
La cybersecurity non è più un optional né un gravoso fardello burocratico, ma il pilastro centrale del business moderno. È questo il messaggio emerso con forza dal recente summit organizzato da Elmec, azienda con oltre cinquant’anni di storia nel mercato Information Technology, che ha scelto di puntare sull’esecution e sul valore della propria conoscenza tecnica per dialogare con clienti e talenti.
Da sottolineare che in meno di nove mesi, Elmec ha allestito quattro summit catalizzando la partecipazione di oltre 1.200 ospiti e realizzando più di 120 workshop. L’approccio adottato ha rappresentato un deciso scostamento dalle metodologie tradizionali di marketing strategico. Elisa Bisceglia, CSR & Sustainability Coordinator, ha spiegato che l’impatto riscontrato da tali eventi non era stato interamente previsto, ma si è rivelato estremamente positivo: “Dobbiamo dire che in effetti l’impatto di questa cosa in realtà non è stato voluto, cioè ci siamo ritrovati e ne siamo estremamente contenti”.
L’obiettivo primario era offrire il “vero valore al cliente”, riconoscendo che la risorsa di maggiore pregio è il tempo. Di conseguenza, l’investimento profuso da Elmec doveva tradursi in un impiego del tempo fruttuoso anche per i partecipanti. L’azienda si è configurata come il “braccio armato della nostra delivery, dei nostri tecnici, portando all’estremo valore quella conoscenza che fa parte del nostro DNA”. Questo modello fondato sulla competenza interna e sull’esperienza diretta costituisce il “vero valore cross rispetto a un unico silos. Non si tratta di avere unicamente un partner che parla solo di cybersecurity o di infrastruttura”.
Cybersecurity – Aumento degli attacchi e consapevolezza del board
I dati confermano un trend di aumento continuo degli attacchi cyber. “Il numero di attacchi cresce anno su anno”, ha affermato Emanuele Filadelfo, CISO e BU Director Cybersecurity. Tuttavia, l’analisi di dettaglio rivela che cambiano le strategie: nei primi sei mesi dell’anno si è assistito a un aumento di attacchi che vanno a segno, sfruttando campagne di phishing più intelligenti, sebbene l’Intelligenza Artificiale non sia ancora sfruttata al 100% delle sue potenzialità.
Di fronte a questo scenario, il valore aggiunto di Elmec è la capacità di far ripartire il business dopo un incidente che ha bloccato totalmente la produzione. Questo è possibile grazie a un team dedicato (incident response) e alla compresenza di tutte le competenze necessarie: dalla ricerca sulle nuove tecnologie di cybersecurity, al supporto del data center, dalla gestione delle postazioni di lavoro fino all’indirizzo del board sulla comunicazione e gli aspetti legali. Il vecchio modello di sicurezza basato sulla mappatura delle tipologie di attacco e la creazione di regole è “sta diventato ormai obsoleto”; oggi si parla di Adaptive Defense Security, un concetto in cui la sicurezza è end-to-end e richiede di rimettere continuamente in discussione il livello di fiducia verso l’infrastruttura e le terze parti.
Un dato significativo emerge dall’analisi sulle vulnerabilità gestite da Elmec: per l’ambito di sua competenza: l’azienda riesce a chiudere il 75% delle vulnerabilità entro l’anno. Il restante 25%, che spesso non può essere chiuso per vincoli applicativi o impatti di business, viene coperto con “sistemi di protezione avanzata”.
A livello regolamentare, le normative come la NIS 2 stanno aumentando la consapevolezza del board aziendale, a cui viene attribuita la piena responsabilità della sicurezza. Questo sta spingendo anche il settore industriale a investire nella segregazione del network, nel monitoraggio delle comunicazioni e nei security operation center.
Cybersecurity: da costo a investimento imprescindibile
Assumendo una prospettiva imprenditoriale, l’Amministratore Delegato di Elmec Alessandro Bellerio ha voluto esplicitare la percezione diffusa nel management: “Sebbene sia un concetto noto a tutti gli imprenditori, ritengo doveroso evidenziare che la sicurezza rappresenta un onere significativo, un vero e proprio fardello. Non comporta solo un costo diretto per le aziende, ma anche un overhead in termini di processi e burocrazia”. Nonostante questi innegabili aspetti, l’imprenditore ha ribadito che “l’investimento in sicurezza oggi è imprescindibile”.
