Da troppo tempo, la sicurezza informatica viene vissuta come costo e limite all’attività di business. L’adozione di una efficace strategia di cybersecurity può trasformare la protezione da mero strumento difensivo contro le minacce informatiche in volano per la crescita
La protezione del business è responsabilità di tutti coloro che lavorano per un’organizzazione, dall’AD fino all’ultimo dei collaboratori, ognuno con ruoli e gradi diversi di responsabilità. Naturalmente, proteggere il business di una azienda può significare molte cose. Ma è soprattutto quando si verifica un incidente informatico che si delineano con più chiarezza i contorni di questa chiamata di responsabilità. Dopo quanto tempo il CdA si è riunito per rispondere agli effetti di un ransomware che ha portato al blocco completo dell’operatività di un gasdotto? Quale è stato il commento a caldo dell’AD dopo l’incendio che ha devastato il datacenter che ospita i siti di migliaia di aziende? In che modo il CIO ha ovviato al blocco di una linea di produzione in seguito a una manomissione interna? Quali risposte ha messo in campo il CISO per far riprendere almeno parte dell’operatività dell’azienda dopo un attacco hacker?
Potremmo disquisire a lungo sulla reale comprensione da parte di manager e amministratori dei vantaggi che le tecnologie IT e in particolare di sicurezza apportano sullo sviluppo del business. Ma la capacità di svolgere una periodica supervisione delle tecnologie IT – cybersecurity compresa – e dell’operato dei rispettivi responsabili, da parte di chi dirige un’azienda o una organizzazione, possono fornirci più di qualche indicazione attendibile. Di certo, anche da questo passa la protezione del business. In realtà se, come e con quali mezzi si realizzi dipende da molti fattori: dalle dimensioni dell’organizzazione al settore in cui si opera; dalla collocazione geografica al livello di preparazione e competenza dei supervisori. Come per altre tematiche di corporate governance, è difficile individuare l’approccio più appropriato. Probabilmente, però la variabile più importante è l’apporto al business che l’IT e la security forniscono all’organizzazione.
In alcune organizzazioni, l’IT e security coincidono con la società. Prodotto e servizio core si basano fortemente sul loro apporto. In altre, le funzioni IT invece supportano il business, ma non sono un driver di business. Al lato estremo, si collocheranno una banca o un sito di e-commerce per le quali IT e security ricopriranno la massima importanza; importanza che andrà via via sfumandosi verso l’altro lato opposto. Lungo un continuum entro il quale si collocheranno le più svariate tipologie di aziende e organizzazioni. In teoria, maggiore è l’importanza dell’IT e della security per un certo modello di business e maggiori saranno le risorse che il Consiglio di Amministrazione dedicherà alla supervisione di sistemi e tecnologie IT e di sicurezza – on premise e in outsourcing – che fanno capo all’organizzazione. Nel caso della banca o del sito di e-commerce utilizzati come esempi, avremo un CdA che presumibilmente affronterà questioni legate a queste due funzioni idealmente durante ogni incontro programmato. In altre organizzazioni, dove l’IT e la sicurezza sono meno centrali, il CdA potrà decidere di affrontare queste tematiche solo nelle riunioni più importanti. Il grado di coinvolgimento del CdA dipende da numerosi fattori: cultura aziendale, priorità assegnate dal CEO all’IT, posto occupato dall’IT all’interno del ciclo di investimenti dell’organizzazione.
Di conseguenza e in linea di massima, tempo e risorse che il CdA decide di dedicare alle questioni IT e di sicurezza sono dettati dalla responsabilità assegnata. Così nel caso delle organizzazioni – dove l’IT e la security ricoprono un ruolo più marginale e il tempo che di solito i CdA dedicano agli argomenti IT e alla security è limitato – è probabile che tali questioni siano assegnate a comitati ad hoc (audit, per esempio).
