Cybersecurity, parte integrante dei processi aziendali

Le imprese italiane hanno imboccato la via della trasformazione digitale, necessaria per restare competitive. L’esposizione al rischio tecnologico, soprattutto di interruzione dell’attività, è chiaramente percepita, anche se implementare un piano di sicurezza rimane una questione, tutta da risolvere, di investimenti e di competenze

La sicurezza in azienda non è una questione di adempimenti normativi che si affiancano all’operatività, al contrario, per essere efficace deve essere parte integrante di qualsiasi processo. Vale per la tutela delle persone e delle cose come per gli apparati tecnologici. Negli ultimi anni il sistema produttivo italiano ha fatto importanti passi in avanti nella digitalizzazione così come nella sicurezza cyber, con un cambio di approccio che è prima di tutto culturale.
Il Digital Economy and Society Index 2023 (Desi), realizzato dalla Commissione Europea per valutare il livello di digitalizzazione dei paesi dell’Unione, colloca l’Italia al 18esimo posto su 27, attribuendole valori sotto la media ma riconoscendo una crescita importante rispetto agli anni precedenti.
Luca Boselli, partner di Kpmg, head of cybersecurity services, ritiene che il periodo pandemico abbia costretto le imprese ad accelerare i processi di digitalizzazione, ma attribuisce la spinta maggiore a un contesto economico che richiede più innovazione per aumentare la competitività, “alla base c’è questa motivazione di fondo, che trova risposte nelle soluzioni tecnologiche, ad esempio il cloud, e acceleratori negli strumenti di finanziamento, come il Pnrr o l’Industria 4.0”.
In parallelo alla digital transformation aumenta la percezione del rischio cyber. Non è solo una questione di crescita degli incidenti, nelle grandi aziende come nelle Pmi, ma soprattutto “l’indicazione che le tecnologie hanno assunto un ruolo così rilevante da doverne salvaguardare il funzionamento, associando il blocco dell’operatività a perdite sensibili”. In questo senso, la cybersecurity non è tanto un fattore esterno da associare alla tutela dei processi ma è parte integrante del valore del business.
Ciò non significa che tutte le imprese abbiano la stessa percezione del rischio, e soprattutto non tutte hanno, in proporzione, gli stessi mezzi per implementare sistemi realmente sicuri. “Le aziende più grandi, o con rami di attività diversificati e strutture complesse, oppure molto soggette a variabili normative, hanno in genere sistemi di gestione del rischio più avanzati – afferma Boselli – all’opposto, nelle imprese di dimensioni minori o con processi semplificati la gestione del rischio digitale ha un livello di maturità decisamente più basso”.

Alla ricerca di soluzioni per difendersi

Secondo quanto pubblica il Rapporto Clusit 2023, lo scorso anno gli attacchi cyber dichiarati a livello globale sono aumentati in termini di numeri e di gravità, con un impatto “elevato” o “critico” nell’80% degli eventi; la tendenza in Italia rispecchia lo stesso andamento. Se a livello globale gli attacchi con finalità di cybercrime (prevalentemente ransomware) hanno rappresentato l’82% del totale, in Italia la quota arriva al 93% (+150% rispetto al 2021); nel nostro paese a essere colpito, dopo le istituzioni di ambito governativo (20% degli attacchi), è soprattutto il settore manifatturiero (19%). Questi numeri fanno intendere che le aziende italiane, incluse le Pmi, hanno oggi più consapevolezza rispetto al rischio cyber e cercano soluzioni per difendersi. Si parla quindi di integrazione delle tecnologie di security con quelle esistenti e di investimenti in sicurezza. A eccezione di alcuni settori, come quello finanziario, che hanno un’esperienza lunga e collaudata sulla digitalizzazione e la difesa cyber, in generale nelle aziende emerge un debito di competenze e di cultura tecnologica: “l’esito è che in un mercato in cui abbondano le soluzioni per il monitoraggio del rischio cyber, le imprese fanno fatica a orientarsi e a capire con quali strumenti integrare le tecnologie di security nel sistema informativo aziendale”, osserva Boselli. “Può accadere quindi – aggiunge – che si dotino progressivamente di soluzioni parziali, per accorgersi poi che manca una dashboard di controllo univoca”.

