TECH | 5 Set 2019

Cybersecurity tra costi, benefici e approcci integrati

Perché la sicurezza incide trasversalmente su ogni processo aziendale e come deve essere approcciata?

Ci si domanda spesso se la sicurezza delle informazioni sia da considerare un elemento qualitativo, misurabile e quantificabile di un progetto, piuttosto che un requisito implicito e quindi considerato una commodity.

Elemento fondamentale per un’azienda è comprendere cosa proteggere e, di conseguenza, quali azioni mettere in campo. Qualunque attività ha come principale metro di misurazione gli aspetti finanziari, ma in ambito tecnologico, così eterogeneo e in rapida evoluzione, riuscire a fornire un quadro equilibrato delle azioni necessarie spesso diventa una scommessa. Per valutare il possibile equilibrio tra costi e benefici si ricorre al concetto di R.O.S.I. (Return on Security Investment), ma come si fa a misurarne l’efficacia degli investimenti in maniera oggettiva?

La tecnologia evolve tutti i giorni a una velocità sempre maggiore presentando un numero crescente di minacce che per loro natura non sono conosciute. A volte è quindi necessario mettere in atto delle contromisure strategiche prima di capire quali saranno le minacce, nella consapevolezza che si manifesteranno.

Il mondo assicurativo ha provato a dare una risposta, trasformando in numeri il costo e il beneficio. “A fronte di un investimento finanziario, si ha una possibile copertura finanziaria a copertura di un possibile incidente”. È evidente come già dalla descrizione emergano molte incertezze e che anche il mondo assicurativo si è trovato difronte allo stesso problema: come misurare il rischio reale, come misurarne l’impatto, come prevedere questo scenario?

Come approcciare la sicurezza in azienda?

La risposta a queste domande sta nell’evoluzione dell’Information Security, dove risulta sempre più evidente la necessità di un approccio metodologico e virtuoso che contempli non solo gli aspetti tecnologici, ma che valuti più attentamente anche quelli finanziari, non traducendosi più come un virtuosismo tecnologico atto a mitigare le paranoie di un Security Officer, ma un modello che ponga l’Information Security come requisito funzionale, quantificabile e misurabile.

Spesso si commette un errore che deriva da questa evoluzione: la Cybersecurity e l’Information Security sono due termini che hanno in comune la protezione dei dati dall’accesso, dal furto o dalla modifica ma spesso ci si dimentica che non sono la stessa cosa.

La protezione dei dati non si limita al Cyberspazio, l’Information Security si occupa della protezione delle informazioni, a prescindere dal fatto che i dati siano presenti all’interno di un computer, nel Cyberspazio o all’interno di Internet.

Per proteggere le informazioni è necessario comprendere quali elementi concorrono al risultato. Spesso chi ha questo compito non ha il controllo o la visibilità di tutti gli elementi e fa fatica a identificare ruoli e responsabilità.

Quale il ruolo di un System Integrator nell’Information Security?

Il system integrator fa dialogare impianti diversi tra loro allo scopo di creare una nuova struttura funzionale, che possa utilizzare sinergicamente le potenzialità degli impianti d’origine e creando quindi funzionalità originariamente non presenti” (Wikipedia).

Un System Integrator mantiene, sviluppa e fa evolvere ecosistemi digitali che erogano servizi essenziali per ospedali, banche, industrie, pubblica amministrazioni. I sistemi sui quali interviene hanno il compito di raccogliere, conservare ed elaborare diversi generi di informazione con specifiche esigenze di protezione. In questi tipi di contesti, spesso con poche informazioni a supporto e tempi di intervento minimi, il System Integrator deve garantire l’efficacia della soluzione a lui richiesta, ottimizzando tempi e costi di realizzazione attraverso la conoscenza delle sue caratteristiche tecniche e organizzative.

Questo lo colloca in una posizione strategica per l’Information Security, che è basata sull’equilibrio tra scelte tecnologiche e processi organizzativi, tra interessi in competizione quali business e protezione dei dati.

Il System Integrator ha una visibilità ampia su ogni tipo di ecosistema digitale, dove dovranno essere applicate le Normative rilevanti per l’Information Security e può affrontare i rischi potenziali considerando più l’efficacia che la forma.

Igor Kranjec