Fra fine gennaio e inizio febbraio, a brevissima distanza, si sono susseguite due giornate a chiaro stampo cybersecurity, quella della data protection, rivolta prevalentemente a educare alla salvaguardia dei dati personali, e quella per rendere Internet un luogo più sicuro. Converremo che le giornate mondiali hanno un senso se i temi che dettano vengono colti e svolti non solamente per un giorno, ma quotidianamente.
Abbiamo quindi voluto simbolicamente far partire una call to action, rivolgendoci ad alcune aziende di riferimento sullo scenario italiano, spostando l’asticella un po’ più in alto.
Sappiamo, infatti, che il tema della protezione dati, non nuovo, vive da sempre un problema di attrattività all’interno delle aziende, che se non obbligate per legge, difficilmente fanno un passo più del richiesto per investire in sicurezza e in protezione dati.
Ma riteniamo che qualcosa stia cambiando, ma vogliamo dare una spinta in più nel fare proseliti, nel raccogliere adesioni, senza ambire a che siano entusiastiche
Ci siamo posti dunque nella posizione di capire come rendere la cybersecurity attraente in azienda, come lo sono le tecnologie smart sul piano personale.
Così ci ha risposto Paolo Spreafico, Director of Customer Engineering Google Cloud Italy.
Può la cybersecurity essere davvero smart nell’azienda di oggi?
Le organizzazioni si trovano oggi a operare in uno scenario lavorativo ibrido, differente rispetto al passato, nel quale lo smart working è spesso presente. Si sta di conseguenza vivendo una nuova era della data security, nella quale i leader aziendali sono chiamati ad abbandonare l’idea tradizionale di sicurezza legata al perimetro aziendale.
Non si tratta più solo di proteggere le informazioni o di limitare il modo in cui vi si accede, si tratta di costruire modi sicuri, efficienti ed efficaci per facilitare la collaborazione e la condivisione delle informazioni, senza soluzione di continuità. Solo così la cybersecurity può essere davvero smart e raggiungere lo scopo di proteggere i dati e le informazioni senza ostacolare il lavoro e la collaborazione delle persone.
Prendiamo ad esempio i computer portatili di proprietà dei dipendenti. Se i leader aziendali non fornissero ai collaboratori l’hardware e i dispositivi necessari per operare quando il lavoro si sposta fuori sede, molti utilizzerebbero i propri dispositivi personali per lavoro. Questi dispositivi potrebbero non essere dotati delle stesse protezioni di sicurezza di quelli in ufficio aumentando il rischio di furto di dati sensibili e di minacce esterne.
Lo stesso vale per lo scenario opposto, in cui i collaboratori utilizzano computer portatili aziendali con reti Wi-Fi personali. A questo proposito, secondo un sondaggio condotto da Entrust nel 2021, la fuga di dati aziendali sensibili è tra le principali sfide per la sicurezza per il 20% dei leader aziendali intervistati mentre il 21% si dice preoccupato per i rischi di sicurezza delle reti domestiche non gestite.
L’approccio olistico alla sicurezza, che il lavoro ibrido sta contribuendo a diffondere, rientra proprio in quella dimensione smart della cybersecurity che le aziende possono abbracciare per affrontare le nuove sfide e le minacce del presente con più fiducia e risultati migliori.
Quali sono gli elementi tecnologici che lo consentono?
Dal mio punto di vista si possono identificare tre elementi tecnologici che consentono ad un’organizzazione di godere di una cybersecurity smart.
Il primo è la sicurezza cloud based: i sistemi aziendali on-premise hanno fatto affidamento su ambienti iper-controllati, il più delle volte attraverso la sicurezza della rete in ufficio o le reti private virtuali (VPN). Le piattaforme cloud based, invece, promuovono la condivisione dei dati e la collaborazione in maniera sicura e protetta indipendentemente dalla posizione fisica.
Il secondo è dato dalle policy zero-trust. I modelli zero-trust, di cui siamo stati pionieri, spostano l’attenzione sull’utente individuale senza bisogno della tecnologia VPN, quindi i controlli di accesso sono applicati indipendentemente da dove l’utente si trovi o dal dispositivo che sta utilizzando. Qualsiasi utente o dispositivo che tenta di accedere a una rete o alle sue risorse richiede un’autorizzazione, il che crea limiti di sicurezza più elevati su condivisione di file, download di applicazioni e utilizzo dei dati. Queste policy si estendono anche ai collaboratori che usano dispositivi personali, alleviando eventuali preoccupazioni sulle violazioni involontarie.
