Le imprese devono pensare alla cybersecurity come al braccio destro del processo di digitalizzazione
«Nelle aziende vedo ancora molto smarrimento, perché non c’è ancora piena consapevolezza di cosa sia la cybersecurity e dei rischi da affrontare e gestire. Cosa manca? La conoscenza del contesto interno ed esterno, fatto di nuove minacce e di nuove normative come la NIS2, che implica obblighi di vigilanza ancora più restrittivi e sanzioni più importanti per chi le andrà a violare». Nelle parole di Federica Maria Livelli, specialista del comitato scientifico di CLUSIT, c’è molto dello scenario a luci e ombre che caratterizza l’attuale panorama della sicurezza informatica in Italia.
Uno stato di incertezza che non lascia particolarmente tranquilli, anche in relazione agli impatti economici che il recepimento della direttiva andrà a generare: entro tre-quattro anni dall’attuazione della NIS2, infatti, si calcola un aumento della spesa ICT delle aziende compreso fra il 12% e il 22%, percentuale che dipenderà dal livello di maturità e di governance esistente in ogni organizzazione. La possibilità di attingere ai fondi del PNRR per rispondere a questa necessità è per il momento solo un’ipotesi o poco più, mentre gli “obblighi” a cui sono chiamati i vertici aziendali sono decisamente più delineati: «Fare formazione e stimolare la cyber security awareness – spiega Livelli – perché le figure in posizioni dirigenziali possono essere ritenute legalmente responsabili per il mancato rispetto dei requisiti della nuova normativa». Uno degli effetti principali che si porta dietro l’introduzione della NIS2 è dunque un cambio radicale di paradigma per quanto riguarda le modalità attraverso le quali rapportarsi con la sicurezza informatica: i costi della non conformità, anche dal punto di vista dell’obsolescenza dei macchinari impiegati nelle unità produttive, diventano in altre parole una voce non più sottovalutabile, e di conseguenza una componente critica nelle strategie aziendali.
Il consiglio che Livelli di CLUSIT indirizza alle imprese, rispetto all’evoluzione in atto, è sostanzialmente quello di pensare – o di ripensare – alla cybersecurity come al braccio destro della digitalizzazione, e non come un suo accessorio ancillare. «In un mondo sempre più digitalizzato e connesso – conferma Livelli – le organizzazioni devono essere in grado di sviluppare un framework di cyber resilience, intesa quale calibrata sintesi dell’implementazione dei principi di business continuity, risk management e sicurezza, per affrontare attacchi sempre più diffusi a livello globale e capaci di avere conseguenze anche molto significative sui sistemi aziendali». Un approccio corretto e virtuoso alla cybersecurity, per quanto costoso e oneroso, non può tuttavia essere solo dettato da esigenze di conformità perché occorre confrontarsi con una sfida molto complessa, che porta sul tavolo i concetti di resilienza e di proattività e chiama il management a una maggiore attenzione nella valutazione del rischio cyber, a misurarne il valore in termini di impatto sul business e di ritorno degli investimenti. «La cyber resilience – conclude l’esperta di CLUSIT – richiede una pianificazione preventiva, l’adattamento continuo delle strategie di gestione del rischio e la capacità di ripristinare tempestivamente le operazioni in caso di incidente. Questo significa che guidare il cambiamento è impegnativo in qualsiasi scenario, ma lo è ancora di più se i CIO e i CISO non possono contare su un consenso regolare e continuativo a livello di consiglio di amministrazione.
Stand-up! Dal posizionamento alla presa di posizione
«Conoscenza, formazione, esercitazioni. Le organizzazioni per sopravvivere in questo contesto sempre più complesso – caratterizzato da policrisi e permacrisi oltre che da un continuo aumento di cyber attack – devono investire di più in resilienza, a tutti i livelli. La priorità è creare un ecosistema più flessibile e sicuro, focalizzandosi sulla cyber resilience, ossia, sulla capacità di anticipare, resistere e riprendersi da eventi cyber avversi e inattesi che possono compromettere l’operatività dell’organizzazione. Purtroppo, il cammino verso la cyber resilience è ancora in salita nel nostro Paese e molte organizzazioni non sono ancora strutturate in questa direzione. È necessario avere il coraggio di gridare che “il re è nudo”: basta proclami . È giunta l’ora di agire ed implementare i principi di standard fondamentali come il risk management, la business continuity e cybersecurity oltre che prendere conoscenza delle normative e direttive ancora poco conosciute. Non abbassiamo la guardia».
