Una gestione del rischio coerente e condivisa dà potenza al business

La rivoluzione digitale in atto apre frontiere ancora tutte da esplorare, ma allo stesso tempo rende tutte le organizzazioni, grandi e piccole, pubbliche e private, molto più vulnerabili. “Le iniziative messe in atto per guidare la crescita del business e ottimizzare l’efficienza operativa sono molteplici, e comprendono un numero sempre più ampio e variegato di tecnologie differenti che vanno dal cloud ai social, dal mobile all’IoT, sino ad arrivare al Machine Learning e, più in generale, all’Intelligenza Artificiale”, esordisce Massimo Vulpiani, Regional Director Europe South, di RSA. “L’utilizzo di un ventaglio sempre più ampio e variegato di soluzioni eterogenee rappresenta sicuramente un vantaggio, ma amplifica a dismisura il rischio di essere vittima di un cyber crime sempre più sofisticato e organizzato. Qualunque compromissione degli ambienti IT ha una ripercussione immediata sull’operatività, sulla reputazione e, soprattutto, sul business di una azienda, per cui sul mercato sta crescendo la consapevolezza che innalzare il livello di sicurezza degli ambienti IT, ovunque risiedano e in qualunque modo vengano fruiti, rappresenta di fatto un fattore critico di successo per mantenere e incrementare la competitività in qualunque contesto”.

Abbattere i silos

Una gestione del rischio inadeguata ha un impatto diretto su tutti gli aspetti principali della vita di una azienda, come evidenzia l’RSA Digital Risk 2019 presentato di recente: il 28% del panel coinvolto ha infatti dichiarato che in caso di una violazione vi sarebbero ripercussioni nelle performance finanziarie dell’azienda stessa, il 27% nelle relazioni con i clienti, il 26% nella reputazione, il 23% nelle attività B2C, il 19% nella quote di mercato, il 14% nelle attività B2B, l’11% nelle relazioni con i business partner, il 10% nella competitività intesa in senso lato, e il 10% nella notorietà, e quindi nella credibilità, del brand.

“Come si vede i rischi sono molteplici, e vanno ben al di là del perimetro IT”, commenta Vulpiani. “Purtroppo, molte aziende affrontano ancora il tema della gestione del rischio in maniera frammentata, ritenendo ancora valido l’approccio tradizionale, a silos, che vede una collaborazione scarsa o addirittura nulla tra la divisione IT, i team di sicurezza e chi si occupa di risk management. Un altro studio che abbiamo realizzato di recente (‘Security & Risk: tackling digital risk together’), del resto, evidenzia come il 77% delle aziende ritenga difficile coordinare i team di sicurezza IT e quelli che si occupano dei rischi legati al business, anche perché, secondo il 69% degli intervistati, i tool e i linguaggi utilizzati nei due mondi sono molto diversi tra loro. L’82% di questo panel, inoltre, considera il tema della sicurezza più legato al business che all’IT, e gli episodi che confermano questa tesi non mancano. È necessario quindi fare un salto di qualità, introdurre in azienda nuovi modelli di comunicazione e collaborazione affinché la gestione del rischio diventi un tema condiviso, a cui ciascuno dia il proprio contributo in base alla propria esperienza e alle proprie competenze”.

Da 35 anni una visione olistica

RSA affronta in maniera olistica il tema della sicurezza sin dagli esordi, 35 anni fa, quando si parlava, per esempio, di utilizzare in modo sicuro i certificati digitali per abilitare il commercio elettronico.

“Il nostro obiettivo è sempre stato quello di consentire alle aziende di migliorare i processi produttivi, ottimizzare e razionalizzare i costi, far partire in tempi rapidi nuove iniziative di business e magari entrare in nuovi mercati utilizzando le tecnologie che il mercato rende disponibile, mitigando il più possibile i rischi correlati. Intendiamoci, un certo margine di rischio esisterà sempre, non lo si può negare; l’importante è innalzare il livello di attenzione a tutti i livelli, perché sono proprio i comportamenti scorretti, vuoi dolosi vuoi involontari, a rappresentare oggi uno dei principali veicoli di infezione, per cui tutti, all’interno di una organizzazione, devono dare il proprio contributo in termini di consapevolezza, impegno e rispetto delle policy impostate”.

Oggi che RSA è parte di Dell Technologies è in grado di portare sul mercato questo messaggio in maniera ancora più incisiva, grazie alle sinergie presenti in un gruppo che include, tra gli altri, VMware, protagonista indiscussa nel campo della virtualizzazione, e Dell-EMC, tra i maggiori fornitori di infrastrutture, entrambi tasselli fondamentali nella realizzazione di qualsiasi progetto di trasformazione digitale.

