Parte integrante e necessaria dello sviluppo aziendale, come ricorda Andrea Scattina, Country Manager Italy, Stormshield, Stormshield la Business Transformation cambia anche l’approccio alla cybersicurezza.
La responsabilità dell’acquisizione e dell’implementazione di tecnologie si sposta gradualmente dalle funzioni IT centralizzate ai singoli dipendenti o alle unità aziendali. E questo in particolare per ciò che riguarda applicazioni aziendali specializzate come sistemi HR (per la gestione dei dati dei dipendenti), strumenti per la contabilità (come le soluzioni di firma elettronica dei documenti), piattaforme per la gestione della logistica o strumenti per il reparto di ricerca e sviluppo. Un numero crescente di addetti è autorizzato sempre più spesso ad adattare, sviluppare o acquisire tecnologie e applicazioni specifiche per il proprio dipartimento in autonomia.
Business Transformation – Una crescente decentralizzazione delle competenze
Ciò comporta che volume e complessità delle decisioni in materia di rischio cyber prese nei singoli reparti superino ormai quelle dei gruppi IT e di cybersicurezza centrali. Questa decentralizzazione delle competenze si somma alla progressiva dissoluzione dei confini del perimetro aziendale. Ciò è dovuto all’introduzione di metodologie di lavoro agili, al crescente utilizzo di servizi cloud, alla digitalizzazione della supply chain e alla crescente interconnessione di dispositivi IoT.
Cybersicurezza: non basta più una difesa statica e perimetrale
Questi profondi cambiamenti nel mondo aziendale richiedono un adattamento sostanziale della gestione della cybersicurezza. Perché, in questo scenario, l’approccio convenzionale alla sicurezza basato su linee di difesa statiche e perimetrali, è palesemente insufficiente per proteggere in modo completo gli asset digitali. I CISO si trovano quindi ad affrontare un’escalation esponenziale di rischi informatici. Per i responsabili della sicurezza informatica sta diventando impossibile identificare ed esaminare ogni singolo rischio aziendale o dipartimentale. Anche solo questa perdita di controllo e visibilità è foriera di rischi non tollerabili.
Definire policy e processi per decisioni comuni
Per contrastare questo sviluppo non augurabile occorrono contromisure strategiche. Il ritorno a una centralizzazione della governance del rischio offre un approccio molto più informato e scalabile. Un approccio basato su un insieme di linee guida centralizzato ma flessibile, che supporti in modo ottimale il processo decisionale locale. A tale fine, dovrebbero essere istituiti comitati dedicati o team completi di governance, rischio e compliance. Il loro compito è quello di definire policy e processi che consentano ai rispettivi risk owner nei dipartimenti specializzati di prendere decisioni fondate su criteri comuni.
Puntare sulla valutazione olistica del rischio
In questo contesto di trasformazione aziendale, è possibile identificare diversi fattori chiave per rafforzare la postura di sicurezza dell’organizzazione, che tengono conto di nuovi aspetti di governance. Questi fattori guidano i leader della cybersecurity nel difficile compito di elaborare un volume crescente di progetti e garantire sia tempi di consegna più rapidi sia una maggiore flessibilità e personalizzazione. Superando al contempo i vincoli imposti da risorse limitate.
Un primo fattore chiave è una valutazione olistica del rischio, con responsabilità decentralizzata. Le aziende dovrebbero aggiornare continuamente i propri profili di rischio e verificare tutti i nuovi processi aziendali e le tecnologie per individuare potenziali vulnerabilità. In questo processo, la responsabilità per la valutazione e la decisione sui rischi dovrebbe essere maggiormente delegata ai team locali che impiegano o sviluppano attivamente tecnologie o applicazioni specifiche, supportati da direttive centrali.
Come razionalizzare i processi di cybersicurezza
L’efficienza si ottiene anche tramite l’automazione e l’orchestrazione. Gli strumenti di automazione possono essere utilizzati per razionalizzare i processi di sicurezza e per una più rapida rilevazione delle minacce. Ciò allevia il carico sulle risorse limitate del team di sicurezza centrale e consente una reazione più rapida ai rischi che emergono ai margini dell’azienda. Con una rigorosa gestione degli accessi e segmentazione della rete secondo il principio Zero-Trust, questo approccio consente ai team decentralizzati di implementare soluzioni innovative senza compromettere la sicurezza complessiva.
I dipendenti devono trasformarsi in un’efficace prima linea di difesa
La formazione e sensibilizzazione del personale svolgono un ruolo significativo come abilitatori essenziali del processo decisionale decentralizzato. La formazione continua è necessaria per accrescere la consapevolezza delle cyberminacce e trasformare i dipendenti in una forte prima linea di difesa. Un aspetto particolarmente rilevante se l’intento è consentire ai dipendenti coinvolti in acquisizioni tecnologiche decentralizzate di prendere decisioni informate. Ciononostante, un monitoraggio e una risposta continui con una supervisione centralizzata sono essenziali per rispondere in modo efficace e rapido agli incidenti di sicurezza.
La governance centrale deve poter attingere a una visione aggregata del panorama delle minacce, anche qualora i team locali intraprendano prime azioni di risposta. Infine, la definizione delle priorità e l’integrazione della governance sono cruciali. In un contesto di risorse limitate, i responsabili della cybersicurezza devono sviluppare strategie di prioritizzazione efficaci per garantire l’attuazione dei progetti entro un anno. Tattiche intelligenti per l’integrazione della governance nella pianificazione dei progetti sono essenziali per assicurare che l’introduzione decentralizzata di nuove tecnologie non generi un’esposizione incontrollabile ai rischi, ma sia piuttosto guidata da una governance flessibile, ma comunque rigorosa.
La cybersicurezza come parte integrante della strategia aziendale
In sintesi, la Business Transformation è un processo continuo che racchiude sia opportunità che rischi. Per un futuro digitale di successo, le aziende devono concepire la cybersicurezza non come un compito IT isolato, ma come parte integrante della propria strategia aziendale. Il tutto supportato da una governance centralizzata e intelligente, accompagnata da un’esecuzione decentralizzata. Solo così potranno affrontare le sfide della nuova era digitale e far evolvere in sicurezza la propria capacità di innovazione.
