La società rafforza i servizi di prevenzione e risposta alle minacce informatiche
«Necessità e vantaggi dell’information security così come la cultura della gestione dei rischi sono più diffusi in alcuni settori» afferma Girolamo Marazzi, CEO di BlueIT. «Il vero boost per la crescita è però legato ai requisiti regolatori che via via vengono inseriti nei contratti B2B. In Turchia c’è stato un boom di richieste di certificazioni ISO 20000 perché è diventato, da un giorno all’altro, un requisito filtro per partecipare a bandi e gare. Non si tratta più di maturità aziendale e previsionale: la sicurezza informatica oggi è la base della sicurezza aziendale».
Gli attacchi informatici secondo il Global Risks Report 2021 del World Economic Forum, rappresentano il principale pericolo globale legato alla tecnologia. «I CIO – concorda Marazzi – si stanno rendendo conto dell’importanza del cyber risk. Alcuni hanno avuto esperienze negative dirette, altri hanno visto cosa è accaduto a competitor o aziende locali vicine. Non sempre però riescono a convincere il CEO ad approvare i necessari investimenti in sicurezza». Nonostante la gravità degli incidenti registrati nei mesi della pandemia, investire in sicurezza non è così scontato. Neppure a fronte del riconoscimento della maggior valenza strategica della cybersecurity. «Negli ultimi anni molte aziende sono state vittime dei ransomware: alcune hanno pagato i riscatti in cryptovaluta, altre hanno perso i dati e subito un blocco dell’operatività per giorni e settimane. Il nostro sforzo – ci dice Marazzi – è quello di legare i rischi di business con i cyber risk utilizzando un linguaggio comune comprensibile da tutti gli attori. Un conto è dire “abbiamo un rischio alto per quanto riguarda gli attacchi SQL”, un altro è rilevare la presenza di “un rischio alto sul processo di ricezione degli ordini telematici dovuto ad attacchi cyber”».
Riuscire ad aprire un canale di comunicazione efficace tra CISO e board è fondamentale.
«Privacy, perdita dei dati e blocco dell’operatività sono i temi più importanti» afferma Marazzi. «Il primo è un tema di garanzia tra due controparti. Qui il timore è di subire sanzioni, oltre al rischio di perdere la fiducia da parte dei clienti. Tra il secondo e il terzo c’è un legame molto forte: l’indisponibilità di servizi applicativi e sistemi, si riflette immediatamente sul blocco dell’operatività». Per questo oggi è importante che il CdA eserciti un ruolo di supervisione dell’operato dell’IT e della security, adeguato al livello
di importanza che ricoprono per il business dell’azienda. «Livello che dipende dal settore e dal “risk appetite” del top management» osserva Marazzi. «La chiave è parlare una sorta di Esperanto interno all’azienda, in cui business, IT e security si incontrano e riescono a comprendersi». Altro fattore determinante è rappresentato dagli shareholder. «Alcune aziende – osserva Marazzi – non necessariamente di piccole dimensioni, vedono solo un aumento dei costi; un’azienda quotata o di proprietà di una finanziaria è più attenta, commissiona audit di terze parti e, il CdA, entra molto più nel merito».
Un indicatore importante per misurare il grado di coinvolgimento del CdA è dato dalla quantità e dalla qualità di informazioni sull’andamento della security in azienda che l’IT riesce a garantire. «Alcune organizzazioni si sono dotate di un CISO che operi da collante tra business e IT. Per far fluire le informazioni, gli strumenti base sono l’analisi e la gestione dei rischi ex ante e la gestione degli incidenti di sicurezza informativa ex post. Il ruolo di BlueIT in questo processo – conclude Marazzi – è quello di disegnare un percorso, un “security journey”, per diffondere la cultura della gestione condivisa del rischio tra business e IT e guidare i clienti lungo questo percorso».
