Benvenuti nell’era del multirischio, dove la cybersecurity e i fattori ESG si intrecciano con la conformità normativa, la formazione continua e la leadership proattiva. Approccio integrato e cruscotti intelligenti per prevenire, gestire e mitigare la complessità dei rischi interconnessi

Nell’era attuale, caratterizzata da una complessità senza precedenti e da un’interconnessione globale crescente, le organizzazioni devono adottare una nuova mentalità, che metta al centro la prevenzione, la gestione e la mitigazione dei molteplici rischi. Ciò comporta cambi di paradigma nell’anticipare, valutare la probabilità di incidenti tradizionali e attacchi informatici sofisticati. Ovvero, si tratta di attuare una gestione del rischio integrata, atta a sviluppare strategie per garantire il raggiungimento degli obiettivi aziendali, la conformità normativa e la promozione di una cultura aziendale in grado di garantire la cyber resilience e l’operational resilience.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

SCENARI MULTIRISCHIO

ll termine “multirischio” sottolinea la complessità degli scenari che le organizzazioni moderne si trovano a fronteggiare, caratterizzati da una vasta gamma di rischi interconnessi e complessi. Tra questi rischi, i rischi IT e cyber sono particolarmente rilevanti, includendo attacchi ai sistemi operativi e minacce come ransomware e phishing. A ciò si aggiungono i rischi operativi, che riguardano la sicurezza sul lavoro e la continuità operativa dell’azienda, garantendo che le attività possano proseguire senza interruzioni significative. Le organizzazioni devono anche affrontare i rischi di conformità, assicurandosi di aderire a normative stringenti, e i rischi reputazionali, dove una perdita di fiducia da parte dei clienti può avere conseguenze devastanti. In un contesto sempre più globalizzato, i rischi geopolitici e di mercato diventano cruciali, poiché l’instabilità politica ed economica può avere riflessi negativi significativi. Non possiamo dimenticare i rischi di catastrofi naturali e di forza maggiore, come disastri ambientali e pandemie, che possono mettere a dura prova le capacità di risposta delle organizzazioni. Inoltre, i rischi ESG (ambientali, sociali e di governance) sono sempre più pressanti, con una maggiore enfasi sulla sostenibilità e la responsabilità sociale. Infine, ci sono i rischi legali, legati a vertenze legali e sanzioni regolamentari, e i rischi finanziari, derivanti da fluttuazioni del mercato, specialmente quelle anomale.

Tutti questi rischi richiedono una gestione attenta e integrata per garantire la resilienza e il successo a lungo termine delle organizzazioni. Tali scenari multirischio, come si evince anche dal “Global Risks Report 2024” del World Economic Forum (WEF), comportano sfide urgenti per le organizzazioni. Il rapporto rivela un mondo afflitto da due crisi pericolose: l’una causata dalle imprevedibili metamorfosi climatiche, l’altra dalla rapida accelerazione del cambiamento tecnologico. Queste crisi convergono in un unico esito negativo: l’incertezza economica. Inoltre, il report 2024 “Cybersecurity Readiness Index” di Cisco sottolinea i rischi dell’iperconnettività, caratterizzata dal proliferare dell’intelligenza artificiale, ambienti di lavoro distribuiti e di cybercriminali autori di minacce sempre più sofisticate. Dal report si evince che il 54% delle organizzazioni, a diverse latitudini, ha subito un incidente di sicurezza informatica nel 2023 e di queste il 73% prevede di essere vittima di un evento dirompente cyber nei prossimi 12-24 mesi.

Ne consegue che le organizzazioni devono essere in grado di prepararsi per superare le sfide che le attendono, adottando una visione olistica che includa, non solo la difesa tecnologica, ma anche la gestione delle risorse umane, della supply chain nel quadro di un’adeguata pianificazione della risposta. La buona notizia che scaturisce dal report di Cisco è che le organizzazioni non sono rimaste a guardare e mostrano di essersi rese conto di dover agire: oltre la metà (52%) sta pianificando di ammodernare in modo significativo la propria infrastruttura IT nei prossimi uno o due anni, aggiornando le soluzioni esistenti (66%), implementando nuove soluzioni (57%) e investendo in soluzioni basate sull’intelligenza artificiale (55%). Inoltre, il 97% delle organizzazioni prevede di aumentare i budget per la sicurezza IT, per contrastare la crescita del numero e delle forme delle minacce informatiche. Entrando nel particolare, Cisco ricorda che oltre la metà delle organizzazioni oggetto del report (52%) prevede di aumentare i propri budget per la sicurezza informatica dell’11-30% nel 2024, con azioni propedeutiche a garantire una strategia di resilienza preventiva, predittiva e proattiva.

