Nelle imprese data-driven il rischio di attacchi è alto

Nelle imprese data-driven il rischio di attacchi è alto

In uno scenario caratterizzato da una grande attenzione alle tematiche ambientali e alla sostenibilità, e contemporaneamente dall’aumento degli attacchi informatici, anche la gestione efficiente delle risorse IT e la scelta delle architetture assume un’importanza strategica.

Parlando di cybersecurity, la fiducia è un elemento da rafforzare e la gestione dei dati diventa un anello tra tecnologia e funzione. «Nella data governance, la cybersecurity non è un problema da risolvere ma un rischio da mitigare» – spiega Giuseppe Madaffari, associate director, product software engineering Wolters Kluwer Italia. «Quindi dobbiamo predisporre dei piani e delle azioni concrete per ridurre questo rischio. Fondamentale la scelta di un fornitore in grado di offrire architettura e soluzioni rassicuranti, certificazioni e una metodologia precisa di risk management della cybersecurity. E che sia preparato a reagire a un evento negativo, sia in termini di business continuity sia di analisi dei fatti. Il fornitore deve diventare un partner con l’obiettivo comune di lavorare insieme facendo le scelte migliori». Madaffari ci porta sul campo e ci fa l’esempio di un processo apparentemente banale, il login. «Il cliente conosce al meglio i propri collaboratori, le loro esigenze e le loro dotazioni informatiche ed è quindi più sicuro se è la sua rete ad autenticare l’utente finale, utilizzando un approccio con Single Sign-On (SSO) federato, e idealmente attivando una VPN quando si utilizzano dei device privati e non governati dall’IT aziendale. Questo è ancor più importante nel contesto dello smart working, con utenti che si collegano da casa tramite reti WI-FI private potenzialmente aperte alle quali sono collegate periferiche di ogni tipo che aumentano i rischi».

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

LE NUOVE SFIDE DI CIO E CISO

Oggi l’impresa è un sistema esteso. L’intero ecosistema costituito da clienti, partner, fornitori e dipendenti è esposto a vincoli di fiducia. Quali sono le sfide che CIO e CISO hanno davanti? Parlare di fiducia e di modelli Zero Trust sembra un ossimoro. «La fiducia e lo Zero Trust sembrano poli opposti – dice Madaffari – ma in realtà la metodologia zero trust nasce con una connotazione tecnica e indirizza un approccio operativo che non esclude la fiducia verso un partner. Il problema è come si ottiene questa fiducia: non ci si deve limitare a scegliere un fornitore sulla base di una check-list in fase di gara, ma si dovrebbe verificare il possesso delle certificazioni più importanti, per esempio la ISO 27001, e che il fornitore sia in grado di produrre dei report SOC, certificazioni per le quali le aziende investono una quota rilevante del budget annuale. L’attenzione va posta non solo sul vendor ma sull’intera supply-chain».

Leggi anche:  I campioni del Made in Italy incontrano i campioni dell’innovazione

Wolters Kluwer ha scelto partner tecnologici di eccellenza quali Microsoft (Azure) e Amazon (AWS). Tutto il personale viene periodicamente formato e aggiornato sulle minacce informatiche e sulle contromisure legate ai rischi di cybersecurity. «L’elemento di una filiera produttiva vulnerabile da un cyberattacco non è solo il software» – sottolinea Madaffari. «Gli incidenti dimostrano che l’anello debole è rappresentato dai comportamenti umani, che diventano ancora più rischiosi se il software non è affidabile. Per questo motivo i nostri servizi sono sottoposti a vulnerability assessment con tool di analisi statica e dinamica del codice, sia in fase di progettazione sia in fase di testing, e successivamente verificati in produzione tramite il cosiddetto hacker etico, con verifiche end-to-end sulla solidità dell’intero processo».

CREARE UNO SCENARIO DI SICUREZZA

Oggi si presenta l’opportunità di rafforzare e sviluppare l’ecosistema digitale nazionale utilizzando anche i fondi del PNRR. «Le aziende e i fornitori di servizi devono investire regolarmente sulla cybersecurity e oggi più che mai è possibile farlo» – dichiara Madaffari. «Bisogna andare oltre il prodotto e considerare la complessità dell’ecosistema informatico. Faccio un esempio: se dopo aver verificato un fornitore e avviato il servizio, il cliente chiede delle personalizzazioni delle funzionalità o un accesso alle informazioni gestite tramite nuove interfacce dati, gli va data la certezza che si applicheranno le stesse metodologie e best practice di sicurezza. Diventa quindi fondamentale avere una pratica di threat modeling integrata nei processi industriali e supportata da esperti della materia. Nominare dei “security champion”, avviare e mantenere delle campagne periodiche di aggiornamento, creare un team di Sicurezza trasversale che possa monitorare, aggiornare e raccomandare le migliori pratiche, sono investimenti fondamentali per ridurre il rischio».

«Fondamentale la scelta di un fornitore in grado di offrire architettura e soluzioni rassicuranti, certificazioni e una metodologia di risk management»

DALLA SANITA’ AL WASTE MANAGEMENT

Per le organizzazioni del comparto sanitario, il numero delle cartelle cliniche e il volume di dati personali sensibili da gestire in modo compliant alle normative rappresenta un impegno considerevole. Nello specifico, Wolters Kluwer propone Simpledo, una soluzione dedicata al mondo HSE che rafforza la sicurezza implementando varie contromisure tecniche e funzionali addizionali. Il primo aspetto considerato dalla soluzione è quello di un modello di accesso basato sui “privilegi minimi” necessari per il lavoro quotidiano. A tale sistema di profilazione dei ruoli sono stati affiancati la multi-factor authentication (MFA) e un doppio livello di verifica, in particolare per i medici specialisti che trattano dati sensibili, in linea con il modello Zero Trust.

Leggi anche:  Enrico Giovannini interviene a WeChangeIT Forum 2023 - VIDEO

Altro scenario. L’importanza della data governance nella gestione dei rifiuti rappresenta un altro fronte molto caldo per tutte le implicazioni normative, di rischio e finanziare. Una curiosità: l’Italia è il Paese europeo che all’interno dei fondi del PNRR ha dedicato le maggiori risorse al waste management e all’economia circolare. Non solo, a livello normativo l’Italia è pronta a varare un nuovo obbligo di legge: il Registro Elettronico Nazionale sulla Tracciabilità dei Rifiuti (RENT.RI). Per il settore si tratta di una milestone fondamentale che farà da acceleratore al processo di informatizzazione, sensibilizzando ancora di più l’intera catena del valore rispetto al controllo e alla governance della materia. La soluzione offerta da Wolters Kluwer si chiama Atlantide, uno strumento per affrontare la digital transformation nel waste management con l’obiettivo della sostenibilità. I benefici ottenibili riguardano contemporaneamente gli aspetti economico, ambientale e sociale, in linea con il piano nazionale. Atlantide di Wolters Kluwer risponde all’esigenza primaria di ogni impresa in tema waste management, quella di tracciare i flussi nel ciclo dei rifiuti. Il software comprende un sistema completo di audit-trail che tiene traccia di tutte le attività e profila ogni singolo operatore in base alle proprie mansioni, monitorando la qualità e le responsabilità. In questo modo la tracciabilità, l’efficienza e la sicurezza dell’intera filiera sono garantite.