La realizzazione di un piano strategico che rafforzi la cybersecurity è oggi fondamentale per ogni tipo di impresa. Anche perché una corretta strategia di sicurezza non è esclusivamente uno strumento difensivo dalle minacce informatiche ma anche un abilitatore del business.
Retelit è al fianco delle imprese che vogliono intraprendere questo percorso e si concentra oggi nell’acquisizione di competenze sempre più ampie per fornire servizi compositi e integrati. Ne parla Francesco Fontana, Chief Transformation Officer di Retelit, manager che ha guidato il piano di trasformazione dell’azienda verso un soggetto unico nella catena italiana del valore dei servizi Ict. Il manager racconta le strategie del gruppo, gli obiettivi, le relazioni con il mercato e con i partner su un tema trasversale alle tre anime di Retelit: infrastruttura, piattaforma e soluzioni.
“Retelit ha ampliato nel tempo la propria offerta passando dall’essere player nelle infrastrutture a partner di aziende che affrontano percorsi di trasformazione digitale –esordisce Fontana -. Conseguentemente, anche la tematica della sicurezza si è ampliata enormemente. Rispetto al dover gestire una sicurezza tradizionale, di tipo perimetrale, quando si intraprendono percorsi di digitalizzazione complessi si va infatti ad intervenire su tutti gli aspetti dell’impianto informativo del cliente, che siano il portale in cloud, le applicazioni presso un data center fisico o le proprie sedi, ma anche sulla modalità con cui l’azienda gestisce le postazioni di lavoro dei dipendenti, ambito nel quale c’è stata una forte accelerazione”.
Retelit, approccio integrato e unico
Collaborando con le aziende, Retelit constata che nella maggior parte dei casi gli investimenti in sicurezza sono stati fatti, anche in modo ottimale talvolta, ma che non sono valorizzati al 100%, perché messi a sistema con processi e procedure non corretti e per questo meno efficaci rispetto al loro potenziale. Retelit si propone di valorizzare tutto ciò che il cliente ha già fatto, integrandolo con alcuni elementi nuovi che permettano il completamento del sistema di difesa.
Retelit adotta quindi un approccio alla sicurezza che definisce “a modello di maturità”, costruito sul principio che tutti gli aspetti della sicurezza siano collegati fra loro e abbiano come punto di partenza l’analisi del business del cliente. Un approccio consulenziale che Retelit adotta a tutto tondo e dove la sicurezza è vista come qualcosa di trasversale, che non può mancare nei percorsi di trasformazione digitale del cliente anche quando riguardano i sistemi gestionali e non l’infrastruttura.
“Oggi parliamo di difesa del business del cliente e non solo del suo impianto informatico – dichiara Fontana –, perché ogni cliente deve gestire tematiche che possono essere delicate, magari da un punto di vista industriale piuttosto che dei dati personali, e anche la modalità con cui tratta le informazioni – attraverso sistemi standard o software sviluppati ad hoc – impone una modalità di controllo della sicurezza che può essere profondamente diversa. Ecco perché quando consigliamo alle aziende come affrontare i temi della sicurezza preferiamo farlo partendo da un assessment insieme al cliente, per sondare lo stato dell’arte, gli investimenti fatti e definire congiuntamente il percorso migliore per metterli a sistema, con un approccio integrato e unico che per molti versi può non essere esclusivamente tecnologico ma anche comportamentale e legato all’accrescimento della consapevolezza da parte dei dipendenti”.
Un aspetto, quest’ultimo, relativo al fattore umano che resta l’anello debole della catena della sicurezza. Come confermano tutte le analisi, gli attacchi cyber sfruttano falle di tipo tecnologico ma nella maggior parte dei casi vengono attivati attraverso la distrazione di qualche dipendente. “Un tema centrale che trova riscontro nel nostro portafoglio di offerta – prosegue Fontana -. Quando accompagniamo un cliente al passaggio in cloud dei propri sistemi, affrontiamo questo percorso parlando di sicurezza, di business continuity e di affinamento delle modalità di governance dei sistemi informativi. Un lavoro complesso, impegnativo, perché sarebbe molto più facile andare dall’azienda con un menù di tecnologie e cercare di venderne qualcuna”.