E IN ITALIA A CHE PUNTO SIAMO?

Anche nel nostro Paese si delinea lo stesso scenario preoccupante per la sicurezza informatica. Come il Rapporto Clusit 2024 rivela, l’Italia si conferma un bersaglio primario per i cybercriminali, con un aumento del 65% degli attacchi cyber nel 2023 rispetto al 2022, un dato nettamente superiore all’incremento dell’11% registrato a livello globale, contro il 3,4% del 2021 e il 7,6% del 2022. In pratica, 11 attacchi su 100 nel mondo si verificano nel nostro Paese, a conferma che le imprese italiane, purtroppo, non dispongono ancora di un’adeguata protezione informatica. Ne consegue che è quanto mai necessario, soprattutto per le PMI, ma anche per le grandi organizzazioni, aumentare gli investimenti in sicurezza informatica per essere in grado di identificare, analizzare e gestire le minacce informatiche, concentrandosi sia sulla prevenzione sia sulla risposta agli incidenti.

CYBERSECURITY E SOSTENIBILITÀ

Sebbene gli aspetti ambientali dell’agenda ESG abbiano ricevuto un’attenzione significativa, altri elementi come la cybersecurity e la privacy non sono stati altrettanto ben sviluppati, come testimoniano i report già citati, incidendo sulle operazioni aziendali, sulla continuità e sulla reputazione. C’è una crescente pressione affinché le aziende dimostrino trasparenza riguardo al loro impegno aziendale nei confronti della cybersecurity e dei fattori ESG. Di fatto, la cybersecurity ha attirato maggiore attenzione da parte delle autorità di regolamentazione, che ora richiedono una notifica tempestiva e completa degli incidenti, nonché la divulgazione della maturità del controllo della cybersecurity di un’organizzazione. Inoltre, l’intersezione tra cybersecurity e agenda ESG ha assunto un ruolo fondamentale nel plasmare il futuro della responsabilità sociale delle imprese.

Leggi anche:  Il paradigma del noleggio IT

Interessante il documento di KPMG dal titolo “Cybersecurity in ESGIt’s time to view ESG and cybersecurity through the same lens” che si propone di esplorare la connessione tra ESG e cybersecurity, approfondendo i vantaggi di gestire questi problemi all’unisono e spiega come un approccio integrato può salvaguardare il benessere di un’organizzazione, assicurarne il futuro e proteggere gli interessi di clienti e partner. Se è vero che la minaccia informatica ci colpisce da fuori, è anche vero che una approssimativa gestione dei mezzi informatici le può dare una mano da dentro l’azienda.

Il primo passo è assicurarsi che i dipendenti utilizzino gli strumenti informatici in modo sicuro. «Ciò comporta l’utilizzo dell’autenticazione a due fattori per le piattaforme di identità, l’applicazione regolare di patch a sistemi e software nonché imparare a riconoscere gli attacchi di social engineering» – spiega Richard de la Torre, technical product marketing manager enterprise solutions di Bitdefender. «Le aziende dovrebbero investire in software per la gestione dei rischi e delle vulnerabilità e per la gestione delle patch in grado di eseguire regolarmente scansioni e applicare le patch per le vulnerabilità identificate». Senza dimenticare – aggiunge Richard de la Torre –  «che in prospettiva, molti altri rischi emergono dalla proliferazione dei sistemi di AI che coinvolgono tecnologie come la clonazione vocale e i video deepfake».

CAMBI DI PARADIGMA E STRATEGIE

In un contesto aziendale sempre più complesso e interconnesso, sviluppare una strategia multirischio è fondamentale per garantire la resilienza e la continuità operativa. In altre parole, la gestione del rischio deve essere integrata in ogni aspetto dell’organizzazione. E per sviluppare una strategia multirischio efficace, è necessario adottare un approccio integrato alla gestione del rischio. Ciò significa considerare l’interconnessione e la complessità dei vari rischi che un’organizzazione può affrontare, oltre a essere in grado di essere conformi al framework normativo europeo sempre più caratterizzato da un approccio risk-based e resilience-based che presuppone l’incorporazione dei principi del risk management, della business continuity e della cybersecurity. Inoltre, è essenziale implementare una strategia articolata su tre pilastri fondamentali. Il primo riguarda l’adozione di politiche e procedure robuste. Questo significa stabilire linee guida chiare e procedure operative standard per gestire efficacemente i diversi tipi di rischio. Avere delle regole ben definite aiuta a prevenire problemi e a rispondere prontamente alle emergenze.

