Cybersecurity e business continuity costituiscono i pilastri portanti per una società sempre più digitale, interconnessa e innovativa, in un panorama insidioso di crescenti attacchi cybercriminali e di complesse problematiche tecnologiche. Con il contributo di Akamai, Comune di Ferrara, CY4GATE, Osservatorio nazionale per la cybersecurity delle reti energetiche, Prelios Credit Servicing, SYS-DAT e UniCredit
Viviamo in uno scenario caratterizzato da una crescita delle incursioni di cyber criminali. Pertanto, è quanto mai necessario rafforzare la cybersecurity e la business continuity, a fronte degli ecosistemi sempre più interconnessi in cui le organizzazioni si trovano a operare. È con urgenza, dunque, che le organizzazioni sviluppino un robusto framework di cyber resilience per contrastare gli attacchi informatici, che diventano sempre più frequenti e sofisticati a livello globale. Questo framework è essenziale per prevenire o attenuare gli effetti negativi che tali attacchi possono avere sui sistemi aziendali e sulle operazioni quotidiane, collateralmente alla efficace gestione delle sfide operative e di sicurezza derivanti da stack tecnologici eterogenei e dalla migrazione verso nuovi sistemi. Questi processi richiedono una forte governance e la protezione dei dati, in un contesto che utilizza tecnologie sofisticate basate sempre più sull’intelligenza artificiale ed il machine learning. Ancora, le organizzazioni – a fronte di una galassia normativa europea caratterizzata da un approccio risk-based, resilience-based – dovranno necessariamente essere in grado di implementare sempre più i principi di risk management, business continuity e cybersecurity.
La tavola rotonda organizzata da Data Manager, che ha visto la partecipazione di importanti attori come Akamai, il Comune di Ferrara, CY4GATE, l’Osservatorio Nazionale per la Cybersecurity delle Reti Energetiche, Prelios Credit Servicing, SYS-DAT Verona e UniCredit, si è rivelata un momento di confronto costruttivo. L’incontro ha offerto l’opportunità di condividere le esperienze acquisite e di approfondire le strategie necessarie per garantire la cyber resilience in ambienti altamente regolamentati, come il settore finanziario, le infrastrutture critiche energetiche, il settore manifatturiero alimentare e la pubblica amministrazione.
L’IMPREVEDIBILE CERTEZZA
La tavola rotonda si è articolata in diversi momenti che hanno permesso di fornire riflessioni e preziosi suggerimenti per sopravvivere in quello che il CLUSIT ha definito un vero e proprio “Far West digitale”. La sicurezza delle organizzazioni dipende sempre più dalla capacità di sfruttare le potenzialità delle tecnologie emergenti, investendo in soluzioni avanzate che proteggano le diverse componenti degli ecosistemi digitalizzati. Ovvero, è essenziale prepararsi “in tempo di pace” per “agire in tempo di guerra”.
In pratica, progettando strategie strutturate e piani di sicurezza, e utilizzando tecnologie sempre in evoluzione. La tavola rotonda si è aperta con l’intervento del Comune di Ferrara rappresentato da Massimo Poletti, dirigente servizio sistemi informativi e responsabile per la transizione al digitale, che ha fornito la testimonianza della gestione di un attacco cyber subito lo scorso anno e che ha comportato lo spegnimento parziale delle infrastrutture IT per evitare il diffondersi del malware. Una situazione di lotta contro il tempo – come spiega Poletti. «Quando si viene coinvolti in un evento così catastrofico e che ferma tutta l’organizzazione, bisogna quanto prima operare delle scelte drastiche e soprattutto risolutive, a cominciare dall’individuare cosa occorre fare nella prima giornata, o al massimo nei primi due o tre giorni. Una PA, che eroga servizi ai cittadini rischia – aggiunge Poletti – non solo un danno reputazionale, che è una cosa a cui ovviamente le amministrazioni dal punto di vista politico guardano, ma anche un danno concreto per i cittadini, che è la cosa più grave». Pertanto, per prepararsi a scenari sempre più multi-rischio, ogni organizzazione dovrebbe avviare un cammino verso la cyber resilience.
