L’approccio alla sicurezza informatica sta evolvendo con l’obiettivo di assicurare alle aziende un maggior livello di fiducia da parte del mercato e fornire inoltre un valido supporto ai programmi di sostenibilità del business
Negli ultimi anni, i programmi di Cybersecurity e Digital Trust hanno acquisito un’importanza di primo piano all’interno delle agende dei CEO e dei dirigenti aziendali. In mercati sempre più digitalizzati e che richiedono business connessi, proteggere i sistemi, i processi e i dati è infatti fondamentale per non rischiare di subire importanti violazioni informatiche, che possono comportare il furto o la perdita di informazioni sensibili e avere impatti negativi sia a livello economico sia reputazionale. In base a una recente ricerca di IDC, per oltre il 50% delle aziende europee, i programmi di Digital Trust saranno una priorità per tutto il 2021 e questo comporterà investimenti in tecnologie di security, privacy e compliance per migliorare la gestione dei rischi e ottimizzare le relazioni e interazioni digitali con clienti, partner e fornitori.
IDC ha sviluppato un framework che include gli elementi fondamentali e i principali benefici dei programmi di Digital Trust che necessitano di essere implementati e costantemente misurati e migliorati: tra gli elementi del framework, i comportamenti etici e le pratiche di business sostenibili stanno guadagnando forte attenzione, soprattutto in risposta a temi di grande interesse pubblico. La sostenibilità è infatti da tempo al centro dei dibattiti e dei programmi politici globali e anche per le aziende quest’area sta acquisendo un’importanza crescente, sia per la reale volontà di ridurre l’impatto ambientale delle proprie attività sia – in molti casi – per la consapevolezza strategica delle ricadute positive in termini di brand reputation che questo tema comporta. Le principali aziende dei diversi settori si pongono ogni anno obiettivi ambiziosi in questo ambito (Sustainable Development Goals – SDG) che interessano temi come l’ambiente e l’energia, la società e le comunità, l’inclusione, l’equità di genere e i diritti umani.
CISO IN PRIMO PIANO
L’area della sicurezza informatica non è la prima che viene in mente quando si parla di sostenibilità delle aziende: solitamente sono le aree delle operations, la produzione, il procurement e le risorse umane a essere infatti maggiormente coinvolte. Le tecnologie di security e la figura del chief information security officer (CISO) giocano in realtà un ruolo sempre più strategico nel permettere alle aziende di perseguire i propri obiettivi su questo fronte, grazie alla possibilità di assicurare elevati livelli di fiducia verso il mercato e di garantire l’integrità di dati, informazioni e sistemi. Il GDPR, per esempio, ha conferito ai CISO un ruolo di primo piano per la gestione della fiducia, della privacy e dell’etica: la gestione dei dati, incluse le informazioni sensibili e personalmente identificabili è infatti di sua responsabilità e in molti casi potrebbe essere richiesto proprio al CISO di garantire o addirittura dimostrare la credibilità, l’integrità e la tracciabilità di determinati dati o informazioni che riguardano le operations e i processi legati ai temi della sostenibilità (dati sui consumi energetici, sulla provenienza di materie prime e prodotti, informazioni sulla tracciabilità, etc.). Ed è proprio attraverso le tecnologie di crittografia o di access management che l’azienda è in grado di proteggere e assicurare l’affidabilità e la veridicità dei dati, per ottenere in questo modo certificazioni o adempiere a requisiti normativi. I CISO saranno chiamati in modo crescente a migliorare l’affidabilità dell’azienda in diversi ambiti: l’area della cybersecurity sta dunque evolvendo con l’obiettivo di fornire un supporto trasversale alla gestione del rischio (reputazionale, operativo e di compliance).
