Security by design: quando i rischi informatici sono imprevedibili  

La digitalizzazione del business, più che avviata in qualsiasi settore e tipologia d’azienda, determina due conseguenze meritevoli di attenzione: l’aumento esponenziale di volume e valore dei dati e l’impennata del cyber risk. La miscela di questi fattori è alla base di statistiche inquietanti come l’aumento del 60% degli attacchi informatici negli ultimi cinque anni (Clusit 2023), l’industrializzazione delle minacce e la battaglia quotidiana tra chi attacca e chi difende, che di fatto contraddistingue il nuovo paradigma della sicurezza. 

Per fronteggiare il cyber risk moderno in modo efficace, le aziende non possono limitarsi a rinnovare i sistemi di protezione in essere e ad estendere l’osservazione ad un perimetro più ampio e fluido di prima. Devono proprio cambiare approccio nei confronti della sicurezza, passando dalla tradizionale metodologia reattiva ad una Security by Design.

Sicurezza by design per superare la “mentalità da checklist” 

Secondo la Global Information Security Survey del 2021 di EY, il 36% delle aziende ritiene che subire un data breach sia semplicemente una “questione di tempo”. L’anno precedente, la stessa indagine aveva evidenziato come il 65% delle aziende investa troppo tardi in cybersecurity.  

Senza arrivare necessariamente ai data breach o a downtime costosissimi, è palese il fatto che l’approccio alla sicurezza informatica sia sempre stato reattivo o, come affermano alcuni commentatori, una “checklist mentality”: le misure di sicurezza vengono implementate, o più frequentemente aggiornate, dopo un attacco, per non incorrere nello stesso data breach cui è stato soggetto un competitor, oppure a fini di compliance, ovvero quando entra in vigore un nuovo regolamento (GDPR, HIPAA, SOX…) e per mantenere una certificazione ISO. 

Alzando ulteriormente lo sguardo, l’approccio reattivo è figlio di una visione – ormai antiquata – del comparto informativo aziendale come centro di costo e non come driver, acceleratore e innovatore di business. In tale contesto, l’investimento in sicurezza segue un bisogno specifico e ben definito, che spesso e volentieri riguarda la compliance o la mitigazione dei danni. Ammesso lo sia mai stato, questo approccio non è più efficace.  

Security by Design e la modernizzazione del business 

Come detto, Security by Design è una visione moderna che punta a integrare la sicurezza (informatica) a tutti i livelli dell’attività d’impresa. L’espressione ha un significato diverso a seconda di chi la deve interpretare, ma il minimo comun denominatore è l’abbattimento dell’approccio reattivo: la cyber security non è più un layer che si sovrappone a sistemi, processi, prodotti e attività già esistenti, ma è parte integrante degli stessi fin dalla progettazione e dall’implementazione. Dalla loro nascita, in altri termini.  

Se osserviamo il fenomeno dal punto di vista di un IT manager o un CISO, Security by Design è soprattutto l’integrazione di best practice di sicurezza nello sviluppo del codice degli applicativi aziendali. L’approccio è rivoluzionario perché per decenni il focus è sempre andato sulle prestazioni, sul soddisfacimento dei requisiti funzionali e sulla scalabilità: per la sicurezza, c’era l’antivirus. 

Per un CEO, la questione è di natura strategica e riguarda l’approccio aziendale alla gestione del rischio. La Security by Design porta con sé una trasformazione epocale, perché permette alle imprese di passare dall’approccio (difensivo) di evitamento del rischio a una maggiore apertura verso l’innovazione. In altri termini, investendo per integrare la sicurezza nei sistemi informativi, nei processi, nei prodotti e nelle relazioni che alimentano il business, l’azienda può prendersi molti più rischi di un tempo, poiché ha fiducia sulla solidità delle sue fondamenta.   

Un esempio eloquente e di attualità è l’adozione di tecniche di AI e Machine Learning ai fini di supporto decisionale strategico. Le aziende si stanno preparando a prendere decisioni epocali (fusioni, acquisizioni…) sulla base delle capacità predittive di AI, ma cosa accadrebbe se gli algoritmi o i dati stessi venissero manipolati all’interno di complesse pipeline di data management? È palese che solo integrando la sicurezza a tutti i livelli, compresi gli algoritmi di AI e tutti i passaggi di gestione, correlazione e arricchimento del dato, si può avere fiducia nel sistema e nella decisione che ne deriva. 

La sicurezza riguarda anche le persone 

Non da ultimo, l’approccio nativo alla sicurezza informativa non può trascurare le componenti di processo e, soprattutto, quelle umane, che sempre più spesso sono il target iniziale degli attacchi informatici. In questo contesto, oltre all’approccio difensivo tradizionale che si concentra sulla protezione degli endpoint, degli accessi ai sistemi e delle reti, diventa essenziale integrare una forma di difesa nativa. Questa assume la forma di una maggiore consapevolezza dei rischi informatici, o Security Awareness, che costituisce un’altra componente di straordinaria importanza nella strategia di sicurezza aziendale.