SUPPLY CHAIN RESILIENTE
È, innanzitutto, fondamentale definire la resilienza operativa rispetto alla sicurezza e alla continuità operativa, aspetto non da poco. «Il titolo della tavola rotonda ci viene in aiuto, in altre parole si tratta di unire un aspetto proattivo a un aspetto reattivo» – sottolinea Stephane Speich, head business continuity & resilience group governance – Group Security di UniCredit. L’aspetto proattivo è rappresentato dalla cybersecurity che mette in condizione di prevenire i rischi e, qualora si verificassero, di mitigarne gli impatti, mentre l’aspetto reattivo scaturisce dalla continuità operativa. «Le normative come DORA o NIS2 costituiscono una opportunità per legare questi due mondi e capire bene, nell’insieme, le due dimensioni» – spiega Speich. «È doveroso evidenziare che il paradigma della resilienza operativa permette di rivedere con buon senso e pragmatismo la capacità di ogni organizzazione di essere flessibile nell’affrontare le sfide complesse, ma plausibili, dato che non è una questione di “se”, ma di quando tali sfide si paleseranno, con la consapevolezza di essere capaci di ripartire, anche in caso di situazioni avverse. Pertanto, le nuove normative devono essere considerate come una leva strategica per rivedere con occhio analitico come efficientare i propri processi di gestione dei rischi, tenendo in considerazione l’obiettivo della resilienza operativa».
Interviene sul tema Egidio Guarnieri, application manager & business continuity manager di Prelios Credit Servicing, precisando che uno dei requisiti di DORA è di garantire la resilienza dei fornitori e la trasparenza lungo tutto la catena di fornitura in modo da comprendere le strategie che essi sono in grado di mettere in atto per gestire un problema di cybersecurity. «Le organizzazioni, in un mondo ideale, si dovrebbero preparare a gestire l’imprevedibile certezza del rischio cyber attraverso l’implementazione di piani di disaster recovery, business continuity, l’assegnazione dei ruoli e delle responsabilità, oltre a effettuare le debite esercitazioni».
Nella realtà, può accadere che tutto questo non sia presente o formalizzato – come testimonia Poletti del Comune di Ferrara. «In questi casi, il fattore competenza del team IT diventa critico e fa la differenza. Persone dotate di buon senso ed esperienza, che – come è avvenuto nel mio caso – sono riuscite a gestire efficacemente la situazione, dimostrando a dirigenti, colleghi e cittadini di essere in grado di affrontare un evento dirompente con prontezza e professionalità».
Da dove iniziare il percorso verso la cybersecurity e la business continuity? «La cybersecurity – risponde Francesco Corrado, head of cybersecurity di Ferrero Italia – deve essere percepita come un fattore abilitante al raggiungimento degli obiettivi strategici dell’azienda; partendo da questo presupposto è vitale capire le sfide del business e gli obiettivi a medio e lungo termine che si prefigge. La strategia di sicurezza deve quindi essere plasmata per supportare il raggiungimento di tali obiettivi, in maniera pragmatica e fattiva, per garantire una esposizione al rischio cyber che sia accettabile e condivisa. La continuità operativa, per ovvie ragioni, risulta essere uno degli elementi focali quando si parla di rischio, soprattutto nelle aziende che operano nel comparto Industriale / Manufatturiero. Queste sono legate a dinamiche di processo, e a sistemi e luoghi, molto differenti da quelli vitali per altri contesti di Business. Anche in questo caso è vitale definire una strategia che consenta all’azienda di reagire in maniera consistente durante e dopo un’interruzione significativa. Questa non può prescindere dal comprendere e classificare i processi critici aziendali, identificando al contempo i sistemi e le tecnologie che li supportano. Definire e implementare misure preventive e reattive, nonché predisporre procedure, sessioni di test regolari (coinvolgendo tutte le funzioni aziendali), può garantire un rapido ripristino delle attività, minimizzando l’impatto sulle operazioni, persone e risorse».
AWARENESS AAA CERCASI
La tavola rotonda ha posto molta enfasi sull’importanza delle persone, dell’awareness e del ruolo strategico della formazione. La lesson learned descritta da Poletti del Comune di Ferrara ha evidenziato il ruolo strategico delle risorse umane nella gestione degli incidenti cyber per garantire la resilienza degli ecosistemi sempre più fragili. «Nella gestione del rischio cyber – sottolinea Poletti – il punto debole rimane sempre il fattore umano che, se debitamente formato, può convertirsi in una linea di difesa incredibilmente strategica».
