Fra fine gennaio e inizio febbraio, a brevissima distanza, si sono susseguite due giornate a chiaro stampo cybersecurity, quella della data protection, rivolta prevalentemente a educare alla salvaguardia dei dati personali, e quella per rendere Internet un luogo più sicuro. Converremo che le giornate mondiali hanno un senso se i temi che dettano vengono colti e svolti non solamente per un giorno, ma quotidianamente.
Abbiamo quindi voluto simbolicamente far partire una call to action, rivolgendoci ad alcune aziende di riferimento sullo scenario italiano, spostando l’asticella un po’ più in alto.
Sappiamo, infatti, che il tema della protezione dati, non nuovo, vive da sempre un problema di attrattività all’interno delle aziende, che se non obbligate per legge, difficilmente fanno un passo più del richiesto per investire in sicurezza e in protezione dati.
Ma riteniamo che qualcosa stia cambiando, ma vogliamo dare una spinta in più nel fare proseliti, nel raccogliere adesioni, senza ambire a che siano entusiastiche
Ci siamo posti dunque nella posizione di capire come rendere la cybersecurity attraente in azienda, come lo sono le tecnologie smart sul piano personale.
Così ci ha risposto Tommaso Fè, Head of Platform Italy di Salesforce.
Può la cybersecurity essere davvero smart nell’azienda di oggi?
In un mondo cloud la cybersecurity per sua natura deve essere smart. Nel senso che un’infrastruttura moderna è in grado di ridurre al massimo i grattacapi e le operazioni più routinarie ai professionisti dell’IT e al contempo li rende capaci di costruire le policy e le compliance adatte alla mission dell’azienda in modo semplice e rapido.
Salesforce in questo senso lavora per cercare di tutelare la sicurezza del dato a 360 gradi dando le funzionalità di base all’IT per la massima sicurezza dello stack tecnologico (Infrastruttura, Networking, Firewall) e fornendo ulteriori strumenti sempre più raffinati per definire regole di sicurezza del dato per gli attacchi di tipo “inside” che nelle aziende digitali sono sempre più diffusi e recano i danni maggiori.
Un Crm deve essere in grado di gestire il cliente nel suo intero ciclo di vita e quindi proteggere i dati dall’interno diventa un fattore fondamentale per mantenere il “trust” a 360 gradi. Ciò libera anche gli utenti di business dei vincoli applicativi e di conseguenza abbatte i tempi e i costi altrimenti allocati alle manutenzioni che, come noto, pesano notevolmente sui budget IT e ne limitano le strategie evolutive.
Quali sono gli elementi tecnologici che lo consentono?
Gli strumenti fondamentali oggi nelle aziende sono quelli che permettono di rendere armonica la gestione della privacy legata al GDPR e la protezione e il monitoraggio dei dati per prevenire gli inside data leak.
Il tema GDPR sicuramente non è solo un aspetto legato alla gestione del dato del cliente con i vari titoli diffusi come la pseudo-anonimizzazione e i processi di diritto all’oblio ma anche rispetto alla encryption dei dati. L’aspetto fondamentale dell’encryption dei dati legato alla capacità dell’azienda di utilizzare delle proprie chiavi di criptazione all’interno dei sistemi cloud utilizzando i sistemi definiti Bring your own key in modo da creare il legame di trust tra aziende e cloud provider nell’ottica della sicurezza del cloud. Attivare politiche di criptazione personalizzate agevola il percorso di digitalizzazione all’interno dell’azienda perchè crea un sentimento positivo di transizione al cloud anche per le aziende più scettiche e resistenti al cambiamento.
Il secondo aspetto legato all’inside data leak è ancora più critico perché va a toccare l’equilibrio tra ciò che l’azienda deve fare per rendere sicuro il proprio “segreto industriale” e la fiducia verso i propri dipendenti. In questo senso le applicazioni per il monitoraggio intelligente sono sicuramente un modo migliore di gestire questa fiducia rispetto ai sistemi di monitoraggio hardware. Proteggere il dato aziendale diventa fondamentale al momento in cui quel dato viene consultato o si richiede di essere salvato in un luogo diverso da quello preposto (applicando sistemi di monitoraggio applicativi cloud) favorendo la prevenzione rispetto che l’investigazione post incidente.
Quali le iniziative organizzative da intraprendere?
La prima e unica iniziativa da intraprendere è l’informazione e la conoscenza delle modalità di gestione della sicurezza nell’ecosistema IT e nelle organizzazioni di business preposte al controllo CISO e DPO. Se si parla troppo genericamente di cybersecurity si rischia di prendere decisioni che possono essere estreme (nessuna sicurezza o troppa sicurezza): solo conoscendo le modalità di gestione si potrà avere IT dinamici che supportano al 100% progetti di trasformazione digitale e non si sentono aggrediti o de-responsabilizzati rispetto al passato. La sicurezza, soprattutto nel cloud, è un’opportunità enorme per gli IT perché si passa realmente da una sicurezza da officina a una sicurezza di logica, che lega la mission dell’azienda con le competenze tecnologiche e può permettere all’IT di essere protagonista fondamentale della strategia aziendale.
E se davvero fosse smart, un euro speso in cybersecurity che rendimento avrebbe per l’azienda?
Il ritorno sull’investimento è il fattore più importante sulla cybersecurity ed è anche quello forse meno evidente quando si va a calcolare il ROI di progetti digitali. Se pensiamo che la maggior parte dei data breach e data leak iniziano dall’interno ci rendiamo conto che la sicurezza informatica è passata da un fattore di competenza tecnologica a un fattore di competenza del dato. Conoscere le tecniche informatiche di hacking, al netto degli eclatanti attacchi recenti a grandi multi-nazionali è diventato un fattore di rischio marginale rispetto a perdere una lista clienti su azione diretta di un dipendente con una conoscenza informatica basica. Il danno è significativamente più probabile, diffuso e pericoloso. Perciò adottare strumenti cloud capaci di rendere Smart la gestione di questi fattori diventa un investimento che ha un altissimo rendimento.