Il secondo pilastro si concentra sull’utilizzo di tecnologie avanzate. È fondamentale implementare soluzioni tecnologiche che permettano di prevenire e mitigare i rischi. Queste tecnologie possono includere software di monitoraggio, sistemi di allarme e altre innovazioni che migliorano la sicurezza e la continuità operativa. Infine, il terzo pilastro consiste nel promuovere una cultura della resilienza all’interno dell’azienda. Questo significa riconoscere l’importanza della gestione dei rischi, della continuità operativa e della cybersecurity, e far sì che tutti i dipendenti siano consapevoli e partecipi di queste priorità. Creare una cultura aziendale orientata alla resilienza garantisce che ogni membro dell’organizzazione contribuisca attivamente alla gestione dei rischi.

GESTIONE DI SCENARI MULTIRISCHIO

Le organizzazioni moderne dispongono di soluzioni tecnologiche sempre più sofisticate e basate sull’intelligenza artificiale, che rappresentano vere e proprie leve strategiche per rafforzare il proprio framework di resilienza e gestire in modo strutturato la vasta gamma di rischi. Le piattaforme di gestione del rischio offrono molteplici funzioni. Tra queste, la threat intelligence basata sull’AI è utilizzata per la rilevazione e la prevenzione degli attacchi, grazie alla capacità di analizzare grandi volumi di dati in tempo reale per identificare comportamenti anomali e prevenire potenziali minacce. L’analisi predittiva consente di individuare le potenziali minacce analizzando dati storici e trend attuali, permettendo così di adottare misure proattive. La blockchain garantisce la sicurezza e l’integrità dei dati attraverso una rete decentralizzata e immutabile, mentre la crittografia protegge le comunicazioni e i dati sensibili, rendendoli inaccessibili a chi non è autorizzato. L’approccio multicloud permette di distribuire carichi di lavoro e dati su più cloud, riducendo il rischio di downtime e aumentando la resilienza. Inoltre, i piani di business continuity garantiscono il ripristino rapido delle operazioni in caso di interruzioni. Queste soluzioni tecnologiche si traducono in veri e propri cruscotti intelligenti, che permettono alle organizzazioni di anticipare i rischi, prioritizzare le azioni e promuovere una cultura consapevole del rischio.

Leggi anche:  Fallire velocemente per avere successo - ottenere un vantaggio competitivo eliminando le barriere all'ingresso

Anticipare i rischi significa consolidare tutte le informazioni sui rischi operativi in un unico cruscotto facilmente accessibile, tenere traccia dello stato delle valutazioni del rischio e rilevare le modifiche degli indicatori chiave, e mappare i rischi per mostrare visivamente come si correlano. Prioritizzare le azioni implica semplificare i flussi di lavoro, liberando tempo per attività più strategiche, prendere consapevolezza dell’entità di ogni rischio per focalizzare le risposte, e inviare avvisi automatici quando un indicatore di rischio supera la soglia di accettabilità. Infine, la promozione di una cultura consapevole del rischio permette al top management di prendere decisioni efficaci in termini di rischio e opportunità, ma questo comporta una serie di azioni concrete come il coinvolgimento delle persone a tutti i livelli e nelle diverse funzioni; l’attribuzione di responsabilità per garantire l’identificazione e la gestione del rischio nel lavoro quotidiano; l’adozione di un linguaggio comune del rischio in tutta l’organizzazione; la diffusione di report predefiniti che possono essere facilmente personalizzati con un generatore di report drag-and-drop; l’invio automatico di avvisi e report per garantire che le parti interessate siano sempre informate e coinvolte.

Inoltre, questi cruscotti intelligenti possono ospitare soluzioni di gestione del rischio cyber che sostituiscono le soluzioni di network security tradizionali – «che mal si adattano a questo cambiamento epocale» – come spiega Marco Gioanola, senior sales engineer and solutions architect di Zscaler. «La complessità è nemica della sicurezza, e il costante aumento dei fattori di rischio che ogni azienda si trova a dover considerare rischia di avere un effetto paralizzante. All’estremo opposto può accadere che iniziative strategiche di revisione complessiva dei processi aziendali per la sicurezza partoriscano grandi quantità di documentazione e burocrazia aggiuntiva ma poche reali trasformazioni operative». In questo contesto – continua Gianola –  «il modello di sicurezza Zero Trust è ormai riconosciuto come l’approccio più moderno per fare fronte ai nuovi scenari tecnologici» – e costituisce, una sorta di «faro con cui guidare il ripensamento dei processi e delle soluzioni tecnologiche aziendali».

