Perché le aziende devono diventare Cyber-Resilienti

Tratto da Cyber Magazine | aprile-giugno 2020
A cura di Davide Giribaldi

L’esperienza del Covid-19 è destinata a condizionare le nostre vite per diverso tempo e da un certo punto di vista cambierà in maniera irreversibile il nostro modo di essere imprenditori, ma fortunatamente ci lascerà l’opportunità di un cambiamento epocale trasformando la cybersecurity e la governance dei rischi nel nostro più importante fattore di successo post pandemia. I motivi sono diversi e primo fra tutti un nuovo e diverso bisogno di fiducia.

Da alcuni anni le aziende di ogni settore economico e di qualsiasi dimensione, hanno intrapreso un processo di trasformazione digitale che l’emergenza Covid-19 ha improvvisamente accelerato,
costringendoci a trasferire dentro le mura domestiche una parte delle infrastrutture aziendali con il risultato di averle indebolite e di avere creato un’immensa superficie di attacco per gli hacker che mai prima d’oggi si sono trovati davanti opportunità così ghiotte.
Lo stress derivante dalla forzata clausura, unito alla preoccupazione per qualcosa di improvviso e dal forte impatto sociale come questo nuovo ed inaspettato virus, hanno notevolmente abbassato le nostre
difese; l’impossibilità di trasferire in così poco tempo “la sicurezza” aziendale dentro le nostre case ha fatto il resto, trasformando questo periodo in un incubo professionale per i responsabili delle infrastrutture
IT.

Ma con tutte queste ingenerose premesse, cosa dovremmo aspettarci dal prossimo futuro?
Da questo punto di vista mi sento ottimista perché avremo la possibilità di migliorare i nostri servizi e di crearne nuovi, di studiare diversi modelli di business e cercare strategie più efficaci per rendere più
competitive le nostre aziende e tutto ciò dipenderà dalla velocità e dalla profondità con cui sapremo adattarci ad un nuovo contesto.
Tutto ciò si chiama resilienza ed è lì che ci giocheremo una buona parte del nostro futuro imprenditoriale.

Se pensiamo all’evoluzione degli ultimi 24 mesi, uno degli aspetti più significativi della nostra trasformazione digitale è stato l’aumento esponenziale della quantità di dati e d’informazioni che abbiamo avuto a disposizione e che abbiamo dovuto gestire. La loro diffusione è stata possibile grazie ad alcune tecnologie come il cloud e lo sarà ancora di più con la diffusione del 5G ed è avvenuta lungo alcune direttrici
come il segmento mobile, l’IoT ed ovviamente l’intelligenza artificiale.
La conseguenza è stata un aumento considerevole delle superfici di attacco e quindi una maggiore vulnerabilità ed una più accentuata esposizione a pericoli, tanto è vero che negli ultimi 18 mesi si è registrato un considerevole aumento di attacchi sempre più complessi ed onerosi per le aziende che li hanno subiti. E’ quindi chiaro che la sfida per continuare ad offrire “fiducia” ai nostri clienti dipenderà in buona parte dalla nostra capacità ad individuare, gestire e mitigare i rischi cyber delle nostre infrastrutture in un ecosistema che si estenderà ben oltre il nostro perimetro ma che dovrà necessariamente coinvolgere anche i nostri fornitori, i nostri partner ed ovviamente i nostri clienti, in una sorta di collaborazione a 360 gradi in cui le sorti di ognuno di noi dipenderanno anche dalla capacità degli altri di fare squadra.

Raggiungere e mantenere la “cyberresilience” implica la capacità di comprendere e gestire il rischio associato ad ogni singolo elemento dell’infrastruttura digitale attraverso il quale sono distribuiti i servizi e sono gestite le informazioni; per questo dovremo imparare sempre più ad individuare le priorità e rendere sicure le applicazioni i processi e le infrastrutture.

Cosa dovremo fare?
Dovremo elaborare ed integrare piani strategici di Governance, Risk, Compliance e Cybersecurity per comprendere l’impatto dei rischi sul business, per definire nuove policy ed adeguare i budget a nuove sfide
che potranno essere vinte solo con l’allineamento dei rischi cyber alla mission ed alla vision aziendale. Dovremo quindi allineare le strategie di business a quelle della cyber security, prendere coscienza di
nuovi rischi, valutarne l’impatto e considerare ogni possibile danno a partire da quello reputazionale, distinguere le diverse priorità e trattarle adeguatamente, ma soprattutto dovremo formare, istruire e mantenere costantemente preparati tutti i nostri collaboratori ad un modo più efficace di gestire l’azienda, che non potrà che svilupparsi solo attraverso una profonda consapevolezza dei rischi.

Come potremo farlo?
Anche se non credo esista una ricetta perfetta è probabile che un approccio per fasi sia la chiave di lettura ottimale per garantire la continuità operativa delle aziende anche in situazioni mutate come quelle post covid-19; prima di tutto dovremo valutare se il nostro modello di business sarà ancora applicabile o necessiterà di accorgimenti e di variazioni, successivamente dovremo valutare nuovi minacce ed opportunità,
calcolare il loro possibile impatto sulle nostre aziende e valutare se e come trattare questi nuovi scenari di rischio.
Dovremo simulare gli incidenti, verificare i nostri piani di backup e soprattutto testare ogni possibile scenario in un contesto di miglioramento continuo e seguendo il più classico degli approcci al project
management: plan, do, check, act!
Dovremo infine compiere lo sforzo più importante: cambiare le nostre abitudini imprenditoriali con coraggio ma con estrema fiducia nelle capacità dei nostri collaboratori dalle cui competenze dipende una
buona parte della cyber resilienza aziendale.

Il covid lascerà certamente delle cicatrici, ma soprattutto immense possibilità di migliorare ciò che non ha funzionato, cambiare ciò che era sbagliato e creare ciò che non esisteva, in fondo anche questa è la
mission degli imprenditori!