In altre organizzazioni, il CdA – consapevole della rilevanza dell’IT – potrebbe creare un gruppo ristretto che lavori a stretto contatto con l’amministratore delegato e il CIO. Oppure, nei casi di forte dipendenza dall’IT, il CdA si spingerà oltre la sola supervisione per assumere un ruolo di primo piano nella revisione delle leve tecnologiche. Una situazione più dinamica di quanto si pensi. La security viene interpretata sempre più come una forza che promuove il business. Anche per effetto di determinate spinte in campo normativo. Come quelle che impongono l’adozione di policy, soluzioni e servizi di sicurezza. La regolamentazione europea impone che tutte le auto omologate e messe in commercio a partire dal 2022 debbano avere al loro interno delle soluzioni di cybersecurity. In questo caso, non adeguarsi equivale all’impossibilità di omologare i veicoli e di immetterli sul mercato.
LA CENTRALITÀ DELLA SUPERVISIONE
Le tematiche IT e di sicurezza faticano a trovare lo spazio che meriterebbero nelle riunioni che contano. La security in particolare viene ancora vissuta da molti Board come un’enorme area grigia, faticosa da interpretare e governare. Anche i sassi sanno della mancanza di figure competenti ed esperte nel campo della cybersecurity. Ma la lacuna è – se possibile – ancora più grave quando a presiedere quelle organizzazioni – nelle quali è centrale il valore che la tecnologia e la security rivestono per il business – sono top manager completamente a digiuno su queste tematiche. Chi pensa alla transizione digitale dei dirigenti? Naturalmente, la complessità delle odierne architetture IT ha un suo peso. Padroneggiarne sviluppo tecnologico e connessioni non è affatto agevole. Ma è necessario. Non c’è sondaggio che non rilevi la progressiva volontà di maturare un certo grado di conoscenze, attraverso sessioni di formazione e di preparazione alle riunioni più importanti da parte di top manager e Board. Ma avere ben chiari struttura, obiettivi e costanti aggiornamenti sulle direzioni da prendere da parte dell’IT interno all’organizzazione, ogni volta che il CdA deve decidere su un significativo progetto di sviluppo IT, sono prerogative che riguardano solo una piccola parte delle aziende e solo di quelle più grandi e strutturate.
Non sempre poi i CdA sono messi in condizione di sfruttare appieno i vantaggi della tecnologia. Con la pandemia abbiamo assistito a un vero e proprio boom di strumenti di collaborazione per ovviare ai problemi di mobilità. Ma l’IT può e deve fare meglio per mettere a disposizione del management e integrare più efficacemente i tanti strumenti a disposizione. Senza trascurare la sicurezza. Come invece è accaduto durante i mesi dell’emergenza sanitaria. Come? Assicurando un flusso di informazioni che consenta ai vertici organizzativi di accedere attraverso piattaforme IT sicure a una serie di informazioni utili a supporto delle decisioni: dagli indicatori chiave di performance delle unità operative ai dati finanziari della società; dallo stato di avanzamento dei progetti IT e di sicurezza a tutto quel che viene pubblicato e che riguarda la società, il settore industriale d’appartenenza e i competitor, integrando anche le info provenienti dai social media. Anche l’impiego dei data analytics a supporto del processo decisionale non è ancora adeguatamente sfruttato. L’aggregazione e l’analisi dei dati relativi ai progetti IT e di sicurezza potrebbero essere utilizzate meglio dai membri del CdA per affinare le strategie, supportare le decisioni, o semplicemente indirizzare l’attenzione dove è più necessario. Quel che dovrebbe essere chiaro al CIO – e quando c’è al CISO – è che comunicare efficacemente con il Board assicurerebbe risultati migliori. Mentre per il CdA, riuscire a stabilire uno scambio proficuo di informazioni, con quelle che dovrebbero essere le migliori fonti di conoscenze all’interno dell’organizzazione, aiuterebbe a prendere decisioni più informate e probabilmente più efficaci. Spesso invece siamo ancora qui a discutere della necessità di incrementare le occasioni informali di incontro tra CIO e membri del CdA e di “parlare il linguaggio del business”.
INVESTIMENTI INCOERENTI
Secondo il Global Risks Report 2021 del World Economic Forum, gli attacchi informatici rappresentano il principale pericolo legato alla tecnologia a livello globale. Solo in Italia, stando ai dati dell’Osservatorio Cybersecurity & Data protection della School of Management del Politecnico di Milano, il 40% delle grandi aziende ha registrato nell’ultimo anno un aumento degli attacchi cyber.
