La NIS2 spinge verso una maggiore responsabilizzazione e impone una gestione più strutturata dei rischi
Quando si verifica un incidente informatico, la reazione spontanea dentro l’organizzazione è, in alcuni casi, la seguente: cerchiamo di capire cosa è successo e quali danni ha provocato, poi penseremo a cosa fare per evitare che succeda di nuovo. Pensare alla cybersecurity come a un oneroso antidoto da assumere post trauma e non a un “metodo” di prevenzione per tutelare il patrimonio informativo aziendale è un atteggiamento che accomuna molte imprese italiane. Qualcosa però pare stia cambiando. «L’approccio alla sicurezza informatica – spiega Francesco Lucio Corrado, head of cybersecurity di Ferrero Italia – vive una trasformazione significativa. Se una volta era percepita solo come un costo oggi, con fatica, comincia ad essere identificata come una leva strategica». Si stanno facendo passi in avanti rispetto alla percezione della sicurezza come commodity da acquistare a scaffale o una voce di spesa da mettere a bilancio, una percezione che – aggiunge Corrado – «costituisce un paradosso all’interno di una necessaria trasformazione digitale che vuole sostenere e supportare la strategia aziendale».
È fondamentale abbandonare l’idea che si debba aspettare il verificarsi di un evento dannoso per iniziare ad investire in prevenzione, poiché subire un attacco non è più una possibilità remota, ma una certezza concreta. È fondamentale acquisire la consapevolezza che la protezione dei dati, e la salvaguardia di tutte le attività operative, rappresenta un elemento vitale per l’azienda e che la piena comprensione dei rischi può trasformarsi in vantaggio competitivo. Il problema del costo – come sottolinea Corrado – però rimane, perché la sicurezza richiede investimenti elevati il cui ritorno (ROI) è generalmente più facile da giustificare per le grandi rispetto alle piccole e medie aziende, dove l’attenzione al tema della protezione di dati e sistemi emerge solo a fronte di un problema. C’è comunque anche un altro aspetto, altrettanto importante, che dovrebbe accelerare il cambio di orientamento in materia di cybersecurity delle PMI, ed è l’entrata in vigore della direttiva NIS2, che prevede una più rigorosa regolamentazione della sicurezza informatica e l’estensione dell’obbligo di osservanza di alcuni principi anche alle realtà di modeste dimensioni.
«La NIS2 – precisa Corrado – spinge verso una maggiore responsabilizzazione delle aziende, ponendo l’accento sull’accountability e imponendo una gestione più strutturata dei rischi. Per contro, non dobbiamo sottovalutare il fatto che l’applicazione di regole uniformi per tutte le imprese, indipendentemente dalla loro dimensione o settore, possa anche mettere in difficoltà quelle meno strutturate, che potrebbero trovarsi impreparate a fronteggiare questi nuovi obblighi». Non in ultimo, c’è un altro ostacolo da superare per parlare di atteggiamento virtuoso in tema di sicurezza ed è la convergenza, o per meglio dire, il persistente stato di disaccoppiamento fra IT (Information Technology) e OT (Operational Technology). Il rischio è infatti quello di creare aree grigie di non governo, mentre è necessario prendere coscienza che questa differenza va gestita riflettendosi direttamente sulla capacità di garantire una adeguata continuità operativa soprattutto in ambienti industriali complessi. «Oggi più che mai – ribadisce Corrado – vista l’evoluzione continua e dirompente delle minacce in un mondo sempre più digitalizzato, bisogna investire nella consapevolezza delle persone e nel loro upskilling per fronteggiare in maniera strutturata e naturale l’evoluzione contestuale che ci circonda».
Stand-up! Dal posizionamento alla presa di posizione
«Mi faccio ispirare da due parole: coraggio e resilienza. Anzi ne aggiungo una terza: speranza. Coraggio perché è facile parlare di determinate tematiche agli addetti ai lavori, diventa molto più complesso trasmettere questi concetti all’esterno, dove alcune dinamiche faticano a essere pienamente comprese. Per governare il cambiamento è necessario promuovere la cultura dell’innovazione. CIO e CISO sono parte in causa di questo processo. Non parlo solo di resilienza tecnologica, ma anche della capacità di costruire una visione condivisa duratura. Resilienza significa credere in ciò che facciamo e portarlo avanti con determinazione e maggiore partecipazione da parte dell’intero contesto aziendale. Solo attraverso un dialogo costante e una vera sinergia tra IT e Business possiamo costruire un futuro in cui la tecnologia non sia percepita come un elemento separato, ma come un alleato strategico per raggiungere obiettivi comuni, per creare insieme valore e innovazione sostenibile».