“Le nostre capability sono riconosciute in ogni parte del mondo, Italia inclusa”, assicura Vulpiani. “Sia i clienti che il vasto ecosistema di business partner che ci affianca, spesso da molti anni, riconosce nelle nostre tecnologie e nella nostra capacità consulenziale un valore aggiunto, in grado di fare la differenza in un momento in cui l’esigenza di portare innovazione all’interno delle organizzazioni è fortemente sentita, ma spesso frenata dal timore di fare passi falsi”.

Il momento è favorevole

Le aziende che sentono la necessità di trovare un migliore equilibrio tra prevenzione, monitoraggio e risposta ai possibili attacchi sono sempre di più, ma è innegabile che anche gli ultimi dettami normativi spingano le aziende in questa direzione. “Il legislatore sta dettando le linee guida per far si che la gestione e l’interscambio di dati tra organizzazioni diverse poggino su modelli e metodologie condivisi”, commenta Vulpiani.

Il riferimento è innanzitutto al GDPR, che detta una combinazione di requisiti tecnici, analisi giuridica, definizione dei processi, documentazione e supervisione umana, a cui RSA risponde focalizzandosi sulle best practice legate specificamente alla valutazione dei rischi, alla risposta alle violazioni, alla governance dei dati e alla gestione della conformità.

Anche la direttiva europea Psd2 ha portato con sé molte novità, primo tra tutti l’obbligo di rendere più sicure le transazioni, e sta spingendo il mondo bancario, da sempre uno dei mercati di riferimento di RSA, a dotarsi di strumenti di sicurezza più avanzati, con l’obiettivo di semplificare la fruizione dei servizi da parte degli utenti. Vale la pena segnalare, infine la direttiva NIS (Network & Information Security) che sta portando a una rivisitazione delle procedure di sicurezza di tutte le infrastrutture critiche del Paese e coinvolge, oltre al mondo bancario, settori cruciali quali utility, trasporti, infrastrutture digitali, sanità ecc. Sono tutti driver che rendono il mercato della sicurezza molto dinamico e che vedono RSA in prima linea con le sue soluzioni progettate per consentire di individuare gli attacchi avanzati e contrastarli in modo efficace, gestire le identità e gli accessi degli utenti e ripristinare l’operatività in tempi sempre più rapidi, minimizzando l’impatto sul business
.

Sapere da dove si parte e dove si vuole arrivare

Ottimizzare e razionalizzare la gestione del rischio è dunque l’obiettivo a cui tende un numero sempre maggiore di aziende, ma la strada da seguire non è univoca, perché ciascuno deve evolvere in base alle proprie esigenze, salvaguardando anche gli investimenti effettuati nel corso del tempo. Il compito di RSA è quello di affiancare le aziende in questo percorso, collegando il cyber risk ai pericoli legati al business, per arrivare alla definizione di un framework chiaramente delineato e condiviso. Un percorso graduale che comporta diversi passaggi.

Innanzitutto bisogna stabilire un canale di comunicazione regolare con gli stakeholder chiave per il business dell’azienda, per comprendere a fondo gli obiettivi legati alle nuove iniziative digitali. Successivamente è necessario localizzare i rischi e strutturare un processo per mitigarli, gestirli e svilupparli in maniera costante. Questo include comprendere quanto l’azienda faccia affidamento su aspetti come le terze parti e se queste terze parti a loro volta si interfaccino con ulteriori player. A seguire, è doveroso analizzare la propria maturità di gestione del rischio e valutare il divario esistente tra l’as-is e gli obiettivi prefissati. È necessario infine quantificare i costi di gestione del rischio in modo integrato, ripartendo i costi degli strumenti tecnologici destinandoli in parte alla difesa, alla rilevazione e alla remediation degli incidenti informatici e confrontandoli con i danni, economici e reputazionali, che deriverebbero da un attacco andato a buon fine.

Una tecnologia sempre allo stato dell’arte

Da sempre RSA offre soluzioni di business driven security che collegano il contesto di business agli incidenti di sicurezza per supportare le organizzazioni nella gestione dei rischi e nella protezione degli asset strategici. Le soluzioni di RSA sono progettate espressamente per ridurre i rischi di business, le frodi e gli attacchi sferrati dal cyber crime, e naturalmente sono sempre allo stato dell’arte. Le soluzioni di automazione e orchestrazione rese disponibili si basano infatti su un approccio multidisciplinare che consente alle aziende di comprendere le proprie esigenze da diverse angolazioni, offrendo un’analisi e una visione d’insieme puntuale sulla tematica individuata e suggerendo le aree di intervento più appropriate.