I team di sicurezza Retelit sono eterogenei e vari. Specularmente a quanto avviene per i clienti, le competenze sono estremamente sparse proprio perché è difficile avere persone che sappiano tutto sulla sicurezza, dalla conoscenza degli aspetti di IT governance, compliance o privacy, fino agli aspetti più specialistici e tecnici di chi è in grado di fare intrusion detection e tutte le attività tipiche della cybersecurity. Afferma Fontana: “Al nostro interno abbiamo alcune persone esperte di cybersecurity che utilizziamo per gestire i nostri sistemi ma anche a disposizione dei clienti per le attività più hard della parte di sicurezza. Ci sono team che lavorano nella componente solution dell’azienda, altri che progettano sistemi gestionali e altri ancora che si occupano di progettare la corretta visibilità dei dati da parte dei dipendenti. Un aspetto molto importante: quando progettiamo un nuovo sistema gestionale, il primo tema che si pone è infatti quello di far sì che ognuno veda esclusivamente quello che gli serve perché il rischio aumenta esponenzialmente nel momento in cui si ha accesso ad informazioni in esubero rispetto a quanto necessario”. Sotto questo aspetto determinanti sono anche le certificazioni: “Per noi il percorso di maturità ideale arriva con la certificazione Iso 27000, che si porta dietro vantaggi in termini di sensibilità, consapevolezza dei dipendenti e formazione”, sottolinea il manager.
Il ruolo dei partner
Il ruolo dei partner è importante per Retelit, che si affida loro nel momento in cui va a verticalizzare l’intervento, della natura più varia, sul cliente. “Non abbiamo timore di usare dei partner, sarebbe presuntuoso non volerlo fare, trattandosi di specializzazioni estremamente verticali. Noi possiamo definire con il cliente un passaggio in cloud e l’adozione di sistemi di business continuity, core per la nostra offerta, e nel frattempo sensibilizzare il cliente sul fatto che debba fare delle verifiche periodiche di difesa. Questi casi particolarmente complessi li facciamo gestire a partner specializzati in quel tipo di tecnologie e contesti, perché anche i vulnerability assesment sono diversi a seconda dei contesti da testare. Quello che riteniamo importante è identificare correttamente il percorso e quindi non andare con un menù prefabbricato che vada bene per tutti perché non è l’approccio corretto”.
Retelit fa dunque scelte di campo di competenza tecnica interna, ma si affida ai grandi player di sicurezza, sia perimetrale che enterprise, su particolari tematiche. Per esempio Cyberoo, azienda specializzata in tematiche di cybersecurity.
Sanità e Industria nel core business
I più grossi clienti di Retelit appartengono al mondo della sanità e del manifatturiero, poiché qui le grandi aziende scelgono prima il sistema e poi la sua gestione. “Nel mondo industriale constatiamo che, soprattutto nel Nord-Est, ci sono aziende passate da un ambito padronale a un ambito multinazionale, per le quali la sicurezza non è stata ad oggi la priorità. Realtà che stanno crescendo in termini di business, consolidandosi e acquisendo società analoghe anche internazionali e che si ritrovano a passare da singola società con 150 operai a gruppi con 2.000 dipendenti in giro per 4-5 continenti. Avendo sistemi eterogenei, queste imprese devono di colpo interrogarsi su come procedere per omogeneizzare i sistemi dal punto di vista della semplicità di gestione e su come portare tutto il gruppo a uno stesso livello di sicurezza. In questi casi il percorso è particolarmente articolato perché si deve lavorare su tutti i fronti, soprattutto aiutando il cliente a fare delle scelte che spesso non sono obbligate. Scelte che sempre più si concretizzano in un modello di Industry 4.0, una fabbrica connessa dove anche la parte di sicurezza è attuale e si ritaglia un ruolo strategico”, conclude Fontana.
Leggi tutti gli approfondimenti della Room Oltre la Network Transformation
© RIPRODUZIONE RISERVATA