Complice il ricorso al lavoro da remoto, l’utilizzo di dispositivi personali e il boom delle piattaforme di collaborazione su reti domestiche poco protette, che hanno dilatato lo spazio e le opzioni di attacco disponibili. Presentando i risultati della ricerca, Alessandro Piva, direttore dell’Osservatorio Cybersecurity & Data Protection ha dichiarato che il 2020 è stata – «una vera e propria odissea, con un aumento senza precedenti degli attacchi informatici, la necessità di riorganizzarsi per gestire l’improvviso boom dello smart working e la razionalizzazione del budget a disposizione per affrontare le sfide di sicurezza a causa del grave impatto economico della pandemia».
Tuttavia, nonostante la gravità degli incidenti di sicurezza registrati nei mesi della pandemia, gli investimenti in sicurezza non sono cresciuti in maniera coerente. L’impatto economico della pandemia – si legge nel Rapporto dell’Osservatorio – ha costretto le imprese italiane a fronteggiare le aumentate sfide di sicurezza con budget ridotti: il 19% ha diminuito gli investimenti in cybersecurity (contro il 2% del 2019) e solo il 40% li ha aumentati (era il 51% l’anno precedente). In ogni caso, per oltre un’impresa su due (54%), l’emergenza è stata un’occasione per investire in tecnologie e accrescere la sensibilità dei dipendenti sui temi della sicurezza e della protezione dei dati. A rimanere stabili però sono le difficoltà per CIO e CISO a farsi approvare i necessari investimenti in sicurezza. Un dato che cozza con il riconoscimento della maggior valenza strategica della cybersecurity, affermazione – per la verità - più spesso in bocca ai vendor di sicurezza che suffragato da un cambiamento di visione delle imprese. Le imprese – sottolinea l’Osservatorio – presentano ancora una scarsa maturità organizzativa. Solo nel 41% la responsabilità della sicurezza informatica è affidata al CISO e ancora nel 38% dei casi non è prevista nessuna comunicazione al Board sull’argomento. Più evoluta invece, anche per effetto della spinta normativa, la gestione della data protection, con il 69% delle imprese che arruola un data protection officer (DPO) in organico e il rimanente che si avvale di figure esterne.
GESTIONE DEGLI INCIDENTI
La gestione degli incidenti informatici è un tema centrale quando si parla di cybersecurity. Affrontato in modalità differenti a seconda delle caratteristiche delle organizzazioni. In molti casi, gli effetti di un incidente di sicurezza impattano su tutta l’organizzazione. In teoria, tutte le decisioni necessarie per mitigare il rischio informatico dovrebbero essere prese a priori dai massimi livelli aziendali. Così come a posteriori, l’incidente di sicurezza richiede un trattamento che non può essere lasciato all’improvvisazione.
Dopo un data breach o il fermo dell’operatività di un sito produttivo, è inevitabile che l’organizzazione si trovi immediatamente a fare i conti con la richiesta di informazioni da parte di clienti, dipendenti, azionisti, partner e media. Le pressioni anche interne tendono a salire rapidamente. Il CdA oltre a dimostrare di essere consapevole dei rischi a cui la società è esposta, deve immediatamente mettere in campo una serie di contromisure per mitigare l’impatto che dimostrino la sua capacità di risposta anche nelle situazioni peggiori. L’attacco subito da Colonial Pipeline, l’oleodotto statunitense capace di trasportare fino a 2.5 milioni di barili di prodotti petroliferi nelle città del Sud-est, ci ricorda che molte infrastrutture critiche sono gestite da privati. Aspetto questo non sempre adeguatamente considerato. Soprattutto in relazione alle delicate decisioni sulla condivisione di dati e informazioni su minacce e vulnerabilità, in capo al CdA, al CEO e agli altri top manager chiamati a gestire la collaborazione con le agenzie dello Stato (CNAIP, Agenzia per la sicurezza cyber, etc.) preposte a intervenire in questi casi. Nelle grandi imprese, si parla di salvaguardare il business, quando come in questo caso a essere colpita è un’infrastruttura critica si tratta di salvaguardare un settore vitale per un intero Paese. Fuori però dalle realtà che costituiscono il perimetro di sicurezza nazionale e dei board che presiedono le infrastrutture critiche, la pratica di decidere ai massimi livelli le scelte strategiche di impiego e sviluppo tecnologico è ancora poco diffusa. Su questi argomenti, il diretto coinvolgimento dell’IT nelle decisioni del Board rimane ancora una eccezione. Oppure, il riflesso di un approccio meramente “reattivo”, quando cioè qualcosa è andato storto.
