Le sfide per i Ciso

Per cybersecurity si intende lo studio e l’applicazione di misure di sicurezza atte alla difesa da attacchi informatici di computers, servers, dispositivi mobili, sistemi elettronici ed informativi, dati, reti e di qualsiasi altro asset informatico.

Meno di 15 anni fa i temi che oggi sono considerati parte della cybersecurity venivano ricondotti più semplicemente all’ambito della sicurezza delle informazioni, area ricavata all’interno della gestione dei sistemi Ict e dal quale raramente tali temi venivano portati all’attenzione di figure organizzative che non fossero di stampo tecnologico.

Oggi la cybersecurity ha spazi importanti nei mezzi di informazione sia per documentare i crescenti eventi di attacchi cyber (+37,7% di attachi rispetto allo scorso anno, secondo quanto rilevato dal Rapporto Clusit 2019), sia in quanto elemento necessario per garantire lo sviluppo della cosiddetta “digitalizzazione” in tutti i mercati, in particolar modo quello dei Financial Services (asset management, banche e assicurazioni) nei quali il rapporto di fiducia tra cliente e azienda è fondamentale.

La prova che la cybersecurity è oggi direttamente connessa allo sviluppo della digitalizzazione emerge dalla dimensione e dalla crescita degli investimenti, che è pari a circa 1 miliardo solo in Italia con una crescita media di oltre il 17% (Fonte: Anitec-Assinform/NetConsulting Cube, marzo 2019).

Nei budget delle banche di tutte le dimensioni sono da anni presenti voci dedicate alla cybersecurity, che si sono distinte nel tempo per un trend di crescita costante anche in periodi di forte riduzione degli investimenti e dei costi. L‘importanza della spesa è infatti coerente con l’importanza della tematica, dei rischi ad essa connessi e del forte impatto della security sul business, soprattutto se digitale.

Per le ragioni sopra citate, oggi la cybersecurity ha come audience il Board of Director e i Ceo di tutte le società a livello globale. Come emerge dalla Ceo Survey di PwC, infatti, dal 2018 l’importanza delle cyber threats è tra le 5 top priorities dei Ceo intervistati a livello globale. Ormai è una realtà consolidata che gli organi apicali richiedano di essere aggiornati e formati con frequenza elevata sull’evoluzione delle minacce di cybersecurity.

La cybersecurity rappresenta quindi un nuovo termine con il quale viene evidenziata la rinnovata importanza che rivestono quell’insieme di persone, processi e soluzioni volto a garantire un adeguato livello di protezione per informazioni, applicazioni ed infrastrutture tecnologiche da qualunque minaccia possa comprometterne la confidenzialità, l’integrità o la riservatezza.

Ma la sostanza è cambiata? Sicuramente il principale cambiamento è da ricondursi alla trasformazione digitale del business, che ha fortemente modificato il modo con cui vengono oggi affrontati i temi di sicurezza. Il valore del mercato digitale in Italia vale oltre 70 miliardi, rispetto ai quali la cybersecurity vale tanto quanto gli investimenti in big data, entrambi catalizzatori di cambiamento (fonte: Anitec-Assinform/NetConsulting Cube, marzo 2019).

Un’altra ricerca di PwC di fine marzo sul mercato italiano delle Fintech (Piccole FinTech crescono con «intelligenza» - Osservatorio FinTech Italia 2019, seconda edizione) rileva un certo ritardo nello sviluppo del Fintech italiano ma con importanti dati per il 2019 (più di 100 aziende nate contro le circa 30 che sono state acquisite o non sono riuscite a svilupparsi), con una forte concentrazione sugli ambiti lending e payments, quest’ultimo rinvigorito dallo sviluppo dell’open banking e dalla normativa Psd2. Lo sviluppo del Fintech e dell’open banking, in generale, impone una revisione dei modelli di business verso un approccio aperto nel quale non c’è soluzione di continuità tra i processi interni e quelli affidati a partner o controparti esterne. In questo ecosistema aperto le minacce cyber crescono per numerose ragioni tra cui:

1. utilizzo di tecnologie innovative e quindi poco mature;

2. estensione della value chain con la necessità di presidiare la sicurezza dell’intera filiera;

3. utilizzo e condivisione dei dati sempre crescenti, con conseguente allargamento della superficie esposta ai rischi cyber;

4. modelli organizzativi, processi e controlli non ancora pronti per gestire il nuovo contesto;

5. comportamenti e modelli culturali del personale interno, dei fornitori e dei clienti non adeguati a garantire il necessario presidio della sicurezza.