La necessità di un approccio progressivo alla sicurezza e alla business continuity è stata ribadita a più voci, soprattutto attraverso programmi di awareness e di formazione, oltre a considerare le esercitazioni e gli stress test. Come evidenziato da Egidio Guarnieri di Prelios – «essere preparati a rispondere alle situazioni critiche è fondamentale. Tuttavia, far comprendere l’importanza di questa preparazione alle nostre organizzazioni risulta più complesso rispetto alle realtà anglosassoni, dove è un principio ampiamente condiviso».
Nel contesto industriale odierno – come rileva Corrado – la crescente digitalizzazione sta trasformando radicalmente i processi produttivi, introducendo nuove tecnologie e modelli operativi. «Tuttavia, questa evoluzione espone le aziende a nuove e complesse sfide, soprattutto in ambito di cybersecurity. Le minacce informatiche stanno diventando sempre più sofisticate e mirate, rendendo le persone, spesso non adeguatamente preparate a identificarle, uno dei principali punti di vulnerabilità. La mancanza di consapevolezza e di competenze specifiche, in ambito digitale e di sicurezza informatica, può compromettere seriamente la resilienza delle imprese. Pertanto, diventa essenziale investire nella formazione continua, sponsorizzando attivamente l’apprendimento di nuove conoscenze e strumenti necessari a gestire la trasformazione tecnologica, indotta dalla quarta rivoluzione industriale (Industry 4.0), in modo sicuro e responsabile. Solo un’adeguata preparazione, supportata dalla definizione di ruoli e responsabilità chiari (soprattutto negli ambienti industriali/manufatturieri dove specifiche attività legate alla cybersecurity devono essere necessariamente delegate a persone sul campo), può garantire la rilevazione e la prevenzione da potenziali attacchi, la minimizzazione degli impatti e l’aumento della resilienza. La formazione non è più un’opzione, ma una necessità strategica per affrontare le nuove sfide imposte dalla digitalizzazione».
Per raggiungere un miglioramento continuo, è necessario procedere un passo alla volta. «Non possiamo aspettarci di risolvere tutti i problemi in un mese» – sottolinea Poletti del Comune di Ferrara. «Puntiamo a obiettivi a lungo termine, ma ogni giorno facciamo qualcosa per la sicurezza. Coinvolgiamo l’intera organizzazione e, quando possibile, investiamo nella formazione».
Sergio De Cillis, CEO di SYS-DAT Verona, considera fondamentale permeare tutta l’organizzazione con la cultura della cybersecurity per incorporare i principi di resilienza e di essere pronti, nel momento del bisogno, ad attivare tutte le strategie e i piani predisposti perla protezione dei rischi. «L’organizzazione può iniziare con un approccio graduale alla messa in sicurezza, considerando all’inizio, per esempio, l’implementazione di politiche di Zero Trust, oltre a limitare gli accessi ai dipendenti in base ai ruoli e alle mansioni. In questo modo, in caso di attacco cyber, l’attacco risulterà circoscritto e i partner di cybersecurity potranno gestirlo in modo più reattivo e veloce».
COMPLIANCE E SUPPLY CHAIN
Le organizzazioni si trovano oggi a gestire la complessità di un quadro normativo sempre più caratterizzato da un approccio risk-based e resilience-based anche per quanto concerne la gestione della supply chain. DORA, in particolare, impone al settore finanziario una gestione della supply chain improntata a una trasparenza senza precedenti. «È fondamentale conoscere a fondo la rete dei fornitori per garantire la sicurezza e la continuità operativa» – sottolinea Edigio Guarnieri di Prelios. «Tale esigenza, sebbene cruciale, si scontra con ostacoli non indifferenti: la complessità delle catene di fornitura, le normative sulla privacy e la variabilità della preparazione dei fornitori in termini di cybersecurity». Di fatto, le istituzioni finanziarie, per adeguarsi al nuovo contesto normativo, devono rivedere profondamente i propri contratti con i fornitori, soprattutto quelli considerati critici per le operazioni, oltre a richiedere informazioni dettagliate sulle loro misure di sicurezza, sui piani di continuità operativa e sulle modalità di gestione dei dati. «In Prelios – spiega Guarnieri – adottiamo un approccio proattivo ed effettuiamo audit regolari presso i nostri fornitori, con una frequenza proporzionale alla loro criticità, per verificare l’attuazione di solide strategie di resilienza e sicurezza. Inoltre, chiediamo evidenze concrete su come proteggono i nostri dati e come garantiscono la continuità del servizio».