I CdA hanno la responsabilità di guidare la direzione strategica della loro organizzazione. L’IT gioca un ruolo significativo in molte organizzazioni. Sufficiente per assicurarsi un proprio piano strategico, a sua volta, sincronizzato con la strategia dell’organizzazione. Un ruolo che qualche volta spetta anche alla security. Sempre di più perciò i problemi dell’IT e della security dovrebbero essere parte integrante di qualsiasi discussione interna alla direzione in tema di strategia. Tuttavia, tra le tessere del mosaico a mancare è una compiuta comprensione da parte del CdA del ruolo dell’IT e delle modalità con cui crea valore tangibile per il business dell’organizzazione. Quando il CdA non riesce a svolgere un lavoro efficace di monitoraggio e determinazione del valore dell’IT, immediatamente le sue capacità di prendere decisioni adeguate vengono seriamente menomate. Nell’indirizzare la strategia IT, il CdA deve assicurare un adeguato allineamento tra gli obiettivi IT e quelli dell’azienda. Il Board deve perciò comprendere in che modo l’IT dovrà supportare la strategia di business. A partire dalle funzioni svolte lungo un continuum che va dal mero supporto all’operatività fino alla generazione di innovazione e costruzione di vantaggio competitivo. Sulla base del ruolo svolto dall’IT in seno all’organizzazione, il CdA dovrà valutare le scelte di implementare tutte quelle funzionalità IT che supportano le capacità di business richieste. In questo processo, il CdA dovrà considerare l’entità degli investimenti, valutare costi e benefici, stimare i rischi. Per esempio, il proliferare negli ultimi anni di iniziative legislative in materia di cybersecurity ha reso più evidenti i rischi derivanti da obblighi normativi e relative azioni legali non solo tra regioni geografiche ma da paese a paese.
Aspetti questi che non possono più riguardare solo chi si occupa di IT e security, ma in primo luogo devono coinvolgere i vertici dell’organizzazione. «Il tema dell’adversity, un termine che ci aiuta a fotografare la sfida enorme che tutti abbiamo vissuto e da cui stiamo lentamente uscendo, ha aiutato e aiuta a capire che il concetto di interesse delle aziende è sempre più importante» – ha spiegato Fabio Rizzotto, associate vice president, head of Research & Consulting di IDC Italia aprendo i lavori dell’IDC Security Digital Forum 2021. «A evolvere non è solo il tema della protezione ma anche quello di comprendere quali sono i nuovi confini degli interessi delle imprese nel momento in cui le aziende allargano i propri confini, abbattono barriere, partecipano a una vita sociale molto più complessa di quella di solo qualche anno fa».
RESILIENZA E TRASFORMAZIONE
La cybersecurity come l’IT evolve in fretta, ricoprendo un ruolo più ampio e di maggiore valore all’interno delle organizzazioni. Pur con gradi diversi, entrambe le funzioni sono componenti importanti di molte aziende. Così come l’IT non viene più utilizzato solo per automatizzare le funzioni di business, anche la security può aiutare a costruire un vantaggio competitivo, un aspetto via via sempre più compreso dal CdA. «Le imprese – continua Fabio Rizzotto di IDC Italia – hanno compreso l’importanza di attrezzarsi non solo per affrontare i rischi e le minacce costanti quotidiane ma anche i momenti di discontinuità. Essere cioè attrezzati con team, competenze e approcci per governare un mondo incostante e incerto è fondamentale». All’interno delle organizzazioni il nuovo spazio occupato dall’IT e della security espande le responsabilità del CdA nella supervisione di queste funzioni. I consigli di amministrazione da un lato devono assicurarsi che le loro organizzazioni traggano il massimo vantaggio dall’IT sia grazie al contributo nell’identificare e mitigare i rischi per l’organizzazione sia attraverso l’allineamento alle strategie di business. Compiti però che per essere svolti efficacemente dal CdA necessitano di maggiori competenze.