In questo contesto non stupisce tanto che il numero degli attacchi sia in continua crescita, quanto che la media del “dwell time”, ovvero il tempo che intercorre da quando un attacco cyber si manifesta a quando l’organizzazione riesce a identificarlo, sia pari o superiore ai 6 mesi.

Gestire la cybersecurity non significa più solo valutare tutte le minacce realmente applicabili al contesto aziendale e implementare idonee misure preventive e protettive, ma anche diventare resilienti in caso l’attacco si realizzi concretamente, riuscendo a ridurre le sue conseguenze e a reagire in modo da ripristinare al più presto lo status quo ante. La via verso la cyber resilience, termine oramai in voga, richiede però di affrontare un tema che potremmo definire “l’elefante nella stanza”, ovvero la capacità di comprendere l’interazione e le interdipendenze tra servizi di business, processi che li supportano e asset It che li erogano. Purtroppo tale visione è al momento solo parzialmente raggiunta tra gli operatori, senza distinzione di mercato di appartenenza. In attesa di colmare questo gap informativo, quindi, diventa importante ridurre la superficie d’attacco proteggendo i dati ovunque essi siano gestiti: dal trasferimento via rete (data-in-motion) alla loro archiviazione all’interno di database tradizionali, big data o in cloud (data-at-rest). A tal fine, l’utilizzo di soluzioni di data masking dei dati, così come della cifratura, fornisce un utile strumento per raggiungere l’obiettivo di minimizzare gli utenti e le applicazioni che possono accedere ai dati in chiaro. Questo riduce considerevolmente il numero di casi in cui approfondire il tema della mappatura dei servizi sino agli elementi architetturali.

Oggi assistiamo alla trasformazione del ruolo del responsabile della sicurezza in un vero e proprio Ciso, ossia una figura manageriale in grado di dialogare con i vertici e le autorità di riferimento per fornire spiegazioni chiare in merito ad eventi cyber interni o esterni all’azienda. Egli deve altresì riuscire a gestire i requisiti normativi sempre più orientati alla sicurezza e, a livello di mercato, anche sempre più convergenti.

L’evoluzione tecnologica con piattaforme di sicurezza sempre più supportate da architetture big data e animate da logiche di machine learning e di intelligenza artificiale stanno inoltre veicolando una crescente convergenza delle soluzioni da adottare per rispondere a quelle che sino a ieri erano esigenze molto specialistiche in ambito security. Se integriamo dati e soluzioni di fraud management con quelli relativi alla sicurezza fisica, ad esempio, saremo in grado, grazie ad algoritmi di intelligenza artificiale, di identificare quegli attacchi che sfruttano la limitatezza della specializzazione dei compiti, in altre parole che sfruttano la mancanza di visione d’insieme. Per poter attuare tale convergenza, tuttavia, è necessario che i modelli organizzativi e l’attitudine del personale siano orientati alla collaborazione e alla condivisione di informazioni. È inoltre necessario disporre di nuove competenze in grado di cogliere tutti i benefici delle nuove piattaforme di sicurezza. Purtroppo il mercato non dispone di un numero adeguato di profili tecnici di questo genere: in generale la richiesta di profili cyber è costantemente superiore alle risorse disponibili, rendendo quindi fondamentale attivare percorsi autonomi di sviluppo delle competenze.

In definitiva, le aspettative dei regulator sono sempre maggiori, la normativa definita tanto a livello europeo quanto a livello italiano è passata dal fornire una rappresentazione “datata” delle misure di sicurezza richieste a proporre approcci innovativi basati su una attenta analisi dei rischi e, quindi, sulla responsabilizzazione diretta del top management. Per questa ragione l’obiettivo imposto ai Ciso di rispettare i requisiti normativi è passato dall’essere un mero requisito base a obiettivo verso il quale definire una strategia pluriennale di cybersecurity.