Strategia e Budget.
È cresciuta molto la sensibilità delle aziende sui temi della sicurezza, anche grazie alle recenti normative di settore, come ad esempio la normativa della Banca d’Italia 263/265 del 2013, che per prima ha definito e classificato il “rischio” degli istituti bancari e ha reso espliciti i requisiti minimi di sicurezza degli istituti di credito. Per i partecipanti al Focus Group sulla Cybersecurity, la sicurezza è un elemento consolidato della strategia aziendale: non è un progetto a sè stante, ma una practice diffusa a tutti i livelli dell’organizzazione. La ciclicità tipica dei progetti mal si coniuga con i progetti di sicurezza informatica: la rapidità con cui si muovono gli attaccanti non permette di iniziare e finire un progetto di Cybersecurity alla volta, ma impone un aggiornamento continuo e più fluido, che coinvolge diverse funzioni aziendali. Nelle organizzazioni dove per ragioni normative, la sicurezza è all’attenzione dell’alta direzione il tema Cybersecurity viene affrontato con regolarità dal consiglio di Amministrazione e dal CEO. Il “progetto sicurezza” è all’interno del piano complessivo dei progetti aziendali e finanziato con cadenza annuale. Nelle organizzazioni che operano in settori meno normati dal legislatore, le figure apicali sono comunque sempre coinvolte nella definizione delle strategie di sicurezza. I progetti di sicurezza sono a tutti gli effetti parte di una strategia di business complessiva su base pluriennale e attingono dal budget definito a livello apicale. In altri casi, come ad esempio l’ottenimento di certificazioni, i progetti di sicurezza dispongono di budget stanziati ad hoc.
Organizzazione interna.
Nelle organizzazioni che hanno partecipato al Focus Group, esistono sia team dedicati alla gestione del rischio e alla definizione di policy di sicurezza, sia entità dedicate al contrasto dei cyber attacchi. In alcuni casi la Cybersecurity ha acquisito, rispetto al passato, maggiore autonomia e indipendenza dalla Funzione IT e fa capo prevalentemente alle Operation, ma anche alla divisione HR o a un Chief Security Officer responsabile della sicurezza fisica e logica dell’organizzazione. In molti casi meeting interfunzionali settimanali permettono alla struttura organizzativa di mantenere il corretto allineamento sul livello di avanzamento dei progetti.
Ruolo dell’IT.
L’IT è l’owner di tutti i progetti e dei servizi di sicurezza informatica destinati al business e all’intera organizzazione. A tutti gli effetti è un fornitore interno con potere decisionale sulla definizione delle guideline e degli strumenti di sicurezza di ciascun progetto. All’IT spetta il compito di valutare, caso per caso, se sia conveniente sviluppare il servizio di sicurezza al proprio interno o acquisirlo dall’esterno. Se la sicurezza dell’informazione è un obiettivo aziendale, spetta all’IT fornire capacità di analisi affidabili, assicurare e garantire che le architetture applicative siano idonee a proteggere in modo adeguato le informazioni sensibili, anche se la protezione di informazioni e architetture implica una corsa contro il tempo e contro gli aggressori, sempre più veloci e strutturati per colpire. I limiti attuali sono evidenti: molte organizzazioni hanno investito nella sicurezza informatica, ma la maggior parte di esse ha finito per apporre un nuovo strato sopra un’infrastruttura IT esistente. Ne è risultata un’architettura eterogenea, che richiede interventi ad hoc e impedisce gli aggiornamenti sistematici. Le pressioni per l’introduzione di nuove tecnologie informatiche di memorizzazione, protezione e sicurezza - primo tra tutti il ricorso ai modelli Mobile e Cloud Computing - alzano la soglia di attenzione dell’azienda e portano la sicurezza a diventare un principio guida del disegno architetturale..
CITAZIONI DAL FOCUS GROUP CYBERSECURITY
Percezione in azienda
- “La sicurezza oggi è uno dei temi trattati nei consigli di amministrazione.” “Si percepisce che dalla Cybersecurity può dipendere la vita stessa dell’azienda.”
Governance
- “La sicurezza non è delegabile, è un qualcosa che va governato e condiviso: si risparmia e si fa meglio.”