“Anche noi siamo nel pieno di una trasformazione”, commenta Vulpiani. “Innanzitutto stiamo spostando un numero crescente di soluzioni sul cloud, per renderle disponibili in modalità as-a-service. Abbiamo iniziato con le soluzioni antifrode e di strong authentication, e a tendere tutta la nostra piattaforma di Governance Risk & Compliance sarà fruibile in questa modalità. In secondo luogo siamo fortemente impegnati sul fronte dell’intelligenza artificiale, in particolare in ambito machine learning e deep learning. Già nel 2005 abbiamo sviluppato una tecnologia basata su machine learning indirizzata alla gestione dei rischi legati alle transazioni web, e oggi continuiamo a investire in questa direzione, come testimonia l’integrazione nella nostra piattaforma RSA NetWitness di tecnologie di analisi comportamentale (User and Entity Behavior Analytics, UEBA), derivanti dall’acquisizione di Fortscale dello scorso anno”.

RSA NetWitness oggi facilita l’identificazione automatica di comportamenti anomali da parte degli utenti, identificando così minacce che fino a ieri riuscivano a sfuggire anche agli strumenti di security più avanzati. Basandosi sull’analisi comportamentale la soluzione è in grado di evidenziare e segnalare potenziali rischi come la condivisione di credenziali, l’abuso di account di utenti con elevati privilegi, le anomalie legate alla geolocalizzazione e all’accesso da remoto, e molto altro. Senza dover affrontare investimenti consistenti le aziende possono così individuare le minacce sconosciute che si celano all’interno dell’enorme mole di dati che ogni giorno vengono scambiati, vuoi all’interno che all’esterno.

Le capacità di analisi comportamentale vanno ad arricchire ulteriormente la threat intelligence di RSA che oggi protegge 30.000 organizzazioni, oltre 50 milioni di identità e più di 2 miliardi di utenti in tutto il mondo.

Conclusioni

Qualunque strategia rivolta allo sviluppo di nuove iniziative digitali deve dunque confrontarsi necessariamente con l’esigenza di rafforzare la resilienza digitale, vale a dire la capacità di far fronte in maniera proattiva ai cambiamenti e ai possibili attacchi. Più facile a dirsi che a farsi. A fianco di tecnologie sempre più intelligenti, in grado di auto-apprendere e automatizzare una crescente mole di operazioni spesso svolte ancora manualmente devono esserci risorse adeguatamente skillate, e questo è un punto dolente, non solo nel nostro Paese, come sottolinea Vulpiani. “Il nostro compito è semplificare la vita a chi si occupa della gestione dei rischi, automatizzando e orchestrando il più possibile i processi correlati al risk management affinché tutte le energie possano essere indirizzate verso lo sviluppo di nuove iniziative. Ma non bisogna pensare all’innovazione solo in termini di nuovi strumenti e nuove tecnologie: è necessario mettere in discussione gerarchie e modelli consolidati, e per far questo servono nuove culture e professionalità particolarmente aperte, dinamiche, flessibili e preparate, molto difficili da reperire. Uno degli ostacoli che riscontriamo più di frequente è proprio questo, la mancanza di risorse in grado di affrontare in maniera costruttiva il cambiamento in atto. RSA cerca di fare la sua parte, non solo continuando a sviluppare soluzioni sempre più efficaci e performanti ma anche investendo in formazione, spesso in collaborazione con il mondo accademico. Ma la strada è ancora lunga”.

La Convenzione siglata con Consip

Dal 25 ottobre è attiva la Convenzione siglata da Dell Technologies con Consip, che include anche le principali soluzioni RSA, in particolare RSA NetWitness, RSA SecurID e RSA Archer. La Convenzione è uno strumento che facilita gli approvvigionamenti della Pubblica Amministrazione sia centrale che locale: Consip infatti si fa carico di selezionare le migliori tecnologie presenti sul mercato, siglando accordi quadro validi su tutto il territorio nazionale. In questo modo anche gli enti pubblici che non hanno al proprio interno risorse adeguate possono avviare processi di trasformazione digitale innovativi tesi a fornire ai cittadini servizi sempre più efficaci, garantendo adeguati livelli di sicurezza nel rispetto delle normative in essere.