Non c’è transizione digitale senza sicurezza: come evitare costosi errori
Migliorare la sicurezza informatica può diventare il fattore trainante per l’avvio di progetti di trasformazione digitale, sia nel privato che nella PA. Ma non basta solo acquisire soluzioni e tecnologie sicure o implementare misure di risposta alle minacce, occorre investire anche in cultura del cambiamento e del rischio.
Gli investimenti in trasformazione digitale rischierebbero di essere privi di significato, se non fossero in grado di proteggere l’amministrazione che li intraprende, l’organizzazione, i suoi clienti o gli altri asset vitali.
La cybersecurity, quindi, non deve essere considerata un semplice requisito progettuale, ma un vero e proprio obiettivo da raggiungere al pari degli altri. Agilità, flessibilità e rapidità del processo decisionale sono necessari sia nello sviluppo, che in sicurezza. E per non sbagliare, occorre un cambio di mentalità, auspicato anche nel Piano Nazionale di Ripresa e Resilienza (PNRR), predisposto per aderire alle sei grandi aree di intervento (pilastri) su cui si fonda il dispositivo europeo per la Ripresa e Resilienza (RRF).
Il Piano intende promuovere un robusto rilancio dell’economia dalla crisi post-pandemia all’insegna della transizione ecologica, della digitalizzazione, della competitività, della formazione e dell’inclusione sociale, territoriale e di genere e si sviluppa intorno a tre assi strategici: digitalizzazione e innovazione, transizione ecologica, inclusione sociale.
In particolare, gli obiettivi per la digitalizzazione e l’innovazione possono rappresentare un fattore determinante della trasformazione e crescita del Paese. Come è noto, l’Italia ha accumulato un considerevole ritardo in questo campo, sia nelle competenze dei cittadini, sia nell’adozione delle tecnologie digitali nel sistema produttivo e nei servizi pubblici. Se si riuscisse a recuperare questo deficit e promuovere gli investimenti in tecnologie, infrastrutture e processi digitali, si potrebbe migliorare la competitività italiana e favorire la ripresa economica che si presentava già fragile dal punto di vista economico, sociale ed ambientale prima del diffondersi della pandemia.
Come si legge nel Country Report Italy 2020 della Commissione Europea “L’Italia si posiziona oggi al venticinquesimo posto in Europa come livello di digitalizzazione (Digital Economy and Society Index 2020), a causa di vari fattori che includono sia la limitata diffusione di competenze digitali, sia la bassa adozione di tecnologie avanzate, ad esempio le tecnologie cloud. Al tempo stesso, l’Italia ha visto un calo della produttività nell’ultimo ventennio, a fronte della crescita registrata nel resto d’Europa. Uno dei fattori che limitano la crescita di produttività è il basso livello di investimenti in digitalizzazione e innovazione, soprattutto da parte delle piccole e medie imprese che costituiscono la maggior parte del nostro tessuto produttivo”.
Il digitale deve essere più sicuro dell’analogico
La Missione su cui ci concentriamo è “1: Digitalizzazione, Innovazione, Competitività, Cultura”. La Componente 1 della Missione ha l’obiettivo di trasformare in profondità la Pubblica Amministrazione attraverso una strategia centrata sulla digitalizzazione, mentre la Componente 2 ha l’obiettivo di promuovere l’innovazione e la digitalizzazione del sistema produttivo.
Il verbo “trasformare” evoca un passaggio, una transizione, un cambiamento del modus operandi e, come si verifica a ogni tentativo di rinnovamento, divide gli addetti ai lavori in due schiere opposte: quelli a favore, bendisposti alle innovazioni, e quelli contrari, che vorrebbero resistere al cambiamento.
