L’approccio strategico di CRIF alla protezione del business: uno scudo cross-functional contro gli attacchi che copre piani di spesa, modalità di attuazione delle best practice e strumenti per rispondere alla velocità del cambiamento delle minacce
I minacciosi marosi sollevati dall’emergenza sanitaria hanno richiesto alle aziende di alzare uno scudo cyber contro la recrudescenza degli attacchi degli ultimi mesi. Per fronteggiarli, CRIF, player globale nel settore delle informazioni creditizie e commerciali e nelle soluzioni per il credito, per lo sviluppo del business e l’open banking, ha potuto contare sul percorso virtuoso intrapreso da anni nel campo della cybersecurity. Altre sfide attendono il Gruppo con Headquarters a Bologna. «La consapevolezza dell’importanza strategica della cybersecurity per la resilienza del business è ormai diffusa nel mercato globale» – spiega Alberto Valentini, Global IT Cybersecurity director di CRIF. «Fino a qualche anno fa, la ricchezza e il progresso tecnologico di un mercato costituivano un indicatore del livello atteso di cybersecurity. Oggi, queste differenze stanno rapidamente convergendo verso standard molto elevati e, nella sostanza, uguali per tutti». Permangono semmai differenze importanti – sia per industry che a livello Paese – nelle capacità di spesa e sulle modalità di attuazione delle best practice di sicurezza. «Differenze che insieme alla velocità del mercato globale – continua Valentini – rappresentano la sfida principale per aziende come CRIF, presente in oltre 35 paesi.
E attraverso un processo di innovazione continua che ha richiesto negli anni di procedere a una sorta di industrializzazione della cybersecurity, con scelte attuabili in contesti tecnologici e geografici differenti, attraverso la consegna al business di soluzioni il più possibile riutilizzabili». CRIF è impegnata anche nel supportare i clienti, privati e imprese, con strumenti di protezione dal cyber risk. Tema che tocca anche i processi di digital lending, in piena accelerazione post pandemia. «Fronteggiata – sottolinea Valentini – integrando la nostra offerta di soluzioni con tool di rilevazione delle anomalie relative alla sessione e al device in uso».
PROTEZIONE, REAZIONE E RISPOSTA
La relazione tra il business e la cybersecurity attraversa una fase di profonda trasformazione. «Molto più stretta, proprio per l’attenzione dei clienti ai temi della sicurezza» – afferma Valentini. Una funzione che mantiene la sua core mission di protezione degli asset tecnologici aziendali. E che è investita al contempo da nuove responsabilità. «La funzione cybersecurity oggi partecipa ai bandi di gara. È coinvolta con i clienti nella prevendita. Offre consulenza nella definizione delle architetture e dei processi aziendali che riguardano la sicurezza. Per questo, ha accesso al Board. Il business si aspetta un aiuto, possibile solo uscendo dalla comfort zone della propria verticalità tecnica, facendo squadra così come con le funzioni legal, risk e organizzazione». Credito e considerazione della cybersecurity presso manager e Board aziendali sono cresciuti durante i mesi dell’emergenza sanitaria. «Il consolidarsi di questo rapporto – prosegue Valentini – permette di fare molte più cose, più velocemente. Al tempo stesso, si è valutati secondo criteri diversi da quelli puramente tecnologici. Sicuramente, la cybersecurity ha acquisito maggiore peso e una più diretta responsabilità nel garantire la continuità operativa. La cybersecurity è stata chiamata a offrire maggiori certezze ma ha ricevuto in cambio maggiore empowerment». Tuttavia per molti manager e amministratori rimane ancora problematico apprezzare il ritorno degli investimenti in sicurezza. Anche perché spesso lamentano l’adeguatezza degli strumenti di misurazione. Un dato che emerge anche dalle analisi CRIF.
