Le sfide della cyber-security, oggi, hanno origine anche da gap e da mancanze da parte delle stesse aziende, divenendo veri e propri rischi ai danni della messa in sicurezza di tutti i sistemi informatici al loro interno e frenando gli investimenti in materia. La figura del security provider può raccogliere tali sfide e giocare un ruolo strategico nell’aiutare i propri clienti ad affrontarle.
TAKEAWAY
- Un recente Report a cura di McKinsey analizza come alcune criticità nell’ambito della sicurezza informatica stiano cambiando l’offerta e la strategia dei fornitori di soluzioni di cyber-security.
- In particolare, sono quattro le aree critiche evidenziate, le quali rimandano a una scarsa visibilità – da parte delle organizzazioni – sul livello di protezione delle proprie infrastrutture digitali, alla frammentazione tecnologica, alla mancanza di talenti in materia di cyber-security e alla difficoltà nel definire il valore della sicurezza e il suo ROI.
- Se lasciate stagnare, tali problematiche non faranno che compromettere il livello di sicurezza degli ambienti tecnologici, con ricadute sull’intero business aziendale. Per questo, si rende necessario anche il supporto dei security provider, con azioni che coinvolgano tutta l’organizzazione, non solo i CISO
Quella della sicurezza informatica è un’altra sfera che ha subito l’impatto negativo dell’emergenza pandemica, mettendo a dura prova il lavoro dei Chief Information Security Officer (CISO) all’interno delle organizzazioni, costretti a stravolgere i piani di security e a modificarne gli obiettivi. La riflessione sulle nuove sfide della cyber-security, in uno scenario come quello attuale, pone l’accento anche su problematiche e nuovi rischi non propriamente materiali, ma afferenti a gap, a mancanze e a criticità all’interno dei reparti di sicurezza IT che, al pari dei rischi concreti derivanti da minacce e attacchi cyber, rappresentano un ostacolo alla completa protezione degli ambienti tecnologici e agli investimenti in materia.
Problematiche e rischi che si riflettono anche sull’offerta di soluzioni di cyber-security – comprendente non solo prodotti, bensì anche assistenza e formazione – modificando la strategia dei cyber-security provider, attenti, oggi, ancora in piena pandemia, a rispondere alle mutate esigenze del settore.
Cyber-security e nuovi rischi: è carente la visibilità sulle infrastrutture digitali
In tema di cyber-security e nuovi rischi, un recente Report a cura di McKinsey, in cui vengono analizzate le nuove sfide dei cyber-security provider e la loro risposta ai nuovi rischi per la sicurezza, fa riferimento ai dati di un sondaggio che ha visto la partecipazione di circa 200 aziende dai numeri importanti (oltre mille dipendenti oppure un fatturato superiore a un miliardo di dollari), di cui solo il 60% ha visibilità sul livello di protezione delle proprie infrastrutture digitali, senza la quale – sottolineano gli analisti – è arduo individuare quando, dove e perché si verifica una falla.
La radice del problema è, per il restante 40%, la mancanza di una puntuale raccolta di dati relativi alle soluzioni di sicurezza adottate, preposte a monitorare specifiche attività (server, rete, email, cloud ecc.).Questo è il primo nodo, di cui i provider devono tenere conto, al fine di sapere che cosa manca e che cosa occorre, oggi, ai responsabili della sicurezza IT.
In molte aziende, tale nodo nella security è correlato a un più generale problema di gestione delle risorse IT, responsabili di «non tenere il passo con gli approcci alla sicurezza».
Ecco allora che serve un terzo occhio, una visione dall’esterno che identifichi le criticità nei reparti IT, di cui l’ufficio che si occupa della cyber-security non è che una componente. A questo deve poter seguire un cambio di strategia, che induca l’azienda ad acquisire un atteggiamento proattivo (e non reattivo) nei confronti delle minacce informatiche e delle misure atte a prevenirle e a mitigarle, avvalendosi anche di tecniche che fanno capo all’ambito di studi dell’intelligenza artificiale.
La sfida della frammentazione tecnologica
In tema di cyber-security e nuovi rischi, un altro nodo è dato dall’utilizzo – all’interno delle organizzazioni – di tecnologie e soluzioni provenienti da fornitori diversi. Addirittura – si legge nel Report – in molti casi, in una sola azienda, sono in uso oltre cento strumenti di sicurezza di terze parti. La ragione di tale “frammentazione” risiede nella complessità degli attuali ambienti tecnologici, sempre più caratterizzati dalla generazione di una vasta mole di dati, dall’assenza di un perimetro unico da difendere e dalla non semplice integrazione tra sicurezza OT (Tecnologia Operativa) e sicurezza IT.
In tale scenario, le competenze necessarie in materia di security sono molteplici e non sempre reperibili in un unico provider. Pensiamo solo alla data governance, alle normative sulla protezione dei dati e alla privacy compliance, che pongono il Chief Information Security Officer nella condizione di dover fare propri nuovi processi e di adottare ancora più strumenti di sicurezza.