Secondo Speich di UniCredit, le normative, pur essendo complesse, offrono “principi cardine” dai quali partire per sviluppare una strategia di compliance. «Ogni organizzazione deve adattare questi principi alle proprie specifiche caratteristiche. In particolare, per i fornitori critici, Unicredit tende verso un approccio collaborativo, tenendo in particolar conto che più il fornitore è rilevante, maggiore è l’importanza di testare la capacità congiunta di essere resilienti. Tale visione si basa sull’analogia della famiglia, dove i problemi di un membro si ripercuotono sull’intero nucleo».
La cybersecurity dei fornitori è una sfida che riguarda anche la PA. Poletti del Comune di Ferrara ha evidenziato come, nel suo caso, «tutto ciò che era già SaaS non è stato toccato durante l’attacco subito. Ciò dimostra l’importanza di soluzioni certificate e approvate». Mai abbassare la guardia – commenta Poletti. «È indispensabile monitorare l’intera catena di fornitura, assicurandosi che anche i fornitori dei fornitori adottino misure adeguate a garantire la sicurezza e la continuità operativa».
LE INFRASTRUTTURE ESSENZIALI
Anche le infrastrutture essenziali, altamente digitalizzate, devono garantire sempre più la cybersecurity e la business continuity. Come sottolinea Gaetano Sanacore dell’Osservatorio nazionale per la cybersecurity delle reti energetiche – «è fondamentale servirsi di direttive come NIS2 e standard come ISO 27001, ISO 22301 e IEC 62443 per gestire la complessità di questi sistemi, soprattutto considerando il contesto critico in cui operano». Inoltre, Sanacore evidenzia la necessità di una «gestione multi-rischio e di una consapevolezza delle differenze tra sistemi IT e OT». Inoltre, nel caso delle infrastrutture elettriche – «bisogna considerare che ci si trova a gestire interconnessioni a livello europeo, rendendo fondamentale la collaborazione tra operatori elettrici nazionali e internazionali per garantire la resilienza dell’intero ecosistema».
Sul tema della convergenza tra IT e OT, interviene anche Corrado di Ferrero Italia. «Si tratta di due mondi concepiti e sviluppati per scopi completamente diversi. L’IT (Information Technology) si concentra sulla gestione e l’elaborazione dei dati, mentre l’OT (Operational Technology) è focalizzato sulla gestione di processi fisici. Questa differenza si riflette inesorabilmente sui presupposti e sugli obiettivi di continuità che caratterizzano l’azienda stessa. Ad esempio, un incidente/malfunzionamento di un sistema ICS/SCADA potrebbe avere conseguenze dirette sulla produzione manufatturiera, sulla sicurezza degli impianti e sulle persone (safety)».
Impatti molto differenti – continua Corrado – si evidenziano per le soluzioni IT che per loro natura sono progettate per garantire in maniera prioritaria la confidenzialità e l’integrità delle informazioni che processano. «Sebbene si stia assistendo a una crescente convergenza tra IT e OT, con l’aspirazione dei sistemi OT a diventare più interconnessi e smart, esistono differenze strutturali che li contraddistinguono e che è necessario conoscere e considerare in un processo di trasformazione digitale. Questi, generalmente, non sono progettati per supportare meccanismi/processi di sicurezza e autenticazione, hanno un tempo di vita lunghissimo (svariati decenni), non possono essere patchati/upgradati, presentano vulnerabilità note e, molto spesso, sono componenti di architetture complesse progettate per essere isolate (per limitarne l’esposizione a minacce esterne). Tuttavia, la spinta verso l’Industria 4.0 e l’Internet of Things proietta tali architetture a una iper-connessione che le espone a nuove minacce e rischi, che l’azienda non è pronta a gestire».
Per questo, bisogna prestare la massima attenzione – avverte Sanacore dell’Osservatorio. «Siamo di fronte al rischio di una “ITzzazione” dell’OT che espone i sistemi industriali a nuove vulnerabilità portate talvolta da servizi IT all’interno di processi produttivi OT e di complessità di questi ambiti industriali; tutto questo richiede la gestione di un delicato equilibrio tra sicurezza, continuità operativa e aggiornamento tecnologico».