Per Richard de la Torre di Bitdefender il valore strategico di tutte le varie soluzioni in un unico cruscotto testimonia un cambio di approccio. «Tradizionalmente, l’enfasi è stata posta sulla protezione contro le minacce informatiche tramite difese perimetrali e antivirus. Mentre, più di recente, l’attenzione si è spostata sui meccanismi di rilevamento e risposta». Di fatto, le organizzazioni – continua de la Torre – «stanno lasciando l’approccio reattivo alle minacce informatiche, che può risultare troppo costoso, per adottare invece approcci più proattivi come la gestione dei rischi» – attraverso l’uso di software di valutazione dei rischi e delle vulnerabilità, il controllo rigoroso degli accessi e la gestione delle identità.

Inoltre, le organizzazioni devono affrontare la sfida di conformarsi a una galassia normativa europea sempre più stringente, che adotta un approccio basato sul rischio e sulla resilienza e che richiede un approccio olistico e integrato che tenga conto della complessità e interconnessione dei rischi moderni – come evidenzia Massimo Biagiotti, responsabile advisory services, GRC e offensive security di Maticmind. «La conformità normativa, in particolare alle direttive NIS2 e DORA, è un elemento fondamentale della strategia multirischio. Queste direttive richiedono alle organizzazioni di adottare misure di sicurezza cibernetica robuste, garantire la resilienza operativa e mantenere una governance del rischio solida. Tecnologie avanzate, come l’AI – continua Biagiotti – svolgono un ruolo cruciale nella gestione del multirischio offrendo strumenti potenti per migliorare l’identificazione, la valutazione, la mitigazione e il monitoraggio dei rischi. Gli strumenti di AI possono eseguire le valutazioni del rischio in modo più rapido e preciso rispetto ai metodi tradizionali, analizzare molteplici variabili simultaneamente, fornendo valutazioni aggiornate in tempo reale. Inoltre, l’AI può creare modelli predittivi e simulazioni di scenari di rischio per valutare l’impatto potenziale di diversi eventi, aiutando le organizzazioni a comprendere meglio le interconnessioni tra vari rischi».

Anche Umberto Pirovano, systems engineering senior manager di Palo Alto Networks, conferma la potenzialità di questi cruscotti intelligenti. Questi strumenti, grazie a tecnologie basate sull’AI, come reti neurali e deep learning, diventano leve strategiche per la cybersecurity preventiva. Queste tecnologie – spiega Pirovano – «consentono l’identificazione real-time di attacchi mai visti prima, portando a un nuovo livello la protezione del cosiddetto paziente zero». L’obiettivo non è più solo fare previsioni basandosi sul passato, ma utilizzare modelli e software basati su scenari predittivi in grado di considerare gli effetti domino e collaterali, integrandoli nella gestione del rischio e nella pianificazione aziendale. Senza dimenticare che – come spiega Pirovano –  il machine learning e i large language model aiutano a verificare in tempo reale l’aderenza agli standard. «Questi strumenti misurano l’adozione ottimale delle tecnologie di cybersecurity installate, guidano l’utente verso la corretta configurazione e gestione, riducendo notevolmente l’errore umano». Inoltre, consentono «una misura oggettiva del rischio cyber» e garantiscono l’automazione della gestione degli incidenti cyber, riducendo drasticamente il tempo medio di rilevamento e risposta, come richiesto dalle direttive, tra cui la NIS2.

Leggi anche:  Un dispositivo su due è stato colpito dal malware data-stealing Redline

FORMAZIONE E LEADERSHIP

Il processo accelerato di digitalizzazione e innovazione delle organizzazioni richiede il coinvolgimento e il supporto della leadership, che dovrà assumere il ruolo di “magister” nell’accezione latina del termine, di colui che indica la via al cambiamento. Utilizzando i dati a disposizione, i leader guideranno le organizzazioni in un contesto sempre più dinamico, dove non è più possibile formulare ipotesi anticipatorie di lungo o medio periodo. Questo spinge le organizzazioni verso una maggiore flessibilità e adattabilità.

