
** Dati Osservatorio Cybersecurity & Data Protection del Politecnico di Milano
“Ormai tutti si occupano di sicurezza, tutte le aziende parlano di cybersecurity, tanto da generare quasi un senso di disorientamento. Io vorrei trattare l’argomento guardandolo da un diverso punto di vista. C’è una parola che per me è fondamentale nel modo in cui noi approcciamo il tema con i nostri clienti: consapevolezza.
Il nostro obiettivo è portare i nostri clienti ad acquisire consapevolezza di cosa significhi parlare di cybersecurity all’interno della loro realtà. Non si tratta più di parlare del lavoro dei team ecc. quanto di analizzare gli elementi di cui l’azienda è composta. La sicurezza non è solamente una questione IT, l’IT è solo uno dei tanti aspetti.
Poi bisogna considerare che il tessuto industriale italiano è composto principalmente da aziende di medie dimensioni dove è difficile trovare ruoli che si occupano esclusivamente di cybersecurity o di IT in generale, quindi spesso non c’è un focus specifico. È anche in questo senso che la cybersecurity assume connotati squisitamente culturali. Quindi, la prima cosa che facciamo è aiutare le persone a capire cosa significhi occuparsi di sicurezza IT all’interno della loro azienda, le supportiamo in questo percorso verso la consapevolezza a cui facevo riferimento prima”.
“Innanzitutto manca un po’ di comprensione relativa al ruolo delle infrastrutture IT. Qual è l’importanza di questi oggetti e, soprattutto, dei servizi che offrono? Solo comprendendo la loro funzione si può iniziare a ragionare su tutti i rischi associati e come prevenirli. E non mi riferisco solo alle infrastrutture ma a tutti gli elementi, gli strumenti che contribuiscono al business aziendale. Quanto sono cruciali questi elementi per la mia attività? Che succede se anche solo uno di questi strumenti non funziona più? A quale rischio sto effettivamente esponendo la mia azienda? Noi vogliamo portare questi temi all’interno delle organizzazioni dei nostri clienti, vogliamo partire da questi concetti.
È solo a partire da questa consapevolezza che si può pensare a che tipo di investimenti fare. Investimenti che spesso possono essere considerevoli ma che perdono di valore se non vengono rapportati ai rischi e ai danni potenziali. Se questi due elementi, investimenti e rischi, non vengono messi a confronto non si possono valutare possibili obiettivi. Quindi è importantissimo definire i potenziali rischi a cui posso andare incontro, in modo da valutare l’entità dell’investimento in base alla quantità di rischio che sono disposto ad accettare. Una volta che l’azienda ha maturato questo tipo di consapevolezza allora è pronta a sedersi ad un tavolo con un’azienda che si occupa di IT per discutere dei passi da intraprendere per migliorare la propria sicurezza”.
“Per diventare davvero resilienti dal punto di vista della cybersecurity serve mettere tanti tasselli al posto giusto ma si tratta anche di riuscire ad accettare una serie di cambiamenti, spesso relativi all’operatività quotidiana, e questo nella nostra esperienza è uno degli ostacoli maggiori. Non è raro che si trascurino gli impatti che le soluzioni per la gestione della sicurezza IT possono avere su alcuni processi di business. Inoltre, le persone sono tendenzialmente abitudinarie e percepiscono come fastidiose anche cose piuttosto banali come le nuove modalità di autenticazione a più fattori. Cambiare le abitudini, cambiare la cultura dal punto di vista del modo in cui si opera non è facile in un’azienda, è un percorso che dev’essere fatto gradualmente, le persone si devono abituare, devono sciogliere questo tipo di resistenza nel tempo. Parlo di tempo non a caso perché mantenere moderna e aggiornata la propria infrastruttura, non solo dal punto di vista della sicurezza, richiede tempo. Ma le minacce alle sicurezza non aspettano, la chiave per diventare cyber resilient sta quindi nel saper gestire il tempo a proprio vantaggio”.
Vuoi scoprire come mettere davvero al sicuro la tua azienda? Chiedi direttamente ad un esperto Cegeka! Compila il form qui sotto.