“Le aziende stanno adottando sempre più tecnologie complesse, come l'Internet of Things (IoT), il cloud computing e l'intelligenza artificiale. Queste nuove tecnologie offrono molti vantaggi ma aumentano anche la superficie di attacco e la complessità della gestione della sicurezza”. Inizia con questo monito la nostra chiacchierata con Greta Nasi, Director of the Master of Science in Cyber Risk Strategy and Governance, Università Bocconi e Politecnico di Milano, che – in vista della sua prossima partecipazione alla Cyber Security Arena, all’interno degli spazi di SICUREZZA, prevista a Fiera Milano-Rho dal 15 al 17 novembre 2023 – ci ha spiegato quanto oggi sia importante la gestione e la valutazione del rischio cibernetico in azienda, anche e soprattutto, nel momento in cui le organizzazioni decidano di implementare la protezione del proprio perimetro di difesa attraverso nuovi dispositivi di videosorveglianza o nuovi strumenti preposti alla manutenzione, aggiornamento e monitoraggio preventivo e predittivo dei propri macchinari. “Gli attacchi – ha proseguito la professoressa – sono diventati più sofisticati e determinati nel perseguire i propri obiettivi. L'aumento degli attacchi ransomware, phishing e di altre minacce, più orientate ad attaccare direttamente anche l’hardware, ha messo a dura prova la sicurezza delle aziende anche perché si è abbassato il costo di accesso a strumenti di cybercrime”. La questione, però, secondo Nasi non risiede solo nelle nuove opportunità di accesso a strumenti di attacco a basso costo offerte dai mercati, ma anche a una sottovalutazione oggettiva mostrata da parte delle aziende sul tema cybersecurity. 

“L’investimento in cybersecurity, infatti – sottolinea Nasi –, non è stato portato avanti con lo stesso grado di maturità da tutte le aziende e questo ha reso molte realtà più vulnerabili”. Un tema questo che apre la discussione a molteplici tematiche, tra cui lo sviluppo sempre più necessario di una cultura della cybersecurity sia tra le aziende delle filiere, sia tra i professionisti di una singola impresa, la dotazione sempre più importante di strumenti di difesa all’avanguardia e in grado di gestire la nuova complessità di uno scenario in continua evoluzione e anche l’aumento di competenze nei confronti di un’innovazione tecnologica ormai senza limiti, né freni. Tutti fattori che propongono rischi e opportunità da valutare con precisione e oculatezza per evitare di incorrere in decisioni sbagliate che, in periodi di grande incertezza, possono rappresentare la differenza tra capacità di resilienza e fallimento.

“Gli elementi da considerare, quando si vuole impostare una buona strategia di cyber risk assessment – spiega la professoressa –, riguardano l’investimento in persone non solo nei ruoli tecnici esperti in cybersecurity. Il Piano Nazionale di Ripresa e Resilienza (PNRR) può essere un'occasione importante per le aziende per migliorare la loro sicurezza cibernetica attraverso investimenti e finanziamenti per investire in persone e strumenti. Per quanto riguarda l'identificazione e la gestione dei rischi cibernetici, gli aspetti chiave da considerare, oltre a investimento in cultura digitale e persone, sono la sistematizzazione degli strumenti di cyber nei processi aziendali, la collaborazione e la capacità di adeguare l’investimento in prevenzione e resilienza già dalla progettazione dei sistemi informatici”. Il cosiddetto “by design” che sempre di più oggi, tanto nell’ambito della cybersecurity, quanto in quello della digital transformation più in generale, sta prendendo piede come concetto basilare su cui porre le fondamenta del successo. In questo senso, quindi, il principio della difesa e sicurezza, da quella hardware e fisica della security a quella software e digitale dell’intelligenza artificiale e delle infrastrutture cibernetiche, cambia il suo principio di posizionamento, passando da uno stato difensivo a un ruolo preventivo.  Laddove il monitoraggio e l’identificazione di azioni malevole o indizi criminali può concretamente fare la differenza anche grazie alle skill messe in campo da quei talenti di cui oggi le aziende avvertono fortemente la scarsità sul nostro mercato. “La mancanza di professionisti è una sfida importante per le aziende del nostro Paese oggi – ammette l’accademica –. Le istituzioni possono svolgere un ruolo chiave nella promozione della consapevolezza della sicurezza cibernetica, nella formazione e nell'implementazione di regolamentazioni efficaci per incentivare le aziende a proteggere i loro dati e le loro infrastrutture. La formazione e l'istruzione sono fondamentali per affrontare la talent shortage, e possono essere promosse anche attraverso programmi governativi e incentivi fiscali”.

Tutte iniziative essenziali per anticipare il gap che già oggi è presente e che domani potrebbe rappresentare un vero ostacolo alla business continuity. Basti pensare che solo nel 2022 gli attacchi cyber in Italia sono aumentati del 169%, con incidenze gravi o addirittura gravissime, secondo gli ultimi dati Clusit e ciò significa che, se non si avranno le competenze e i talenti giusti, nei prossimi anni potrebbe essere estremamente complesso difendere il proprio perimetro cibernetico e quindi la propria attività a 360 gradi, compreso il proprio patrimonio informativo. Motivo per cui, risulta sempre più chiaro, ormai, come in periodi di così grande incertezza economica, lavorativa, ambientale e digitale, la figura del Risk Manager e Chief Information Security Officer debbano lavorare sempre più a stretto contatto per poter garantire all’azienda una strategia di difesa che consenta la business continuity nonostante tutto. “Nelle realtà più avanzate, a dire il vero – conclude la professoressa –, la gestione del rischio e quella del rischio informatico sono già integrate. Questo è il trend per il futuro. Anche perché solo attraverso la collaborazione all’interno dell’azienda, ma anche tra aziende, governi e organizzazioni si potranno affrontare le minacce cibernetiche complesse. Bisogna comprendere le esigenze del mercato, che non sono più solo legate a figure tecniche, ma anche a professionisti in grado di supportare i decision maker. Per questo, sempre di più, anche nei percorsi universitari che realizziamo, cerchiamo di coniugare competenze tecniche e di scienze sociali al fine di poter supportare ogni ambito aziendale nel prendere decisioni strategiche ed operative. La questione, infatti, ormai non consiste più nel gestire il rischio, sia esso cyber, ambientale, geopolico o economico, ma nel saperlo prevedere e prevenire con una visione allargata e compartecipata. Solo così si potrà mantenere una governance solida e sicura non solo dell’azienda, ma anche del contesto in cui questa si inserisce e opera”.