Uno dei temi inevitabilmente protagonista del panorama digitale mondiale, e di conseguenza nella practice ICT Telco, è la sicurezza informatica. Quando si parla di sicurezza, informatica ma non solo, la teoria dice che sicurezza e funzionalità si escludono a vicenda. Operare in modo sicuro significa limitare gli accessi, aumentare i controlli, disabilitare i dispositivi e le funzioni, e così via. L’unico sistema completamente sicuro è quello spento e con il cavo di rete staccato. Il cui costo, di conseguenza, è esponenzialmente elevato, oltre che del tutto inviso agli utenti. La percezione della sicurezza come limitazione della funzionalità è un assunto che, spesso inconsapevolmente, fanno in molti, a cominciare dai responsabili di azienda: investire in sicurezza informatica è un costo, non necessariamente monetario ma che prima o poi si riflette sui risultati economici, e in quanto tale va minimizzato.
Alla base di questa visione sta una concezione della sicurezza come strumento meramente difensivo e quindi accessorio, ma non sempre è così. La sicurezza è uno degli aspetti della qualità, e in quanto tale, se implementata correttamente, contribuisce a migliorare la competitività. Per capire come sia possibile, è importante andare al di là dell’aspetto meramente tecnologico, e considerare invece l’impatto sull’azienda. Consideriamo, ad esempio, i casi (reali, anonimizzati) di due PMI italiane.
- Azienda A.
Software house con 8 impiegati. Per necessità di adeguamento a norme internazionali, è richiesto di attuare pratiche di sviluppo sicuro del codice, che includano la gestione sicura degli accessi alla repository, la gestione delle versioni, oltre che testing automation, continuous integration del codice. L’azienda, nata da una passione del fondatore e cresciuta senza pianificazione, non mette attualmente in atto queste pratiche, e dichiara di non avere le risorse necessarie per farlo, in quanto lo sviluppo del software, che consiste in continui cicli e frequenti iterazioni, non lo consente.
Dopo un periodo di confronto con la direzione, e di progettazione delle procedure e del processo di transizione, vengono gradualmente introdotti strumenti di sviluppo software – precedentemente noti ma non adottati – per la gestione del codice, del testing e dell’integrazione.
Acquisire familiarità con i nuovi tool richiede meno tempo del previsto, e presto la produttività aumenta, il tempo di identificazione e risoluzione dei bug diminuisce, la collaborazione tra sviluppatore aumenta, permettendo a ognuno di specializzarsi maggiormente sulle proprie competenze. I cicli di sviluppo diventano più brevi e la qualità del software migliora.
- Azienda B.
Azienda manifatturiera di dimensioni medio-grandi. A margine di un’attività consulenziale di altra natura (relativa al miglioramento delle linee produttive), emergono debolezze e vulnerabilità del sistema IT. Alcune di queste fragilità sono già note all’IT manager, che però è oberato dalle attività di amministrazione quotidiana della rete e non riesce a gestire anche gli aspetti legati alla sicurezza; altre non sono mai state portate alla sua attenzione.
Dopo un’analisi della situazione, viene quindi proposta l’introduzione di una nuova unità organizzativa, denominata vSOC – virtual Security Operations Center. L’unità raggruppa i direttori delle altre principali unità funzionali, inclusi il direttore di produzione, e l’IT manager, che la presiede, e si riunisce periodicamente per raccogliere aggiornamenti dalle varie unità e prendere decisioni. Attraverso questa modifica organizzativa, l’IT manager acquisisce rapidamente visione di tutti i punti critici del sistema IT (e OT), e le decisioni del vSOC vengono rapidamente trasmesse e implementate. Essendo condivise da tutti i direttori di unità, alcune richieste vengono formulate al management, che decide di investire in alcuni software dedicati. Il processo decisionale è diventato più efficiente e snello.
Questi casi dimostrano che avere un sistema sicuro implica avere un sistema all’avanguardia. E avere un sistema IT all’avanguardia significa avere un sistema più efficiente e funzionale. Fatto di processi documentati, snelli e monitorati, software moderno e, non di rado, innovativo, e personale preparato.
Perché, se è vero che nel 2022, ad esempio, si è assistito a un aumento della spesa in sicurezza informatica pari a circa il 18%, è altrettanto vero che però gli attacchi informatici sono aumentati del 138%, a cui va aggiunto un numero imprecisato di attacchi che non denunciati. Gli attaccanti cercano sempre nuove opportunità di monetizzare, e il modo migliore per sfuggire alla minaccia è di essere un passo avanti a loro. In questo senso, la sicurezza è un potente driver per l’innovazione, che può avere molte ricadute positive.
Tuttavia, i dati ci dicono che gli investimenti in sicurezza informatica non sono adeguati. Se le grandi aziende sono in qualche modo costrette a fare gli opportuni investimenti in cybersecurity – in quanto diversamente la complessità del sistema IT e l’estensione della superficie d’attacco non consentirebbe loro di operare troppo a lungo senza incidenti, per le PMI il discorso è diverso. Le PMI sono le più colpite da attacchi informatici – non attacchi di portata clamorosa, capaci di ottenere titoli sui giornali, ma sufficienti a sottrarre quanto più denaro possibile, spesso senza neppure una denuncia per non aggiungere ulteriori costi e danni di immagine.
Questa situazione ha tre cause principali: una limitatezza di competenze specifiche (expertise gap); una conseguente, ridotta consapevolezza (awareness gap); e una generale limitatezza di risorse economiche (cost gap). Tra le voci di costo relative alla gestione della sicurezza informatica, infatti, il fattore umano resta, per le PMI, quello più critico, oltre che la voce di costo principale. Un profilo di media esperienza si colloca sui 48.000€ / anno, che vanno ad aggiungersi al costo dell’IT manager. Per la maggior parte delle PMI, questo costo è eccessivo.
E a ragione.
Quando un’azienda manifatturiera di 50 impiegati conta 40 operai, 1 direttore, 2 progettisti, 2 addetti agli acquisti, 1 commerciale, 2 segretarie e 1 IT manager, oltre all’amministratore delegato, l’azienda non può permettersi di assumere un Chief Information Security Officer per gestire la sicurezza. E il CISO, dopo avere messo in sicurezza l’azienda, non saprebbe come impiegare 8 ore di lavoro retribuito al giorno.
In questo contesto, un fractional CISO può rappresentare una soluzione ideale per le PMI, permettendo di decidere un investimento in sicurezza informatica adeguato al bilancio aziendale. Da un punto di vista tecnico, è utile avvalersi di un fractional CISO quando:
- Il bilancio non consente di impiegare una risorsa a tempo pieno.
- C’è una limitatezza di competenze o risorse interne.
- È necessario rispondere a richieste specifiche e attività correttive per soddisfare i requisiti normativi o gli standard di settore.
- È necessario gestire momenti specifici della vita aziendale, come i cambiamenti nella sua struttura fisica, logica, umana o di business.
Da un punto di vista più strategico, invece, il fractional CISO può svolgere un ruolo attivo nel processo di crescita aziendale, contribuendo a promuovere l’innovazione tecnologica.