Pertanto, la nuova leadership dovrà promuovere organizzazioni più collaborative, snelle, agili e meno verticali. Sarà necessario gestire il rapporto tra tecnologia e personale in modo da creare contesti umano-centrici, dove la tecnologia venga utilizzata come leva strategica. Inoltre, i leader dovranno conoscere in tempo reale il contesto interno ed esterno dell’organizzazione, per prendere decisioni informate e comprendere gli andamenti sia in modalità predittiva che proattiva.

Un richiamo alla normativa NIS2, che entrerà in vigore il 17 ottobre 2024, e che – come evidenzia Pirovano di Palo Alto Networks – impone «un cambiamento radicale in termini di consapevolezza e responsabilità del rischio cyber» oltre a introdurre «una nuova chiara responsabilità per i livelli direttivi in azienda, portando il rischio cyber nei board ed elevando il tema della maturità della cyber security come parte dello sviluppo organico della stessa».

A fronte del crescente numero di attacchi cyber, garantire una formazione continua rappresenta una scelta strategica. Un aspetto quanto mai cogente nella NIS2 che impone alla Leadership l’obbligo di seguire corsi per migliorare la propria capacità di valutare i rischi per la cyber security e, al contempo, incoraggiare la propria organizzazione a offrire regolarmente corsi similari a tutti i dipendenti.

Di fatto, per far fronte alle sfide scaturite dal processo accelerato di digitalizzazione e da una sempre più sofisticata «professionalizzazione del mondo del crimine informatico» – è necessario adottare «un approccio di difesa all’altezza di tale complessità» – come spiega Vittorio Bitteleri, country manager Italia di Cyber Guru. «La complessità mette seriamente alla prova ogni ambito dei servizi e della produzione, nel pubblico e nel privato. Le tradizionali difese, per quanto tecnologicamente avanzate, non sono più sufficienti. L’azione più efficace di prevenzione rimane la formazione di qualità a 360 gradi che possa trasformare ogni persona in un consapevole guardiano in grado, con la sua consapevolezza e preparazione, di bloccare per tempo ogni tentativo di infiltrazione da parte del crimine informatico».

APPROCCIO OLISTICO

Le organizzazioni si stanno rendendo conto che, per superare le sfide di scenari multirischio, è sempre più necessario un approccio olistico e orchestrato in modo da progettare una strategia senza silos che coinvolga tutti gli stakeholder interni e esterni all’organizzazione. Inoltre, l’automazione e la digitalizzazione stanno rivoluzionando l’approccio al rischio, fornendo dati in tempo reale e piattaforme AI per una gestione completa, dalla continuità operativa alla cybersecurity. Abbiamo a disposizione cruscotti intelligenti che supportano le organizzazioni nel comprendere il contesto, monitorare e gestire gli asset hardware e software, le operazioni tecnologiche e i dati critici, valutando i rischi potenziali e adottando misure per minimizzarli. Grazie a sistemi di rilevamento efficaci, alla pianificazione della risposta e del recupero, e a procedure di autovalutazione e miglioramento continuo, le organizzazioni possono gestire i rischi in modo proattivo.

La formazione continua rappresenta una scelta strategica per aiutare i dipendenti a riconoscere e rispondere efficacemente alle minacce informatiche, riducendo il rischio di attacchi e proteggendo meglio l’infrastruttura dell’organizzazione. In questo modo, ogni membro del team diventa una linea di difesa attiva, aumentando la resilienza complessiva contro i cyberattacchi. Le organizzazioni devono essere, altresì, in grado di conformarsi al quadro normativo europeo caratterizzato sempre più da un approccio risk-based e resilience-based che presuppone l’implementazione dei principi di risk management, business continuity e cybersecurity propedeutici a garantire la cyber resilience e l’operational resilience. In conclusione – come afferma il sociologo tedesco Ulrich Beck – viviamo nella “società del rischio”.

Il rischio è diventato l’orizzonte globale entro il quale, come organizzazioni e individui, ci muoviamo e ci orientiamo, esposti alla cosiddetta “imprevedibile certezza del rischio”. Pertanto, riconoscerlo non è solo un atto di responsabilità, ma rappresenta anche un vantaggio, poiché il rischio può diventare una leva per un cambiamento positivo nelle modalità e nelle pratiche di ogni decisione strategica.


Maticmind – NIS2: l’era del multirischio

Netskope – La protezione dei dati nell’era del multirischio