BlueIT, rischio cyber sotto controllo

La società rafforza i servizi di prevenzione e risposta alle minacce informatiche

«Necessità e vantaggi dell’information security così come la cultura della gestione dei rischi sono più diffusi in alcuni settori» afferma Girolamo Marazzi, CEO di BlueIT. «Il vero boost per la crescita è però legato ai requisiti regolatori che via via vengono inseriti nei contratti B2B. In Turchia c’è stato un boom di richieste di certificazioni ISO 20000 perché è diventato, da un giorno all’altro, un requisito filtro per partecipare a bandi e gare. Non si tratta più di maturità aziendale e previsionale: la sicurezza informatica oggi è la base della sicurezza aziendale».

Gli attacchi informatici secondo il Global Risks Report 2021 del World Economic Forum, rappresentano il principale pericolo globale legato alla tecnologia. «I CIO – concorda Marazzi – si stanno rendendo conto dell’importanza del cyber risk. Alcuni hanno avuto esperienze negative dirette, altri hanno visto cosa è accaduto a competitor o aziende locali vicine. Non sempre però riescono a convincere il CEO ad approvare i necessari investimenti in sicurezza». Nonostante la gravità degli incidenti registrati nei mesi della pandemia, investire in sicurezza non è così scontato. Neppure a fronte del riconoscimento della maggior valenza strategica della cybersecurity. «Negli ultimi anni molte aziende sono state vittime dei ransomware: alcune hanno pagato i riscatti in cryptovaluta, altre hanno perso i dati e subito un blocco dell’operatività per giorni e settimane. Il nostro sforzo – ci dice Marazzi – è quello di legare i rischi di business con i cyber risk utilizzando un linguaggio comune comprensibile da tutti gli attori. Un conto è dire “abbiamo un rischio alto per quanto riguarda gli attacchi SQL”, un altro è rilevare la presenza di “un rischio alto sul processo di ricezione degli ordini telematici dovuto ad attacchi cyber”».

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Leggi anche:  Zscaler offre soluzioni innovative di sicurezza basate sull’AI generativa in collaborazione con NVIDIA

Riuscire ad aprire un canale di comunicazione efficace tra CISO e board è fondamentale.
«Privacy, perdita dei dati e blocco dell’operatività sono i temi più importanti» afferma Marazzi. «Il primo è un tema di garanzia tra due controparti. Qui il timore è di subire sanzioni, oltre al rischio di perdere la fiducia da parte dei clienti. Tra il secondo e il terzo c’è un legame molto forte: l’indisponibilità di servizi applicativi e sistemi, si riflette immediatamente sul blocco dell’operatività». Per questo oggi è importante che il CdA eserciti un ruolo di supervisione dell’operato dell’IT e della security, adeguato al livello
di importanza che ricoprono per il business dell’azienda. «Livello che dipende dal settore e dal “risk appetite” del top management» osserva Marazzi. «La chiave è parlare una sorta di Esperanto interno all’azienda, in cui business, IT e security si incontrano e riescono a comprendersi». Altro fattore determinante è rappresentato dagli shareholder. «Alcune aziende – osserva Marazzi – non necessariamente di piccole dimensioni, vedono solo un aumento dei costi; un’azienda quotata o di proprietà di una finanziaria è più attenta, commissiona audit di terze parti e, il CdA, entra molto più nel merito».

Un indicatore importante per misurare il grado di coinvolgimento del CdA è dato dalla quantità e dalla qualità di informazioni sull’andamento della security in azienda che l’IT riesce a garantire. «Alcune organizzazioni si sono dotate di un CISO che operi da collante tra business e IT. Per far fluire le informazioni, gli strumenti base sono l’analisi e la gestione dei rischi ex ante e la gestione degli incidenti di sicurezza informativa ex post. Il ruolo di BlueIT in questo processo – conclude Marazzi – è quello di disegnare un percorso, un “security journey”, per diffondere la cultura della gestione condivisa del rischio tra business e IT e guidare i clienti lungo questo percorso».

Leggi anche:  Kaspersky rivela un nuovo metodo per rilevare lo spyware Pegasus