Un altro aspetto cruciale che le organizzazioni nell’industria 4.0 e 5.0 non possono trascurare è il rischio legato all’impiego dell’intelligenza artificiale. «L’utilizzo dell’intelligenza artificiale – spiega Corrado – sta emergendo come una straordinaria opportunità anche per i settori industriali e manifatturieri, offrendo potenziali benefici in termini di efficienza e ottimizzazione dei processi. Grazie all’AI, è possibile velocizzare le operazioni, automatizzare attività ripetitive e a basso valore aggiunto, liberando risorse umane per mansioni più complesse e strategiche. In particolare, tecnologie come i cobot, i bracci robotici, i robot industriali e le linee di produzione nella loro interezza possono trarre immensi vantaggi dall’utilizzo di algoritmi di AI. Questi potrebbero migliorarne ulteriormente la precisione, l’adattabilità e l’efficacia complessiva, portando a un’ottimizzazione dell’utilizzo delle linee produttive stesse, all’aumento della qualità dei prodotti e alla diminuzione degli sprechi».
Tuttavia, l’integrazione dell’AI, nei processi industriali, introduce nuove sfide significative anche dal punto di vista prospettico della sicurezza informatica. «È cruciale – continua Corrado – comprendere come queste tecnologie possano essere controllate, monitorate e anche protette da potenziali attacchi informatici. Le vulnerabilità delle stesse potrebbero esporre sistemi robotici/cobot a rischi che non si limitano al solo malfunzionamento/rallentamento delle operations, ma potrebbero avere gravi implicazioni sulla safety di operatori e impianti. La supervisione costante e l’adozione di misure di cybersecurity targettizzate sono fondamentali per abilitare e sfruttare al meglio le potenzialità dell’AI senza compromettere la continuità operativa degli impianti e la sicurezza delle persone che vi operano».
IL VALORE DELLA FORMAZIONE
Tutti i panelist concordano sull’importanza della formazione, che deve essere accompagnata da esercitazioni, essenziali per prepararsi ad affrontare gli scenari del rischio cyber. A tal proposito, Speich di Unicredit menziona una recente esercitazione, che ha coinvolto il settore bancario europeo, atta a simulare un attacco cyber sui sistemi di core banking. Tale esercitazione ha coinvolto numerose banche, permettendo di testare il proprio backbone system e la capacità proattiva di garantire il ripristino a fronte di un attacco ransomware.
Non solo le banche, ma anche le infrastrutture critiche sono sottoposte a stress test. Sanacore dell’Osservatorio aggiunge che recentemente ha saputo di una esercitazione europea organizzata da ENISA e dedicata alle infrastrutture critiche, per verificare la maturità nella gestione di uno scenario cyber. «Un’esercitazione molto interessante, dove sono stati coinvolti tutti gli attori paneuropei» – spiega Sanacore. «A livello nazionale, ha comportato il coinvolgimento delle massime autorità competenti in ambito cyber e, successivamente, degli CSIRT e SOC di tutta Italia, permettendo di testare i processi delle infrastrutture critiche in termini di business continuity, cyber resilience, incident management, data recovery, e indagine forense». Sanacore afferma che nelle aziende di ambito industriale-energetico, questa esercitazione è stata un’ottima occasione per testate alcune parti dei piani di business continuity e di attività di indagine forense, tuttavia, i team di riferimento si sono dimostrati pronti. «L’esercitazione ha portato a tutti un valore aggiunto e, soprattutto, ENISA ha potuto verificare come, a livello europeo, viene affrontata una crisi energetica sostanziale, simulando interruzioni di pezzi di rete nazionale che trascinavano altre parti di rete europea. Quindi, ancora una volta, ci si è allenati i muscoli».
È doveroso ricordare che, oggi, esistono anche piattaforme di gamification per migliorare la resilienza e aumentare il livello di consapevolezza. Inoltre, le piattaforme alimentate dall’AI permettono di simulare molteplici scenari, senza dimenticare che un altro metodo per garantire esercitazioni molto realistiche è l’uso dei digital twin, che consentono di verificare concretamente il grado di resilienza.
