Le minacce IT stanno rapidamente crescendo in volume, scala e sofisticazione e questo richiede che, nell’ambito della sicurezza informatica, tutta la macchina organizzativa sia ben oliata: poiché evidentemente le strategie attuali non si stanno rivelando così efficaci, tutti i dipendenti e le funzioni devono collaborare maggiormente per affrontare le criticità. I responsabili aziendali devono comprendere le esigenze dei team di sicurezza IT, così come questi ultimi devono sempre tenere in considerazione gli obiettivi e le priorità più ampie dell’azienda.
Una recente ricerca realizzata che abbiamo realizzato in collaborazione con Forbes Insights ha evidenziato l’esistenza di un divario tra i responsabili aziendali e i team di sicurezza nella percezione del progresso e della collaborazione in ambito security. In Italia, solo il 30% (21% in EMEA) dei team IT considera i propri responsabili aziendali (C-suite) altamente collaborativi. Sebbene il 27% dei responsabili nell’area EMEA affermi di cooperare in modo significativo per affrontare i problemi di sicurezza informatica, è solo il 16% dei professionisti di sicurezza IT a sostenere lo stesso.
Inoltre, secondo una ricerca Deloitte, il 73% dei dipendenti dichiara che i propri responsabili lavorano insieme raramente, se non mai, su iniziative strategiche. Sembrerebbe quindi che l’“enigma della collaborazione” nasconda un ulteriore livello di complessità.
Questo divario deve necessariamente essere colmato se le aziende vogliono essere in grado di proteggersi da un panorama di minacce informatiche in continua evoluzione. Per raggiungere questo obiettivo, i team devono lavorare maggiormente insieme, seguendo tre utili linee guida.
1. Incoraggiare una maggiore cultura della sicurezza che permei l’intera organizzazione
Nella società moderna, la sicurezza informatica deve coinvolgere tutta l’azienda e non riguardare più soltanto il team di sicurezza IT. Questo si traduce, innanzitutto, nella collaborazione tra la C-suite e il team di security per identificare la giusta formazione, gli strumenti e le tecniche per far sì che i dipendenti siano informati, abbiano la giusta preparazione e siano sempre in prima linea nella difesa informatica.
Le minacce più pericolose e insidiose – tipicamente attacchi ransomware o phishing – si basano su una scarsa consapevolezza dei dipendenti e su una ridotta formazione in materia di cyber hygiene. Investire in un training continuo e di alta qualità e nell’abilitazione delle migliori pratiche di sicurezza per tutti i dipendenti è un modo sicuro e altamente conveniente per ridurre radicalmente il rischio di violazioni di questo tipo.
L’importanza di una leadership collaborativa in questo settore non dovrebbe essere sottovalutata: i responsabili aziendali hanno il compito di rafforzare la consapevolezza dei dipendenti, facilitare la formazione, incoraggiare la conoscenza di tutte le funzioni delle pratiche di sicurezza e guidare il cambiamento culturale dall’alto.
2. Creare un “dream team” di sicurezza IT che diventi un vero e proprio consulente di fiducia per la C-suite
L’obiettivo principale di ogni team di sicurezza IT dovrebbe essere quello di creare un’infrastruttura di sicurezza resiliente, resistente e reattiva fin dall’inizio. La sicurezza non deve essere considerata a posteriori, come processo aggiuntivo cui ogni attività interna deve essere soggetta, bensì deve essere integrata nelle attività di un’azienda da subito. Solo così i team di sicurezza IT inizieranno a essere percepiti come abilitatori (piuttosto che inibitori) delle operations aziendali, generatori di valore di business e parte integrante del processo di pianificazione, e i professionisti della materia si saranno guadagnati il diritto di partecipare alle discussioni strategiche relative alla gestione e all’accelerazione del business.
Con un approccio più olistico alla sicurezza, in cui tutti gli elementi dell’infrastruttura sono intrinsecamente sicuri in sé e per sé, i team IT possono evolversi da un approccio reattivo a ogni nuova minaccia informatica diventando esperti di rischio aziendale e supportando la C-suite nello svolgimento del suo ruolo di gestione e identificazione dei rischi rilevanti.
Adottando questo approccio proattivo e consultivo alla sicurezza, i team IT e di sicurezza possono collaborare in modo più efficace con altre aree aziendali, assicurando che l’innovazione e i nuovi approcci possano prosperare in modo sicuro e senza incorrere in livelli ingestibili di rischio aggiuntivo.
3. Semplificare la sicurezza
In definitiva, i responsabili aziendali desiderano che tutti i dipartimenti aziendali lavorino insieme, senza soluzione di continuità, nel perseguimento di un obiettivo comune. Dal punto di vista dell’IT e della sicurezza, questo si traduce inevitabilmente nella necessità di ridurre la complessità dei sistemi e dei processi che supportano la sicurezza informatica. La ricerca condotta da VMware con Forbes Insights ha rilevato che le organizzazioni si affidano a un gran numero e varietà di fornitori specializzati in soluzioni di sicurezza, che coprono un’ampia gamma di funzioni. Il 75% degli intervistati intende aumentare gli investimenti nella ricerca e identificazione degli attacchi informatici, rispetto al 54% della media europea, e il 30% dichiara di avere installato 26 o più prodotti di sicurezza.
L’installazione di così tanti prodotti di sicurezza specifici che richiedono di essere integrati e gestiti si traduce in un approccio alla sicurezza complesso, frammentato e sempre più costoso, che sta iniziando a diventare un problema di per sé. Consolidando tutti questi diversi approcci alla sicurezza in un’unica strategia unificata non solo si ridurrebbero la complessità e i costi, ma si imporrebbe anche un approccio di gestione coerente per la salvaguardia degli asset di dati aziendali. La riduzione del numero di fornitori e prodotti consente ai team IT e di sicurezza di focalizzarsi su progetti più strategici orientati al valore aggiunto, come l’utilizzo di una migliore cyber hygiene per promuovere maggiore collaborazione e innovazione in tutti i team e i reparti.
I problemi della sicurezza IT possono essere risolti: il successo della “nuova sicurezza” dipende dall’adozione di una mentalità più olistica che parta dall’assunto che “la sicurezza è ovunque”. Questo richiede la scomposizione dei silos tradizionali tra IT, sicurezza, compliance, team legale, risorse umane e le altre funzioni aziendali. È fondamentale che i professionisti della sicurezza e la C-Suite collaborino efficacemente per inaugurare questa nuova era della sicurezza.