In realtà siamo già nell’era digitale da qualche tempo, molto probabilmente inconsapevolmente, per sopravvivere alle mode tecnologiche o aderire alle prescrizioni normative e sociali ed abbiamo subito questo cambiamento, non avendolo governato attivamente, senza riuscire a cogliere la moltitudine di opportunità legate alla rivoluzione digitale. Il principale fattore frenante del processo di trasformazione digitale è rappresentato dalla sfiducia che gli utenti hanno nei confronti dell’ICT, in parte avvalorato dal susseguirsi di notizie riguardanti nuovi, e sempre più rilevanti, incidenti informatici. La maggior parte degli utilizzatori dell’ICT tenta di risolvere questa criticità producendo, spesso in maniera compulsiva, duplicati cartacei e/o informatici delle proprie transizioni digitali e, di fatto, sminuisce o vanifica gli obiettivi auspicati.
Per accelerare la transizione digitale occorre, pertanto, che gli utenti si fidino delle tecnologie dell’ICT, devono essere certi che le loro transazioni digitali non vadano perse o modificate, e l’unico modo è quello di affrontarla con un altro mindset: il digitale deve essere più sicuro dell’analogico.
Questo cambio di prospettiva è auspicato anche nel Piano Nazionale di Ripresa e Resilienza, ma non è sufficiente acquisire solo soluzioni e tecnologie sicure o implementare misure di risposta alle minacce, occorre investire anche in cultura del cambiamento e del rischio.
Qual è il ruolo della sicurezza nella trasformazione digitale?
Spesso i progetti di digitalizzazione sono sviluppati con l’obiettivo di raggiungere il più velocemente possibile il risultato sperato, sfruttano metodologie come Agile o DevOps e valutano gli aspetti di sicurezza solo marginalmente o alla fine del processo.
Questo atteggiamento, che inizialmente riduce la durata delle fasi di progettazione e sviluppo, aumenta notevolmente i costi di esercizio, di manutenzione e di rilascio di nuove versioni, espone i committenti ai rischi cyber e alle relative ricadute e, infine, abbassa la fiducia nel nuovo progetto.
Un’altra criticità, che si rileva di sovente, è quella di delegare i problemi di sicurezza al solo comparto IT dell’organizzazione. Questa prassi non è più attuabile al giorno d’oggi perché le infrastrutture sono divenute molto più complesse, l’integrazione dell’IT e dell’Operational Technology (OT) porta una nuova inter-connettività, le origini dei dati e le potenziali vulnerabilità devono essere protette in tutte le fasi di management e, inoltre, sono aumentati i punti di collegamento tra l’organizzazione e il suo ecosistema di partner e fornitori.
Per cui, la sicurezza informatica è una responsabilità che va condivisa con tutte le anime dell’organizzazione, poiché tutti avranno un ruolo nella gestione della trasformazione digitale. Inoltre, i responsabili della sicurezza devono essere preparati ai rischi aggiuntivi che presenta una concreta trasformazione digitale.
Un’altra causa di rischio aggiuntivo è connessa alla maggiore dipendenza per l’approvvigionamento di prodotti o servizi dell’ICT da terzi parti. Di conseguenza è necessario inserire anche la supply chain nel risk assessment del progetto.
La sfida si affronta aggiungendo sicurezza alla velocità della trasformazione digitale e garantendo che si estenda su ogni nuovo processo digitale interno, prodotto esterno realizzato o opportunità di business creata.
Il tema della sicurezza deve essere inserito all’inizio del processo di progettazione. Oggi, grazie a componenti più agili e dinamici, è più facile da raggiungere. Per esempio, il cloud e le funzionalità di sicurezza integrate potranno facilitare la risoluzione dei tipici problemi di sicurezza basati sulla rete, gli host, le applicazioni, i dati e l’identità, ma va governato incisivamente.
Le principali sfide per una trasformazione digitale sicura
Ecco le principali sfide che le organizzazioni devono affrontare per garantire la sicurezza nella trasformazione digitale.
Visibilità ridotta dei dati e sui processi
Per anni si è ragionato sul fatto che quando un’infrastruttura IT è ospitata da terze parti, allora il committente ha meno controllo sui propri dati. I fornitori di servizio possono offrire alcuni report o dei sistemi di controllo, ma non nella stessa misura in cui un’azienda controlla la propria infrastruttura.
La visibilità può essere un problema anche quando viene installato un nuovo sistema localmente e l’azienda non pianifica in anticipo la gestione della nuova infrastruttura e, quindi, aumenta la superficie d’attacco.