IL RUOLO DEL PARTNER TECNOLOGICO
Le organizzazioni non sono sole nel percorso verso la resilienza. Esse possono avvalersi di partner tecnologici in grado di supportale nella gestione del rischio cyber e contribuire a renderle compliant alle normative vigenti. È doveroso ricordare che le organizzazioni, nella fase di selezione delle tecnologie da adottare per garantire la cybersecurity e la business continuity, devono innanzitutto partire dalla conoscenza del proprio contesto. Purtroppo, molte organizzazioni non si conoscono ancora sufficientemente e rischiano di non intercettare le potenzialità delle soluzioni tecnologiche che, invece, potrebbero fare la differenza sia nell’ottica di una maggior compliance alle normative sia di garanzia della cyber security e della business continuity.
«Si tratta di avere una postura di sicurezza corretta, che sia in grado di affiancarmi nella gestione del rischio cyber» – spiega Fabio Monzini, major account executive di Akamai Technologies. «Di fatto, non mi interessa sapere con quale tecnologia il malware agisce. A me interessa che non si propaghi. Pertanto, seleziono la tecnologia più opportuna e la utilizzo per creare una separazione, non solo delle reti, ma anche dei processi che interagiscono tra di loro, all’interno di una rete, per evitare di facilitare la propagazione di un malware all’interno dell’azienda».
Andrea Pompili, chief scientist officer di CY4GATE afferma che la tecnologia è un elemento abilitante che permette di accelerare i processi. «Oggi, ci confrontiamo con la composite AI, che presuppone mettere l’uomo al centro e si converte in una leva strategica in grado di aumentare le capacità dell’essere umano che deve, però, conoscerla per sfruttarne in toto il potenziale». Nella dinamica tra attaccante e difensore, la tecnologia deve evolversi in uno strumento strategico. «Più la tecnologia è efficace, più rende inefficace l’attaccante» – spiega Pompili. «L’obiettivo della tecnologia è prevenire il danno o, qualora si verifichi, contenerlo entro limiti gestibili, trasformandolo in un rischio sostenibile. Questo concetto è fondamentale e si collega direttamente al principio della resilienza».
Di fatto, le soluzioni di sicurezza presenti sul mercato devono funzionare per permettere di gestire quello che accade prima e dopo l’incidente. Ovvero – come afferma Pompili – il cosiddetto “left and right side of the boom”, che garantisce la visione olistica del processo. Il provider tecnologico deve trasformarsi in una vera e propria guida, un “magister” che indica la strada da seguire. Deve non solo guidare e supportare il cliente nella scelta della tecnologia più idonea, ma anche offrire consulenza nell’implementazione, assicurandosi che i dipendenti del cliente possano sfruttare appieno il potenziale delle soluzioni adottate. Inoltre, è fondamentale che il provider garantisca nel tempo aggiornamenti continui e la scalabilità delle soluzioni, per rispondere efficacemente alle esigenze future.
Si tratta di stabilire, altresì, tavoli di confronto e capire – attraverso una dialettica costruttiva e basata su un linguaggio univoco e condiviso – di che cosa veramente ci sia bisogno per garantire la sicurezza e la business continuity, oltre a garantire un flusso continuo di informazioni e condivisioni di lesson learned e best practices. Su questo punto interviene anche Monzini di Akamai: «La tecnologia è uno strumento che viene realizzato da tecnici capaci di sviluppare soluzioni di cybersecurity e business continuity, che rispettano i requisiti normativi e soddisfano le esigenze dei clienti, affrontando al contempo le sfide del mercato. Questi esperti, grazie alla loro esperienza consolidata, sono in grado di assistere le organizzazioni nella selezione della tecnologia più adatta».
Sempre sulle soluzioni tecnologiche, Pompili di CY4GATE sottolinea nuovamente l’importanza di conoscere i propri asset. «Le organizzazioni devono prima di tutto avere una comprensione chiara e approfondita dei propri asset per poter identificare la tecnologia più adatta alle loro esigenze. Solo attraverso un’analisi accurata dei punti deboli delle soluzioni tecnologiche attualmente in uso è possibile colmare il gap esistente e individuare la soluzione ottimale».