Una parabola che ha investito anche la figura e il ruolo del CIO. In parte accelerata dalla difficile situazione vissuta durante i mesi più duri dell’emergenza sanitaria. La necessità delle aziende di dotarsi in tempi estremamente rapidi di tutti gli strumenti tecnologici necessari alla continuità del business ha accresciuto il loro ruolo all’interno di aziende e organizzazioni. Miglioramento del livello di engagement della clientela, ottimizzazione della gestione di sicurezza, aderenza alla normativa, valorizzazione dei dati aziendali a supporto dei processi decisionali – secondo quanto rilevano i dati della CIO Survey 2020, condotta da NetConsulting3 – rappresentano le nuove priorità del CIO (e parzialmente del CISO). In linea con il nuovo ordine di scuderia che assegna all’IT il ruolo di contribuire fattivamente a migliorare il business aziendale.
L’emergenza ha spiegato i suoi effetti anche sulla figura del CISO. II top management consulta con più regolarità i responsabili della sicurezza informatica, anche perché quando è presente il CISO riporta direttamente al CdA. Il suo apporto non è più limitato al verificarsi di un incidente di sicurezza ma sempre più spesso gli viene richiesto di contribuire alla realizzazione dei nuovi progetti IT. Per molti di loro è ancora difficoltoso giustificare gli investimenti necessari in sicurezza, “embedded” per la maggior parte delle aziende nella parte di budget assegnato all’IT. Un anacronismo che induce molti CISO a ritenere di trovarsi in diretta concorrenza con altri progetti della funzione IT: un ostacolo difficile da superare quando si tratta di presentare il proprio piano di investimenti necessari per la sicurezza informatica.
«Il concetto di resilienza sta portando la security su piani strategici» – spiega Fabio Rizzotto di IDC Italia. Il concetto di resilienza è più evoluto e profondo di business continuity e deve essere inteso come capacità di uscire più velocemente da una situazione di crisi e muoversi consapevolmente verso nuove direzioni, capitalizzando le esperienze del passato e le nuove condizioni di mercato. «Probabilmente c’è ancora molto da fare per arrivare a una pienezza di ruolo» – continua Rizzotto. «Ma è una strada che è stata intrapresa. Abbiamo visto in che modo oggi la cybersecurity si è affermata caratterizzando il disegno dei piani strategici degli ultimi mesi. La spinta più consapevole dei Board comincia a essere qualcosa di più concreto rispetto al passato. E c’è un altro elemento in cui la security si sta immergendo, il concetto di digital trust». Anche i CISO dunque sono destinati ad assumere un ruolo sempre più importante e strategico. Ma perché questo avvenga più velocemente i CISO dovranno riuscire a integrarsi maggiormente a livello organizzativo, gestendo i rischi di cybersecurity in modo più strategico.
Le aspettative di fiducia degli stakeholder si stanno spostando dalla protezione di dati e risorse alla protezione di dipendenti, partner e clienti. Entro il 2023, il 55% della spesa in cybersecurity avverrà su piattaforme e framework unificati. Una delle sfide che la cybersecurity deve saper cogliere, in qualità di abilitatore di business, è quella di sostenere con il proprio operato la fiducia di tutti gli stakeholder nei confronti dei processi di trasformazione digitale in atto in ogni settore economico e agendo tanto sui presidi di prevention, quanto sulle capacità di risposta alle sollecitazioni esterne – come ha spiegato Massimo Cottafavi, head of Cyber & Operations Security di Snam, nel corso dei lavori dell’IDC Security Digital Forum 2021. La sfida è dimostrare che l’adozione di una efficace strategia di cybersecurity può trasformare la protezione da mero strumento difensivo contro le minacce informatiche in un volano per il business. A patto che competenze e capacità di indirizzo del CdA, ruolo e consapevolezza di CIO e CISO crescano ancora. Solo così sarà possibile dimostrare che gli investimenti hanno ricadute positive in termini di vantaggio competitivo, rafforzamento della reputazione, aumento delle competenze dei dipendenti, consentendo ad aziende e organizzazioni di acquisire più valore dal proprio modello di business.