"Troppo spesso, il tema della cybersecurity viene affrontato partendo dai prodotti e dagli strumenti tecnologici per difendersi, limitando gli sviluppi successivi e le possibilità di un impatto positivo sul business".
Partendo da questo assunto Francesco Casertano, Ceo di Net-Studio e Cybersecurity Lead di Minsait in Italia, ci offre una riflessione su quella che dovrebbe essere una corretta strategia di cybersecurity: “Process first” - un concetto emerso durante l’ultima edizione dello scorso giugno di Itasec, la Conferenza Nazionale sulla Sicurezza Informatica - ovvero prima i processi poi gli strumenti.
Minacce e cyberattacchi non accennano a diminuire
Secondo i dati diffusi dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, nel 2021 il 31% delle grandi aziende italiane hanno rilevato un aumento degli attacchi informatici. Alla luce di questi dati, il 54% delle organizzazioni giudica necessarie le iniziative di sensibilizzazione culturale nei confronti del personale sulle misure da adottare. Secondo Verizon, gli attacchi ransomware su scala globale sono aumentati del 13% rispetto all’anno precedente.
In questo scenario nazionale e globale sempre più minaccioso è necessario quindi cambiare l’approccio nei confronti della cybersecurity, intervenendo sulle strategie di protezione dei rischi derivanti dalle attività core delle aziende e delle istituzioni.
Per implementare una strategia end to end, bisogna partire con un’approfondita analisi dei rischi dell’azienda passando, in un secondo momento, alla fase di monitoraggio per ridurre al minimo la vulnerabilità dell’organizzazione.
Tre passaggi fondamentali per rendere efficace una strategia “Process first”
Al fine di rendere efficace una strategia “Process first” sono necessari tre passaggi fondamentali. Il primo è il security assesment & risk analysis, con lo scopo di approfondire e studiare nel dettaglio l’azienda e i suoi processi.
Questo step porta con sé alcuni benefici: aumento di consapevolezza, coinvolgimento di tutti i processi aziendali, elaborazione di un piano di Remediation, riduzione dei livelli di rischio e un miglioramento della reputazione e immagine dell’azienda.
Il secondo passaggio riguarda la security strategy, che si ottiene attraverso la definizione e attuazione di una strategia di sicurezza personalizzata.
I vantaggi in questo caso riguardano la riduzione dei costi, delle tempistiche e delle risorse, il miglioramento della compliance normativa sulla gestione della sicurezza delle informazioni, la prevenzione, la protezione e la riduzione degli impatti delle minacce di sicurezza informatica.
Infine, il terzo e ultimo step è la security awareness. Questo passaggio, di cruciale importanza, riguarda la sensibilizzazione di tutti i dipendenti di un’organizzazione sull’importanza della sicurezza delle informazioni e sulla protezione degli asset critici.
Grazie a questo nuovo tipo di consapevolezza sarà possibile creare una cultura cyber aziendale che consentirà di prevenire e ridurre i rischi, oltre a identificare, pianificare e attuare eventuali azioni di miglioramento.
