Tutte le aziende Fortune 500 nel mondo sono state attaccate almeno una volta. Nel 1986 è stato registrato il primo caso ampiamente documentato al Lawrence Berkeley National Laboratory in California. Dave Cleveland, systems manager, scoprì che 9 secondi di tempo al computer da parte di un utente di un dipartimento non erano stati pagati. Non si trattava di un grave ammanco in termini economici, solo settantacinque centesimi, ma questa situazione non era mai stata prevista. Cleveland non aveva idea che si trattasse della prima violazione informatica e che questo problema avrebbe portato nel tempo alla nascita di un mercato da miliardi di dollari.
Oggi, a 33 anni di distanza, abbiamo strutture in tutto il mondo per la cooperazione, il supporto, la formazione sulla sicurezza e molti esperti si adoperano a tempo pieno per affrontare questi problemi in una corsa sempre più intensa per cercare di stare al passo con le strategie dei malintenzionati. Definire quali dispositivi possano interfacciarsi con l’ambiente aziendale, garantire al cliente che il prodotto acquistato sia sicuro o rimuovere un prodotto difettoso, rappresentano tutte problematiche significative sulle quali oggi si concentrano gli sforzi quotidiani. E i governi e il sistema legale sono sempre più coinvolti. Tutto è riconducibile al concetto di fiducia e tutti abbiamo grandi aspettative affinché la nostra fiducia, come aziende, clienti e consumatori, non venga violata.
Nel mondo della security si parla molto di “cosa” e “come”, intesi come “cosa può essere fatto per sfruttare al meglio le tecnologie moderne” e “come possiamo garantire che il futuro sia davvero migliore”.
Nel suo libro Start With Why, Simon Sinek ha affermato che il cosa e il come sono di certo importanti, ma è meglio iniziare con il “perché” per poter colmare una diffusa lacuna secondo cui “ogni organizzazione o persona sa cosa fa, molti sanno come lo fanno, ma davvero pochi conoscono il perché di ciò che fanno”.
Personalmente, a qualche decade di distanza e dopo che diverse centinaia di miliardi di dollari sono stati spesi in questo campo, credo sia ora di ripensare anche al perché della sicurezza informatica.
Cosa ci spinge a cambiare il nostro “perché”?
La risposta è semplice: “il digitale”. Per alcuni si tratta di un termine abusato, per altri è un cambiamento importante o avviene in modo rivoluzionario. Comunque vogliate definirlo, a mio avviso significa che: • La tecnologia rappresenta da sempre un acceleratore ma, con il digitale, il business cambia in tempo reale – le aziende corrono sempre più rapidamente e la tecnologia fa altrettanto. • Il digitale non è più semplicemente una tecnologia, ma una tecnologia applicata e disponibile in luoghi un tempo impensabili, come nei pacemaker, all’interno delle automobili o nelle lampadine. A questo punto molti leader sostengono che con il digitale la tecnologia stessa sia il business.
• I dati sono sempre stati il risultato della tecnologia. Nel mondo digitale, invece, i dati sono il carburante, hanno un valore e alimentano il machine learning e l’intelligenza artificiale.
• Le nostre catene di distribuzione non sono connesse solo fisicamente ma sono collegate tra loro in modo digitale.
• Nel mondo digitale, la community dei professionisti del rischio e della sicurezza è passata dal rappresentare una difesa nel background dell’azienda a un’avanguardia capace di abilitare la trasformazione digitale.
È chiaramente il momento di ripensare al perché
La trasformazione digitale abilita nuovi modelli di business, crea esperienze affascinanti e scatena una produttività senza precedenti, ma nel farlo aumenta e accelera anche il rischio. Oggi, le organizzazioni che adottano le tecnologie digitali non sono ancora preparate ad affrontare tale livello di permeazione della tecnologia nel proprio business e per questo motivo il rischio digitale è diventato il rischio maggiore che un’organizzazione deve affrontare. L’economia digitale è costruita su una base di fiducia. I dati e la tecnologia sono vulnerabili agli attacchi informatici, possono comportare un cambiamento nel lavoro delle persone e generare nuove sfide per la società. Abbiamo visto che oggi le organizzazioni non riescono a dimostrare una cyber-resilienza sufficiente e una competenza reale nella gestione della privacy e dell’integrità dei dati, per questo assistiamo a una crescente erosione della fiducia nei confronti della tecnologia, un aspetto che deve essere affrontato.
Il nuovo perché: abilitare la fiducia in un mondo digitale
Abilitare la fiducia – non sradicare le minacce. Abilitare il benessere digitale – non sradicare la malattia digitale. Questo è il nuovo perché collettivo che vogliamo proporre alla sicurezza informatica.
Dal punto di vista del “cosa” in futuro dovremo prestare tutti più attenzione al “Digital Risk Management” per consentire alle organizzazioni di tracciare un passaggio sicuro verso il proprio futuro digitale gestendo i rischi lungo il percorso perché il rischio è ciò che consente l’innovazione ed evitare i rischi significa evitare i progressi, per questo è necessario saperli gestire.
La nostra missione può sembrare impossibile ma è più che mai necessaria e affrontabile se si collabora per trovare insieme nuovi modi di uscire da una logica tradizionale a silos che ci ha imprigionato per anni. I team dedicati all’IT, alla sicurezza, al rischio e al business devono lavorare tutti insieme per domare il rischio digitale, ognuno deve fare la propria parte.
Se pensiamo al ruolo dell’IT, non si tratta solo di costruire soluzioni tecnologiche per alimentare il percorso verso il futuro digitale. L’IT è responsabile della riduzione della superficie di attacco progettando la sicurezza come parte intrinseca dello stack e del processo di sviluppo.
La sicurezza deve potersi spostare a sinistra e a destra nel mondo dei SecDevOps e i team della security devono considerare il contesto aziendale per valutare l’orientamento al rischio, perché il loro compito non consiste solo nel bloccare le violazioni ma anche nel minimizzare l’impatto sul business. Il team che si occupa del rischio deve muoversi alla stessa velocità del business digitale e saper comunicare il rischio cyber e digitale agli stakeholder aziendali.
Infine, il ruolo del business è definire l’agenda digitale e comunicarla efficacemente ai team IT, Sicurezza e Rischio per aiutarli a stabilire le priorità. Si tratta quindi di uno sport di squadra dove IT e Business collaborano per abilitare la trasformazione digitale, mentre sicurezza e rischio convergono per abilitare la fiducia.
Uno scenario abilitato alla fiducia è un mondo fantastico in cui il potere dell’innovazione si sprigiona, permettendoci di muoverci alla velocità del pensiero e generando guadagni incredibili dal punto di vista economico e umano. Un mondo abilitato alla fiducia è davvero sorprendente e rappresenta il motivo ultimo per cui operiamo, il perché, la nostra aspirazione.
A cura di Rohit Ghai, President di RSA Security