Prendiamo ad esempio i containers che possono essere eseguiti in ambienti on-premise, ibridi o cloud. La mancanza di una protezione corretta dei containers non dipende dal luogo, ma dall’assenza di regole e di una governance adeguata.
Le organizzazioni non hanno alcuna visibilità sui propri sistemi quando non si preoccupano di come sono stati implementati tali sistemi.
Per cui nei contratti con le terze parti inseriamo, oltre ai service-level agreement (SLA), anche funzionalità di gestione e controllo diretto.
Esclusione della componente umana dal processo di sicurezza
È noto che la componente umana è responsabile di molti, se non della maggior parte, dei problemi di sicurezza in un’organizzazione. Commette errori di battitura quando immette i dati, dimentica di abilitare i controlli di sicurezza, apre l’e-mail di phishing e fa clic sui link malevoli, casca nelle truffe online e insiste ad utilizzare ovunque le stesse password insicure.
Spesso le soluzioni ICT sono più robuste degli esseri umani, perché questi ultimi sono facilmente manipolabili, ma, al contempo, possono fornire una lettura critica degli eventi e aggiungere “intelligenza” ai processi di sicurezza completamente automatizzati.
Per cui è utile e imprescindibile utilizzare le nuove tecnologie, come l’Artificial Intelligence (AI) e il Machine Learning (ML), per migliorare la risposta agli incidenti informatici, ma non bisogna escludere la componente umana dal processo di cyber security development perché spesso l’analisi umana si porta dietro l’intuizione che le macchine non hanno.
Sottovalutazione delle incognite
Le trasformazioni digitali possono talvolta aprire nuovi scenari di attacco imprevisti. Ad esempio, l’uso degli storage sul cloud è economico, funzionale, facile da configurare, facile da proteggere e facile da lasciare accidentalmente sbloccato.
Per cui, anche in questo caso, le configurazioni errate, la mancanza di conoscenza, l’assenza di controllo continuo di tutte le componenti del sistema e, soprattutto, della supply chain dei prodotti e servizi (oltre il 90% dei componenti di un progetto IT è acquisito da terzi parti) possono esporre alla perdita di dati.
Si raccomanda l’utilizzo di framework specifici, come il C-SCRM (Cyber Supply Chain Risk Management) del National Institute of Standards and Technology (NIST) o il Secure Software Development Framework (SSDF), per identificare, valutare e mitigare i rischi associati a questo tipo di attacchi.
Redazione di un piano di cybersecurity risk based
I responsabili della cybersecurity possono svolgere un ruolo importante per garantire che la strategia di trasformazione digitale di un’organizzazione includa un piano di cybersecurity. La chiave per essere efficaci è concentrarsi sulle questioni che contano di più per l’azienda.
Ad esempio, per convincere il management non tecnico basta mostrare l’impatto economico delle violazioni sulla capitalizzazione di un’azienda. (Internet è pieno di esempi). Attenzione ad essere persuasivi, ma non allarmisti, altrimenti si rischia di ottenere l’effetto contrario. Quindi, nel caso in cui si fosse chiamati a valutare la sicurezza di un nuovo progetto di digitalizzazione, esporre i rischi aggiuntivi e considerare i vantaggi del nuovo programma.
Un piano di cybersecurity che parla di rischio e sicurezza in termini aziendali ha sicuramente un impatto maggiore sulla strategia complessiva aziendale.
Conclusioni
La trasformazione digitale è vitale per la sopravvivenza a lungo termine di molte aziende, perché può aiutarle a difendersi dalle startup agili, soddisfare meglio le aspettative dei clienti, trovare nuove opportunità e ridurre i costi.
Allo stesso modo, anche la Pubblica Amministrazione può trarre grandi benefici dalla trasformazione digitale, perché può ridurre i costi di produzione dei propri servizi e migliorarli in termini di qualità e prossimità.
Migliorare la sicurezza informatica può diventare il fattore trainante per l’avvio di progetti di trasformazione digitale. Tuttavia, gli errori effettuati nell’attuazione possono essere costosi e possono mutare un grande progetto in un grande fallimento.