Nei sistemi di attacco cyber e di difesa si va verso una dimensione in cui le macchine interagiranno sempre più tra loro

Il nodo degli investimenti

Il tema degli investimenti è invece complesso da decifrare. In Italia le grandi imprese mettono a disposizione budget adeguati, mentre le Pmi hanno maggiori difficoltà; “in linea generale, gli investimenti per la cybersecurity spesso sono misurati confrontandoli con quelli relativi all’Ict e la loro definizione dovrebbe legarsi a piani di medio-lungo termine che considerino lo scenario dei rischi e il livello di maturità dei propri presidi di sicurezza”, spiega Boselli. Gli investimenti in sicurezza sono spesso definiti come costi, perché non è semplice quantificarne i ritorni. Secondo diversi studi, il danno medio per un data breach in una grande azienda può arrivare a vari milioni di euro, comprendendo gli effetti del blocco dei sistemi e il pagamento di eventuali riscatti, a cui vanno aggiunte le spese per supporti esterni e per il ripristino dei sistemi e dell’operatività. “In ragione della trasversalità del rischio, i budget non dovrebbero interessare solo la funzione Ict ma essere legati anche alle iniziative di business nel loro complesso come, ad esempio, nel caso del lancio di un nuovo servizio o l’avvio di un nuovo progetto”, conclude Boselli.

Dalla prevenzione alla capacità di risposta

Oggi l’approccio alla sicurezza cyber è cambiato e si fonda sull’attività di monitoraggio, prevenzione e, molto, sulla capacità di risposta. La premessa è comunque una completa analisi dei rischi a cui l’azienda è esposta, mentre in caso di implementazione di un processo o di un nuovo business digitale è fondamentale prevedere un approccio di security by design. “Rispetto alla concezione di difesa prevalente fino a una decina di anni fa, oggi l’aspetto più importante è il bilanciamento tra la prevenzione e la capacità di risposta”, precisa Boselli. “Se prima si operava sulla difesa del perimetro, ora si dà per assodata la possibilità di un attacco e ci si focalizza sul monitoraggio e sulla reazione. Ciò implica che le imprese siano preparate non solo dal punto di vista tecnologico ma che sappiano anche come intervenire nell’immediatezza, oltre ad avere predisposto un piano di recovery finalizzato a garantire in primis la continuità di servizio, seppure minimale, e poi a indicare gli interventi guida per il ripristino”, riferisce Boselli.
Tutto ciò trova però un ostacolo rilevante nella carenza di competenze disponibili. “Il ricorso alla consulenza esterna non è sufficiente, e in ogni caso i modelli di governance della cybersecurity aziendale più consolidati prevedono l’impiego di risorse interne con adeguate esperienze. La cybersecurity abbraccia un ampio spettro di competenze, che vanno da quelle di natura tecnologica fino a quelle legali. Purtroppo l’offerta di figure con conoscenze adeguate è insufficiente rispetto alla domanda”, spiega Boselli, che ricorda come attualmente anche le iniziative dell’Agenzia per la cybersicurezza nazionale forniscano un impulso importante nell’assecondare l’esigenza di formare risorse già nel mondo della scuola e dell’università.

IA: strumento e oggetto della cybersecurity

L’applicazione in azienda delle tecnologie basate sull’intelligenza artificiale (IA) introduce un ulteriore elemento di complessità alla gestione della cyber sicurezza. Il suo utilizzo nei processi operativi apre la porta ai rischi e alle perplessità che si manifestano quando una novità si innesta in sistemi già strutturati. La difficoltà nell’avere contezza dei processi di IA può far sorgere una certa diffidenza rispetto alla correttezza dei risultati delle analisi. Al contrario, osserva Luca Boselli, i risultati che si ottengono saranno tanto migliori quanto più si è disposti a dare fiducia a questa tecnologia: “una delle principali questioni è proprio sulla trasparenza nel funzionamento delle applicazioni di IA, così da avere la percezione del processo che viene seguito, un aspetto tanto più importante quanto più i risultati delle elaborazioni si sostituiranno alle decisioni umane. Il rischio principale risiede proprio nella governance dell’IA in azienda: l’utilizzo che ne viene fatto, la veridicità dei risultati, la visibilità dei processi”. Richiedono inoltre attenzione le competenze in azienda, la qualità e la disponibilità della mole di informazioni da elaborare per ottenere risultati validi.
L’IA gioca però da tempo un ruolo attivo a supporto delle tecniche di cybersecurity, in particolare per l’analisi delle correlazioni e delle vulnerabilità. L’evoluzione in atto vede una progressiva limitazione del governo di questi strumenti da parte dell’uomo, a favore della capacità del sistema di difesa di operare in autonomia, lasciando l’intervento umano ai casi più rilevanti e complessi: “il fattore umano è fondamentale nell’analisi, per il resto si va verso un maggiore livello di automazione dei sistemi di difesa così come avviene per quelli di attacco, in una dimensione in cui le macchine interagiranno sempre più tra loro”, conclude Boselli.