Criticità
- “La prima causa di vulnerabilità dei sistemi è il comportamento delle persone.” “I sistemi cambiano rapidamente e un non perfetto interfacciamento vanifica gli sforzi.” “Il rischio è di avere troppe procedure e troppe policy. Bisogna mediare con le abitudini e creare consapevolezza.”
Competenze
- “Tutti quelli che hanno una mezza idea si vendono come competenti.”
Fornitori e partner
- “L’offerta evolve, ma non bisogna inseguire le mode. Le soluzioni vanno scelte, implementate e seguite bene, altrimenti non servono a nulla.”
Ecosistema
- “Utilizziamo sempre più le terze parti. È importante capire come proteggono i nostri dati, perché lo scambio di informazioni è a 360 gradi.”
What’s next
- “Bisogna iniziare a pensare a quello che ci sarà tra 10 o 20 anni. Tutte le grosse aziende hanno supercomputer e Intelligenze artificiali nominate in vari modi, alcune in piccolo anche sui cellulari. Il comportamento umano genererà problemi anche in futuro. La sfida è capire come gestiremo cose che sono fuori dai budget tradizionali.”
La sicurezza “by design” è già nelle strategie dell’IT, a differenza del passato anche recente, quando la sicurezza costituiva una sorta di guscio da apporre al termine dei progetti ed era spesso inclusa a traino, come un mero add-on del progetto. Lo sviluppo di una app Mobile, ad esempio, avrebbe richiesto l’intervento del team di sicurezza solo a prodotto finito, attraverso un semplice validation test. Questo approccio è ora insufficiente: l’aver testato un oggetto non assicura che esso contempli in tutto o in parte gli aspetti della sicurezza dell’informazione e che si possa integrare con i sistemi esistenti senza mettere a rischio l’intero ambiente IT.
Partner esterni. In ambito sicurezza, l’IT agisce da broker, ovvero come un fornitore interno di servizi al quale è affidato il compito di stabilire se un progetto debba essere eseguito internamente oppure affidato all’esterno. Tutti i progetti di innovazione descritti durante il Focus Group includono elementi di sicurezza by design: i requisiti di sicurezza sono predeterminati in fase progettuale, mentre le modalità di autorizzazione e gli strumenti di autenticazione sono definiti dall’IT e diventano parte integrante del progetto. I progetti sono autorizzati solo se dimostrano di essere conformi ai requisiti richiesti dall’IT.
Il budget a disposizione non è mai abbastanza ma nella realtà dei fatti la dimensione del budget disponibile viene considerata meno importante rispetto al sapere come spendere il budget e come determinare il giusto mix di investimenti tra soluzioni e servizi.
I partner tecnologici di riferimento in ambito sicurezza vengono percepiti su tre gruppi distinti: fornitori multinazionali di tecnologie, consulenti e società di servizi, e tanti piccoli fornitori di nicchia (spesso start up) in molti casi specializzati su un processo o un settore e tipicamente a copertura regionale o settoriale. La struttura iper-frammentata del sistema di offerta abbinata alla crescente complessità e rapidità di aggiornamento delle soluzioni e degli strumenti - in un’area in cui l’innovazione tecnologica di attaccanti e attaccati si muove con notevole rapidità – crea due livelli di criticità:
- una notevole confusione rispetto alle tecnologie offerte e con quali esperienze da quali fornitori. La scarsità di referenze relative a esperienze progettuali in Italia porta spesso al timore di affidare un progetto a un partner tecnologico non ancora sufficientemente formato da esperienze sul campo;
- il crescente gap di competenze e di esperti di sicurezza sia all’interno delle aziende, che, ancor di più, in capo ai partner tecnologici.
Per supplire alla eccessiva frammentazione del sistema di offerta, più organizzazioni rappresentate nel Focus Group prevedono una strategia duale per la partnership tecnologica in ambito sicurezza:
- da un lato, la graduale riduzione del portafoglio dei fornitori esterni a favore dei player che, almeno sulla carta, assicurano gli strumenti più aggiornati e completi di messa in sicurezza del dato, e questo anche per soluzioni non strettamente legate alla Cybersecurity;
- dall’altro, la selezione di piccoli player verticali più vicini al settore e ai processi dell’azienda. Per tutti i partecipanti il concetto di provider unico non può essere applicato in termini assoluti. I piccoli player verticali altamente specializzati, con competenze non facilmente reperibili presso i grandi player delle soluzioni per la sicurezza, restano indispensabili e insostituibili.