Sergio De Cillis, CEO di SYS-DAT Verona evidenzia che per le PMI, scegliere soluzioni di cybersecurity e business continuity rappresenta una sfida, poiché la consapevolezza in materia è ancora relativamente bassa. «In molti casi, queste aziende si basano sull’esperienza di altri e vedono l’investimento come un costo, piuttosto che come un’opportunità» – osserva De Cillis. «Tuttavia, questo atteggiamento tende a cambiare quando l’organizzazione intraprende un processo di digitalizzazione e innovazione legato all’industria 4.0. In questo contesto, cresce la consapevolezza che connettere i macchinari industriali alla rete e interconnetterli con altri sistemi aumenta significativamente il rischio cyber, rendendo necessarie misure di sicurezza più avanzate».
È importante sottolineare che gli investimenti in cybersecurity possono offrire vantaggi concreti alle organizzazioni. Monzini di Akamai racconta: «Un nostro cliente di grande rilevanza internazionale ha ottenuto un ritorno positivo sull’investimento in cybersecurity. Questo cliente aveva stipulato una polizza di assicurazione cyber e, durante la valutazione, l’assicuratore ha richiesto dettagli sulle misure di sicurezza implementate. Potenziando gli elementi di Zero Trust e adottando altre misure raccomandate dalla compagnia assicurativa, il cliente è riuscito a ridurre il premio assicurativo. Così, l’investimento non solo si è ripagato, ma ha anche generato un risparmio significativo, riducendo il rischio e il potenziale danno».
LA GESTIONE DEI CONTRATTI
Un aspetto importante da considerare nell’ottica della sicurezza e della business continuity, è come redigere il contratto con i fornitori critici IT e non. A tal proposito, Speich di Unicredit paragona la relazione con il fornitore al contratto di matrimonio: «All’inizio, c’è sempre entusiasmo. Siamo tutti felici perché stiamo costruendo qualcosa di nuovo e migliorando dalla situazione precedente. Tuttavia, è fondamentale stabilire fin dall’inizio regole chiare che definiscano la relazione e le responsabilità, poiché è molto più semplice farlo quando non ci sono problemi. Quando invece, la relazione volge al termine, soprattutto dove non si conclude in modo positivo, diventa molto più difficile gestire il rapporto e risolvere eventuali conflitti». Pertanto, è importante definire chiaramente clausole di disaster recovery, business continuity e cybersecurity, oltre a definire una chiara exit strategy sulla quale il DORA pone particolare enfasi. «Quando il “matrimonio” finisce – afferma Speich – un “accordo pre-matrimoniale” può rivelarsi prezioso. In altre parole, è essenziale stabilire fin da subito regole chiare che permettano di sapere, in caso di risoluzione, quali passi compiere».
Anche per Corrado, i partner – siano essi fornitori di competenze o di tecnologie – ricoprono un ruolo importante e vitale per l’azienda. «Gli attacchi alla supply-chain stanno registrando una crescita continua e rappresentano una minaccia sempre più rilevante per le aziende che ne dipendono. Tali attacchi possono compromettere la riservatezza, l’integrità e la disponibilità dei sistemi aziendali, causando interruzioni operative, perdite finanziarie e danni reputazionali. Di conseguenza, diventa imprescindibile effettuare una valutazione approfondita della maturità dei fornitori rispetto alle tematiche di sicurezza, monitorando costantemente la loro postura e vincolandoli a clausole di sicurezza anche dal punto di vista contrattuale».
Quindi è necessario che questi si impegnino formalmente, soprattutto nei contesti Industriali/Manufatturieri, a garantire soluzioni sicure by design (in linea con i requisiti della Direttiva Macchine) e un supporto attivo (in termini di aggiornamenti, gestione delle vulnerabilità, patch management, etc.) per tutto il tempo di vita delle soluzioni/piattaforme/sistemi che commercializzano.
«Molte delle normative citate precedentemente – osserva Corrado – sono ben note alle grandi organizzazioni, già da decenni strutturate per recepirle e attualizzarle. Lo stesso, sfortunatamente, non si può dire per le PMI, che rappresentano il motore economico nazionale. Risulta quindi fondamentale riuscire a comunicare efficacemente anche con fornitori di piccole dimensioni che, pur essendo strategici e determinanti per il business non valorizzano un ritorno economico diretto nell’investire in sicurezza, definendo strategie comuni di compliance e mutuo supporto».