In tutto questo, il cyber-security provider può intervenire a supporto dei CISO, in primo luogo aiutandoli a “semplificare” il più possibile – tenendo conto dei diversi livelli di rischio nei diversi reparti dell’azienda – e, in seconda battuta, ad «abbandonare i vecchi approcci legacy». Per entrambe le operazioni, è fondamentale, però, anche il coinvolgimento del top management, al quale spettano le decisioni di semplificazione e di modernizzazione dei processi basate sul business. Rischio per la cyber-security ed esigenze e continuità del business, infatti, non sono due istanze separate e devono poter dialogare.
In merito a quest’ultimo punto, nel Report viene sottolineato il concetto in base al quale il Chief Information Security Officer non deve essere l’unico responsabile della sicurezza in azienda. Quest’ultima è un compito quotidiano che deve coinvolgere tutti, a tutti i livelli.
Infine, per quanto riguarda l’adozione e gli aggiornamenti di servizi quali, ad esempio il cloud e, più nel dettaglio, il Software-as-a-Service, gli analisti di McKinsey rimarcano l’importanza di un rapporto continuativo tra fornitori e responsabili della sicurezza IT, soprattutto laddove il processo di trasformazione digitale è agli inizi e necessita dell’assistenza dei partner tecnologici.
Cyber-security e nuovi rischi: la mancanza di talenti rappresenta un costo
A livello globale – riporta McKinsey – il 2021 ha fatto registrare oltre 3,12 milioni di posti di lavoro non occupati nell’ambito della cyber-security a causa della mancanza di talenti, il che rappresenta un problema per le stesse organizzazioni, nonché per gli stessi security provider.
La carenza di talenti, nella sicurezza, rientra, essa stessa, tra i nuovi rischi. Rischio che va aumentando col passare del tempo e che, se non affrontato, arriverà, nei prossimi anni, a costituire un nuovo costo, al pari dei cyber-attack. Come farvi fronte?
I provider, secondo McKinsey, hanno due possibilità: restare passivi e concentrarsi su offerte di prodotti e di tecnologie che non richiedano particolari competenze, oppure mettendo in atto quello che viene definito “recruiting realities”, ovvero il reclutamento di figure che possiedono un set di competenze simili a quelle dell’esperto di cyber-secuity – da trattenere e da formare – attingendo da settori attigui, ad esempio da quello della sicurezza fisica.
Tali figure, opportunamente formate, potrebbero essere impiegate nella fornitura di servizi alle aziende (come, peraltro, già accade in molte realtà) – con formule, ad esempio, di abbonamento annuale – che prevedono l’assistenza al cliente, alleggerendolo dei problemi legati al reclutamento di personale con skill specifiche su determinate applicazioni.
Nel Report in tema di cyber-security e nuovi rischi, in particolare, viene citato il caso di un fornitore di software che ha ideato la figura del Chief Trust Officer della sicurezza informatica, con un ruolo da “ponte” tra il provider e i suoi clienti chiave, finalizzato a promuovere la collaborazione.
Il valore della cyber-security e la definizione del suo ROI
Sia che si tratti di antinfortunistica, di sicurezza fisica o, come in questo caso specifico, di sicurezza informatica, le aziende sono miopi nel calcolare il valore delle loro soluzioni nel tempo e nel misurare il ritorno dell’investimento.
La sicurezza, in generale, proprio perché rimanda a effetti non tangibili e non quantificabili nell’immediato, è vista come “impalpabile” e, dunque, solo come un costo. E i CISO incontrano spesso difficoltà nel confronto diretto con gli stakeholder interni per decidere gli acquisti in materia di cyber-security.
Il ruolo dei fornitori, in questo caso, è innanzitutto quello di coloro che si rivolgono a tutta l’organizzazione, non soltanto ai tecnici, insistendo sul concetto per il quale chi non investe nell’implementazione delle proprie soluzioni di sicurezza corre rischi che ricadono su tutta l’operatività aziendale e sul business.
Nell’aiutare le aziende a definire il ROI, i provider sono chiamati a considerare tre dimensioni del valore delle soluzioni di cyber-security, comprendenti il valore aziendale, il valore per l’utente finale e il valore di mercato.
Il primo valore invita a guardare alle proposte di prodotti e di servizi si sicurezza come a strumenti in linea con le priorità di business dell’azienda e in grado di aderirvi sempre, anche quando vi sono dei cambiamenti negli obiettivi e nelle strategie.
Il valore della cyber-security per l’utente finale, invece, equivale al miglior biglietto da visita dell’azienda che, sapendo mettere in sicurezza i propri ambienti tecnologici, si distinguerà nel mercato, rafforzando la propria reputatation in termini di serietà e autorevolezza.
Infine, il valore di mercato rimanda all’impatto, nel tempo, del percorso di messa in sicurezza su investitori esterni, fornitori e catene di approvvigionamento, incidendo sul giudizio complessivo che il mondo esterno, la “strada”, ha dell’azienda.
In tema di cyber-security e nuovi rischi, è importante che organizzazioni e provider siano consapevoli delle sfide alle quali si è fin qui accennato, perché questo rappresenta il primo step verso la soluzione delle questioni che vi sono alla base. Il secondo è dato dal dialogo tra le parti e dalla collaborazione fattiva tra gli esperti di cyber-security e gli stakeholder interni, con l’aiuto dei fornitori nel convincere i secondi circa l’importanza vitale, per tutta l’azienda, dell’adozione di corrette misure di sicurezza.