La sfida sul web
In un mondo sempre più connesso in rete, la sicurezza informatica rimane una delle sfide principali per le aziende. La necessità di pensarla in modo strategico e olistico è più che mai sentita.
Quali sono le quattro sfide principali per le aziende? E soprattutto: come possono rafforzare concretamente la loro resilienza?
1. nuove minacce dall'IA generativa e dai computer quantistici
Il rapido ritmo dello sviluppo tecnologico non porta solo progressi, ma anche nuove minacce. L'intelligenza artificiale generativa può essere uno strumento potente, ma consente anche ai criminali informatici di creare e-mail di phishing o deepfake estremamente convincenti che possono facilmente aggirare i sistemi di sicurezza tradizionali. Inoltre, è già chiaro che i progressi dell'informatica quantistica potrebbero rendere obsoleti i metodi di crittografia tradizionali in futuro.
Per affrontare queste sfide, le aziende devono agire in modo proattivo. Un fattore cruciale è la modernizzazione dell'infrastruttura IT, che comprende sia soluzioni di sicurezza basate sull'IA sia tecnologie di crittografia a sicurezza quantistica. Il Kyndryl Readiness Report[1] mostra che 86% delle organizzazioni considerano la loro implementazione dell'IA di alto livello, ma allo stesso tempo solo 29% ritengono che i loro sistemi di IA siano pronti a gestire i rischi futuri. È quindi evidente che la pianificazione strategica e l'innovazione continua sono necessarie sia per anticipare le minacce emergenti sia per ottimizzare l'uso delle tecnologie esistenti.
2. superare i silos organizzativi
Una sfida fondamentale per le organizzazioni è la frammentazione tra sicurezza e aree aziendali, che spesso porta a inefficienze e a un aumento dei rischi.
Sistemi di gestione efficaci, come l'ISO 27001, forniscono un approccio strutturato per superare questi silos, collegando le strategie di sicurezza agli obiettivi aziendali generali. L'istituzione di un sistema di gestione della sicurezza delle informazioni (ISMS) aiuta a definire processi e responsabilità chiare e a promuovere la collaborazione tra le unità IT, di sicurezza e aziendali. Allo stesso tempo, la ISO 27001 promuove una cultura del miglioramento continuo che consente alle organizzazioni di rispondere in modo flessibile alle nuove minacce e di soddisfare in modo efficiente i requisiti normativi.
Nonostante i progressi tecnologici, tuttavia, le persone rimangono un fattore chiave. I programmi di formazione strutturati, come le simulazioni di phishing o la formazione sull'uso sicuro delle password, aumentano la vigilanza informatica a tutti i livelli dell'organizzazione. Sensibilizzando i rischi per la sicurezza e incoraggiando la partecipazione attiva, i dipendenti sono in grado di riconoscere e reagire meglio alle potenziali minacce. La combinazione di sistemi di gestione efficaci e di una forza lavoro ben informata rafforza la capacità delle organizzazioni di mitigare i rischi e aumentare la propria resilienza.
3. uso efficiente degli strumenti di sicurezza
La moltitudine di strumenti di sicurezza disponibili può dare l'impressione che più strumenti significhino automaticamente più protezione. In realtà, però, questo porta spesso a un'eccessiva complessità, che rende difficile mantenere una visione d'insieme e favorisce le lacune nella sicurezza. Una piattaforma di sicurezza consolidata che integri diverse funzioni può rappresentare un rimedio. Centralizzando i dati e i processi di sicurezza, le aziende possono rilevare e rispondere più rapidamente alle minacce. Dashboard standardizzati e flussi di lavoro automatizzati migliorano l'efficienza e riducono gli errori umani. Inoltre, una piattaforma di questo tipo consente ai responsabili della sicurezza di concentrarsi su attività strategiche, invece di investire risorse preziose nella gestione di singole soluzioni. Inoltre, una soluzione consolidata crea trasparenza, essenziale per gli audit interni ed esterni.
4. ancorare la preparazione per la sicurezza informatica ai livelli C
Tuttavia, il più grande ostacolo a una strategia olistica di sicurezza informatica è spesso di natura organizzativa: la mancanza di supporto da parte del senior management. Secondo il Kyndryl Readiness Report, 69% delle grandi organizzazioni segnalano una mancanza di supporto critico da parte dei loro consigli di amministrazione. Inoltre, 73% dei responsabili della sicurezza indicano che i loro consigli di amministrazione non si interessano attivamente alla preparazione della loro organizzazione in materia di cybersecurity. Senza il coinvolgimento attivo del consiglio di amministrazione e del livello C, la cybersecurity rimane quindi spesso un problema isolato.
Le strategie per promuovere la consapevolezza informatica a livello di senior management comprendono la stesura di rapporti periodici sui rischi per la sicurezza e sul loro potenziale impatto sull'azienda. Anche una chiara panoramica del ritorno sull'investimento (ROI) degli investimenti in sicurezza può essere persuasiva. Anche workshop e simulazioni di attacchi informatici per il top management possono aumentare la consapevolezza dell'urgenza del problema.
Un'altra misura importante è la nomina di un Chief Information Security Officer (CISO), che riferisce direttamente al livello dirigenziale (si veda anche l'articolo a pag. 34). In questo modo si garantisce che la sicurezza informatica sia ancorata come obiettivo strategico e non rimanga solo a livello operativo.
La sicurezza informatica come vantaggio competitivo strategico
La sicurezza informatica è diventata un imperativo aziendale strategico. Dato il panorama sempre più complesso e dinamico delle minacce, le organizzazioni devono adottare un approccio olistico e a lungo termine alle loro strategie di sicurezza e alla resilienza informatica. Le quattro sfide descritte sopra - dalle minacce emergenti ai silos organizzativi e alle lacune strategiche a livello di leadership - illustrano la complessità di questo compito.
Le aziende che superano con successo queste sfide ottengono più di un semplice rafforzamento delle loro linee di difesa: ottengono un forte vantaggio competitivo. Collegando la sicurezza informatica agli obiettivi aziendali generali, non solo colmano il divario tra la sicurezza percepita e quella effettiva, ma si posizionano anche per un successo sostenibile in un mondo sempre più digitalizzato.
[1] https://www.kyndryl.com/content/dam/kyndrylprogram/doc/en/2024/kyndryl-readiness-report.pdf
Autore
Maria Kirschner è vicepresidente e direttore generale di Kyndryl Alps. Kyndryl dichiara di essere uno dei maggiori fornitori al mondo di servizi di infrastruttura IT per migliaia di aziende clienti in oltre 60 Paesi.