SFIDE DI BUDGET
«La sicurezza informatica e la business continuity, quest’ultima soprattutto da un punto di vista tecnologico, sono spesso percepite come un costo – afferma Corrado – che evidenzia la sfida generalizzata di dimostrare come entrambe rappresentano un abilitatore chiave per un Business che necessita, per non rimanere antiquato, di trasformarsi ed evolversi. Supportare attivamente uno step-change culturale, un adeguato understanding dei rischi e degli impatti, nonostante il ROI possa sembrare in molti casi inesistente e/o intangibile, è la sfida primaria di chi si occupa di sicurezza». Tuttavia, l’introduzione della NIS2, che prevede l’accountability del Top Management in termini di cybersecurity e business continuity, potrebbe servire da incentivo per aumentare la consapevolezza del rischio e per promuovere una cultura della cybersecurity. Ci si auspica che ciò aiuti le organizzazioni a comprendere l’enorme impatto che un potenziale incidente di sicurezza o una discontinuità operativa possono avere sull’operatività, influenzando negativamente il business, la reputazione, le relazioni sindacali sino a comprometterla in modo irreversibile.
Sebbene tutti i panelist della tavola rotonda concordino sul fatto che la problematica del budget per la cybersecurity e la business continuity non sia di facile risoluzione, Sanacore dell’Osservatorio consiglia di calare il rischio in una modalità precisa – «per far capire al Top Management dove si vuole andare, quantificando le perdite produttive a fronte del mancato investimento in sicurezza». In altre parole, è fondamentale presentare un’analisi completa dei pro e dei contro dell’investimento, dimostrando chiaramente come i benefici superino i potenziali svantaggi. «L’implementazione di una soluzione di cybersecurity o il conseguimento di una certificazione di ambito esplicitano, di fatto, l’impegno dell’organizzazione a raggiungere un determinato risultato in termini di resilienza. Insomma, leve strategiche o, meglio, booster di resilienza che noi introduciamo nei nostri sistemi».
BILANCIO FINALE
Per affrontare gli attacchi cyber sempre più diffusi a livello globale e che possono avere conseguenze negative sui nostri ecosistemi, le organizzazioni devono essere in grado di sviluppare un framework di cyber resilience come sintesi calibrata dell’implementazione dei principi di business continuity, risk management e cybersecurity. La conoscenza è l’elemento abilitante per intraprendere il viaggio verso la cyber resilience e arrivare alla consapevolezza di quelli che sono i punti di cedimento e, di conseguenza, individuare strategie in grado di mitigare i rischi cyber sempre in costante aumento, garantendo un approccio orchestrato, sempre più risk-based e resilience-based.
Le organizzazioni devono affrontare anche le difficoltà operative e di sicurezza legate alla varietà degli stack tecnologici e al passaggio a nuovi sistemi. Inoltre, con l’espansione continua dei sistemi, è cruciale implementare una gestione rigorosa dei dati, che sono essenziali in un contesto sempre più digitalizzato, caratterizzato dall’uso di tecnologie come l’intelligenza artificiale e il machine learning.
Pertanto, la differenza sostanziale tra le organizzazioni che riusciranno a superare una violazione dei dati o un attacco cyber e quelle che non ce la faranno sarà sempre più determinata dall’implementazione di una strategia di cyber resilience. Questa strategia deve includere una pianificazione efficace della risposta agli incidenti, una gestione robusta della continuità aziendale e solide strategie di disaster recovery, per garantire il ripristino delle attività aziendali con il minimo impatto possibile. In conclusione, le organizzazioni devono sviluppare un framework robusto ed efficiente per affrontare i rischi cyber e garantire la continuità operativa. È cruciale il supporto di fornitori tecnologici che offrano soluzioni e piattaforme intelligenti, scalabili e flessibili. Non meno importante è il coinvolgimento di tutta l’organizzazione, con la pianificazione di programmi adeguati di awareness, formazione e esercitazioni, per assicurare una protezione completa e una risposta efficace alle minacce.
Point of view
Intervista a Fabio Monzini, major account executive di Akamai: Cybersecurity in evoluzione
Intervista ad Andrea Pompili, chief scientist officer di CY4GATE: Conosci il tuo nemico
Intervista a Sergio De Cillis, CEO di SYS-DAT Verona: La valutazione del rischio
Gyala: Sicurezza finance, ATM nel mirino