Il terzo è fatto dagli strumenti sicuri by design. Oggigiorno un datore di lavoro non desidera creare barriere alla collaborazione, e richiedere un numero eccessivo di controlli e verifiche per accedere alle informazioni sensibili può invece avere proprio questo effetto. Quando gli strumenti sono sicuri by design, i dipendenti possono lavorare insieme, senza barriere: le aziende possono monitorare e mantenere la governance del rischio di sicurezza, aprendo quindi a linee di comunicazione e favorendo una cultura più collaborativa e innovativa. Se ben implementato, l’approccio olistico che noi sposiamo dà la priorità alla sicurezza rendendo i sistemi virtualmente invisibili ai collaboratori. Tutto avviene dietro le quinte eccetto un alert inviato occasionalmente all’utente finale per comunicargli che l’attività potrebbe essere esposta a rischi.
Quali le iniziative organizzative da intraprendere?
Sicuramente occorre costruire una cultura della security: oltre a un’infrastruttura sicura, creare una cultura aziendale che dia priorità alla sicurezza può aiutare a minimizzare i rischi legati a una forza lavoro disgregata.
La collaborazione dei leader aziendali con il reparto IT nella redazione delle best practice da seguire, lo sviluppo della formazione sulla sicurezza per i dipendenti e la possibilità di dedicare dei momenti di “domande e risposte” sulla cybersecurity in orario d’ufficio rappresentano alcuni spunti e modalità per incorporare e rafforzare una cultura della sicurezza nell’organizzazione.
È fondamentale che i collaboratori siano coinvolti, come dei partner e che non vengano considerati come una minaccia per la sicurezza, ma come uno strumento di difesa.
Un altro aspetto che le aziende possono considerare per mettere in sicurezza i propri dati è legato al tema della sovranità digitale, una delle massime priorità per tutte le organizzazioni, sia del settore pubblico sia del settore privato. Google Cloud offre ai propri clienti trasparenza sulla gestione dei dati e soluzioni di sovranità digitale che permettono di passare dai data center on premise al cloud pubblico mantenendo il controllo sulla posizione dei dati e sulle operazioni e contribuendo in questo modo a garantire la conformità alle normative locali e la sicurezza per le aziende.
E se davvero fosse smart, un euro speso in cybersecurity che rendimento avrebbe per l’azienda?
Gli attacchi alla sicurezza possono impattare vari aspetti dell’azienda che a loro volta possono avere delle ripercussioni anche importanti a livello economico. La buona notizia è che il cloud computing fa progredire la sicurezza più velocemente, con costi e sforzi minori rispetto a qualsiasi altra iniziativa in ambito security.
I cloud pubblici hanno una portata sufficiente ad implementare livelli di sicurezza e resilienza che poche organizzazioni hanno avuto e potuto costruire in precedenza. In Google gestiamo una rete globale e costruiamo i nostri sistemi, reti, storage e stack software conferendo al tutto un livello di sicurezza predefinito mai visto prima – dai nostri chip di sicurezza Titan che assicurano un avvio sicuro, alla crittografia pervasiva dei dati in transito e dei dati a riposo e mettiamo a disposizione nodi di calcolo riservati che criptano i dati anche mentre sono in uso.
Noi diamo priorità alla sicurezza, naturalmente, ma dare questa priority diventa più facile ed economico perché il costo di un singolo controllo su tale scala diminuisce per unità di distribuzione. Man mano che la scala aumenta, il costo unitario del controllo scende. Man mano che il costo unitario scende, diventa più economico implementare controlli di base crescenti ovunque.
Infine, dove c’è un costo incrementale necessario per supportare configurazioni specifiche, caratteristiche di sicurezza migliorate e servizi per supportare le operazioni di sicurezza e gli aggiornamenti del cliente, allora anche il costo per unità diminuirà. Può essere a pagamento, ma è ancora un costo inferiore rispetto ai servizi on-prem, la cui economia va nella direzione opposta.