«È il punto intorno al quale ruota la relazione di fiducia con la funzione di cybersecurity» – spiega Valentini. «Le metriche di rischio e di performance sono molto legate alla specificità tecnica, e non sono facilmente comprensibili né utili, da sole, a costruire una relazione. Serve un terreno comune: chiarire i deliverables dei progetti, offrire scelte alternative e, soprattutto, confrontarsi con benchmark di mercato per i costi». Anche per questo, i benefici della tecnologia di sicurezza sullo sviluppo del business sono compresi e interpretati da manager e amministratori in modi diversi. «L’azienda vuole innanzitutto sentirsi protetta dai cyber attacchi, per trasferire questo senso di sicurezza ai clienti» – rileva Valentini. «L’innovazione per il business è nel DNA di CRIF e la tecnologia ne è il motore. Alla cybersecurity è richiesto di guidare e proteggere in egual misura l’innovazione di business, scegliendo le giuste tecnologie. È un rapporto a due vie. Da un lato il business desidera capire meglio le tecnologie di sicurezza. Dall’altro le è richiesto un cambio culturale, per comprendere meglio il business, soprattutto quello dei clienti».
ECOSISTEMA SCALABILE
In questo processo, il percorso di cloud adoption intrapreso dall’azienda ha contribuito a cambiare il volto della cybersecurity. «Il cloud ha assunto una dimensione importante per l’impronta tecnologica globale di CRIF e, di conseguenza, la cybersecurity ha affrontato un analogo percorso di trasformazione e cloud adoption» – osserva Valentini. «Da sempre, eroghiamo a tutti i data center del Gruppo un pacchetto di Managed Security Services: vulnerability assessment, penetration test, controlli sulle corrette configurazioni dell’infrastruttura tecnologica, cyber monitoring, threat Intelligence, strumenti di incident response.
E lo stesso facciamo per tutti i nostri poli di sviluppo, con servizi di rilevazione delle vulnerabilità SAST e DAST. Oggi siamo in grado di erogare questi servizi sia on premises che in cloud». Uno sforzo che ha richiesto lo sviluppo delle competenze del team di security, anche per sfruttare al meglio le capabilities di cybersecurity, sempre più spesso fruibili as a Service, messe a disposizione dai principali cloud provider. «Un paradigma – rileva Valentini – ben diverso da quanto avviene on premises. Scalabilità globale e linearità dei costi operativi, decisivi per un’azienda come CRIF che cresce molto per acquisizioni in tutto il mondo. I servizi di security erogati dal cloud ci consentono di integrare rapidamente le nuove realtà nel nostro ecosistema cyber. Al tempo stesso, la cloud adoption ci ha portato a dover considerare nuovi rischi per la data protection, differenti da quelli che si affrontano on premises per natura tecnologica e modalità di governance. Da qui, nasce la necessità di una maggiore interazione con le funzioni legal e risk management».
La pandemia è stato un banco di prova importante. Molte le trasformazioni in termini di evoluzione delle minacce, delle necessità e di conversione del lavoro da remoto che hanno coinvolto direttamente CRIF ma anche partner e clienti. «Fortunatamente, eravamo preparati» – sottolinea Valentini. «Gestivamo già il lavoro da remoto in modo strutturato in tutti i Paesi in cui operiamo. Molti dei nostri team geograficamente distribuiti – cybersecurity compresa – sono già “virtuali”. Nel pieno della pandemia, grazie alle conoscenze e agli strumenti necessari, ci siamo potuti concentrare sui gruppi e sulle attività tipicamente svolte onsite».
Le campagne di phishing e social engineering – mirate a sfruttare la debolezza della rete domestica rispetto a quella aziendale e che hanno fatto leva soprattutto sulla mutata condizione emotiva e di lontananza tra colleghi – sono cresciute molto rapidamente. Di fronte allo scenario multiforme delle minacce – come spiega Valentini – CRIF ha puntato sull’awareness dei dipendenti, rafforzando il gioco di squadra con le altre funzioni aziendali. «Inoltre, abbiamo attivato un programma di smart working security globale per dotarci di nuove tecnologie per i prossimi anni. Anche perché prevediamo che le minacce continueranno a crescere anche dopo la pandemia».