RISORSE UMANE E TECNOLOGICHE
Allo stesso modo, evolvono anche le tecnologie e le competenze che sono strettamente necessarie per tutte le attività di monitoraggio, gestione e risoluzione di eventuali problematiche, nonché alla verifica dell’attendibilità di sistemi, procedure e dati. Le competenze rappresentano un aspetto fondamentale che si affianca alla tecnologia e ai modelli organizzativi indirizzati a far fronte alle nuove sfide e ad attacchi emergenti e sempre più diversificati. In base ai dati di IDC, le competenze all’interno dei dipartimenti IT contribuiscono per oltre il 40% ai miglioramenti dell’azienda sul fronte della trasformazione digitale, suggerendo quindi come le risorse umane e gli investimenti tecnologici devono essere considerati interdipendenti se si vogliono avere maggiori impatti positivi sulle strategie di digitalizzazione e innovazione. Le competenze principali per garantire lo sviluppo di un’adeguata carriera dei professionisti di cybersecurity includono oggi le aree del cloud, degli analytics e dell’Internet of Things, alle quali si aggiungono competenze necessarie anche nelle aree delle metodologie e practice di sviluppo (per esempio, DevOps, change management, ITSM). Il cloud è un’area fondamentale per il futuro delle strategie di sicurezza sia da un punto di vista di competenze (considerando la sua crescente adozione da parte delle aziende) sia da un punto di vista tecnologico, attraverso l’implementazione di soluzioni flessibili in grado di supportare l’evoluzione delle infrastrutture aziendali e dei perimetri di business. Da un lato, quindi, cresce l’adozione di soluzioni di security As a Service, che sono fornite attraverso il cloud, e che guadagnano importanza soprattutto nelle aree della data protection (backup, disaster recovery); dall’altro lato, risulta in crescita anche l’adozione di soluzioni di cloud security per la protezione delle soluzioni cloud e la ricerca di professionisti con competenze avanzate per l’integrazione e la gestione di soluzioni cloud-based. In Europa, in base ai dati di IDC, oggi l’adozione di soluzioni di security As a Service è trainata dalle grandi aziende: più della metà, infatti, già oggi prevedono l’adozione di soluzioni di sicurezza in cloud, hosted o SaaS.
CYBERSECURITY, TRUST E SOSTENIBILITÀ
Per supportare uno sviluppo adeguato della cybersecurity, IDC raccomanda alle aziende alcune azioni fondamentali. Sul fronte delle risorse umane, sarà fondamentale identificare l’importanza strategica delle diverse competenze, rendere queste priorità ben conosciute e diffuse a livello aziendale, incoraggiare i professionisti IT a intraprendere programmi di upskilling/reskilling su queste priorità, fornire l’opportunità di sviluppo attraverso programmi indirizzati sia ai professionisti IT sia a quello non-IT e riconoscere i risultati raggiunti attraverso l’assegnazione di obiettivi, responsabilizzazione e promozioni. Sul tema del Trust e della sostenibilità, IDC raccomanda un costante monitoraggio delle iniziative intraprese e degli obiettivi raggiunti, per ricalibrare dinamicamente strategie, modelli organizzativi e tecnologie. I CISO dovrebbero essere coinvolti (oltre che informati) sulle iniziative di sostenibilità e pronti a fornire indicazioni su come implementare e garantire controlli adeguati, includendo inoltre queste attività in un contesto più ampio di rischio (reputazionale, di conformità e operativo) e assumendo un ruolo di guida nell’istituire metriche per monitorare i risultati raggiunti. Da un punto di vista tecnologico, infine, in un contesto normativo e di business in costante evoluzione, le soluzioni di data security, identity e access management, così come quelle di governance, risk e compliance, dovranno essere costantemente aggiornate e includere un’integrazione con strumenti di analytics, intelligence e orchestration per prevenire eventuali rischi e rispondere rapidamente a eventuali attacchi che possano compromettere l’operatività del business e il livello di fiducia e affidabilità dell’azienda verso il mercato.
Diego Pandolfi Research and Consulting manager di IDC Italia