Il cambiamento è guidato sia dalla recrudescenza degli attacchi che hanno messo in ginocchio le aziende, sia dal quadro normativo. Bellerio ha criticato l’inefficacia del precedente regolamento: “Il GDPR è stato sostanzialmente un buco nell’acqua, poiché le aziende lo hanno affrontato prevalentemente sotto l’aspetto formale, producendo molta documentazione ma senza elevare il livello di sicurezza operativa”. Al contrario, la NIS 2 “promette di essere una normativa molto più pratica e di maggiore valore”.
La svolta cruciale, secondo Bellerio, risiede nella maturazione della consapevolezza ai livelli decisionali. “Il vantaggio sta nella sempre maggiore consapevolezza dei vertici aziendali che, anche se percepita come un onere, ritengono la sicurezza fondamentale e necessaria”. L’AD di ha infatti sottolineato come i sistemi informativi non siano più un semplice supporto, ma “sono l’azienda stessa”, essendone spesso l’espressione della proprietà intellettuale. “In passato era chiaro che andassero protetti il capannone, i macchinari o la forza lavoro, mentre vi era una minore attenzione alla protezione dei sistemi informativi aziendali. Oggi questo scenario sta cambiando, rendendo tale onere molto più accettato e giustificato”.
La centralità dell’identità e della formazione
Al centro della strategia di tutta la sicurezza, si colloca la gestione dell’identità. Come ha spiegato Leonardo Anastasia, Center of Excellence Manager di Elmec, “anche se sembra controintuitivo, la protezione del dato per noi si posiziona al livello uno. Il livello zero, il pilastro fondamentale è la gestione dell’identità. Capire chi fa cosa e come accede viene prima della protezione del dato stesso”. Il 75% degli incidenti IT che generano un impatto sul business deriva proprio da una falla nel processo di identity management. Per questo, in caso di fusioni e acquisizioni, la prima cosa che Elmec comunica è: “prima di creare un legame tra le due entità si deve configurare adeguatamente la gestione dell’identità”.
Accanto alla tecnologia, un altro fattore chiave è la formazione. Non si deve limitare al phishing, ma si deve estendere all’utilizzo consapevole dell’intelligenza artificiale, che ha un impatto sull’esposizione dei dati aziendali. L’efficacia della formazione immersiva e pratica è misurabile: un percorso formativo che alterna sessioni in aula e campagne di phishing, come quello proposto da Elmec, porta a una riduzione del 50% dei click e dell’inserimento di credenziali da parte degli utenti. A livello interno, l’investimento è massivo: solo nel 2024, l’azienda ha tracciato quasi 29.000 ore di formazione, portando a circa 1.840 certificazioni attive.
Sicurezza nello sviluppo software e rischio residuo
L’Innovation Research Manager Matteo Ghiringhelli ha posto l’accento sulla necessità di mettere la cybersecurity al centro della parte di sviluppo software, fin dalla fase di design. È molto più difficile intervenire a posteriori. L’automazione è cruciale “non solo per controllare lo stato del software che si sta per rilasciare, ma anche quando si aggiornano le librerie esterne”. Ilario Brambilla, responsabile datacenter, ha ribadito che l’accesso “sia logico sia fisico, è il primo livello su cui si fonda la nostra sicurezza”.
La sfida maggiore, specialmente nell’ambito industriale, è la presenza di sistemi obsoleti (come Windows XP) non aggiornabili, dove l’unica soluzione è isolare e mitigare il rischio, “gestendolo consapevolmente con il cliente”. Non si può però promettere la sicurezza assoluta. “Comunque, un rischio residuo c’è sempre. E dobbiamo essere trasparenti con il cliente e condividerlo con lui”. Così, se per esempio la soluzione tecnica ottimale comporta di dover cambiare una macchina per la quale è stato fatto un importante investimento, “il trade-off non viene stabilito dal fornitore IT, ma dal cliente stesso. Questo approccio, basato su una forte competenza tecnica, ma orientato al dialogo di business, è la chiave della sicurezza moderna”, ha concluso Bellerio.