L’urgenza di rivedere la propria postura di sicurezza ed affrontare il tema della cybersecurity è spesso percepito dalle aziende, ancora oggi, solo nel momento “acuto” del bisogno, per esempio in seguito ad un attacco subìto, oppure in relazione al bisogno delle certificazioni Iso per poter competere in nuovi mercati, oppure ancora per indirizzare effettivamente la continuità operativa, mentre servirebbe una “visione” coerente di insieme per rivedere in modo organico e studiare un’effettiva “strategia” per la sicurezza. Ed è da questi spunti che prende avvio il confronto sui temi con Filippo Romeo, Senior Advisory Services Manager, Business Unit Cybersecurity, Corvallis.
Il Barometro Cybersecurity 2022 mette in evidenza come Cyber Risk e Cyber Security siano parte integrante dei piani industriali delle aziende (65% delle aziende del campione). Corvallis opera come advisor sia per quanto riguarda la comprensione e la contestualizzazione del rischio cyber, sia per l’audit e il risk assesment, sia con lo studio di programmi di awareness e formazione nella gestione delle “crisi”. A che punto sono le aziende italiane su queste sfide?
Il panorama è in evoluzione. In linea di principio, come anche riscontrato dalla survey di NetConsulting cube, la maggioranza delle aziende ha inserito all’interno dei propri piani industriali dei progetti relativi al Cyber Risk e alla Cyber Security. Purtroppo, il più delle volte tali piani non sono organici, riflettendo invece esigenze estemporanee, guidate magari dall’essere stati vittima di un attacco, anche se di lieve entità. Quindi hanno un orizzonte limitato, non si manifestano come un processo strutturato. Ciò succede anche perché non si è innestata una cultura manageriale sulla cybersecurity; in molte aziende non è ancora presente un Ciso.
Volendo tentare di redigere una classifica della percezione delle aziende, possiamo affermare che il tema sul quale sembra le aziende stiano diventando sempre più sensibili è quello della conformità a standard quali Iso 27001, soprattutto per motivi collegati alla penetrazione in mercati ove la conformità a tale norma è sempre più richiesta. L’aspetto positivo che riscontriamo è che questo tema traina la consapevolezza della necessità di conoscenza dei rischi cyber, con conseguenti richieste di programmi di risk management e awareness.
A ruota segue il tema della continuità operativa, vista sia dal punto di vista di processo che da quello più squisitamente reattivo in caso di attacchi. Su tale tema ci si scontra ancora con la resistenza alla ammissione della possibilità che un incidente possa capitare anche alla propria azienda.
Corvallis, nel suo ruolo di Security System Integrator, è perfettamente conscia di questa situazione e mette a disposizione l’esperienza del proprio Advisory Team in tutti i temi citati per supportare le aziende nella evoluzione della propria “security posture”, affrontando in modo organico e sistematico ogni particolare contesto, potendo anche contare sulla collaborazione delle altre due aziende del gruppo Tinexta Cyber, Yoroi e Swascan.
Business Solutions, Cybersecurity, Ricerca e Sviluppo sono tra le caratteristiche chiave che qualificano la proposizione di Corvallis. In che modo si conciliano tra loro nella vostra proposta in particolare per quanto riguarda la cybersecurity – trasversale a tutte le operations aziendali oggi.
Che la cybersecurity sia pervasiva in ogni settore aziendale è un fatto indiscutibile. Il nostro team è impegnato a supportare le aziende in tutti i loro settori, anche in quelli particolarmente strategici e critici che riguardano la cybersecurity in ambiente di produzione industriale e lo sviluppo sicuro del software. E questo è possibile anche grazie alle diverse anime che compongono Corvallis, dalle quali attingere esperienze, competenze e conoscenze utili a presentarci sul mercato e rispondere in modo adeguato alle esigenze di ogni singola azienda. Inoltre, rispetto ad altri operatori, Corvallis ha il vantaggio di essere in Tinexta Cyber insieme a Yoroi e Swascan, che si traduce con la possibilità di fornire al mercato servizi integrati e complementari a copertura della totalità di esigenze dal punto di vista della cybersecurity.
Tenere sotto controllo i dati e proteggerli è oggi sfida complessa e costosa, specialmente se i dati aziendali sono “diffusi” in diverse sedi e in cloud ma è un elemento critico anche il “comportamento” di chi usa dati e risorse, gli utenti. Qual è il vostro approccio per proteggere i dati aziendali, considerato anche il crescente numero di attacchi ransomware che ne mette a rischio disponibilità e integrità?
Il tema che ha evidenziato, la protezione dei dati nel perimetro liquido, formato da data center fisici e servizi cloud, è tra quelli sui quali svolgiamo la nostra opera di sensibilizzazione e sul quale mettiamo a disposizione del mercato un modello multidimensionale di protezione che, partendo dalla contestualizzazione del modello operativo dell’azienda, ne evidenzia i rischi e propone piani a mitigazione di essi per garantire la fruizione delle informazioni in modo sicuro da qualunque punto di accesso verso qualunque locazione in cui esse si trovino. Adoperiamo cioè l’architettura di “cybersecurity mesh”, definendo e realizzando la “security posture” più adeguata ad ogni singola situazione partendo dalla emissione di policy e continuando con l’implementazione di sistemi di sicurezza coerenti con le esigenze di ciascuna azienda.
Approfitto della citazione degli attacchi ransomware per prenderli ad esempio del nostro approccio. Noi proponiamo tre livelli di protezione: la prevenzione, mediante l’implementazione di tecnologie atte a proteggere i dati durante tutta la filiera di utilizzo e salvataggio e la formazione del personale con piani di awareness; il controllo difensivo del perimetro, integrando i servizi di Yoroi e Swascan; il ripristino, mediante i piani di Disaster & Recovery e di Business Continuity. Implementando questo processo organico di protezione i dati mantengono inalterate le caratteristiche di riservatezza, integrità e disponibilità che consentono alle aziende di poter svolgere il proprio lavoro con la efficacia desiderata.
© RIPRODUZIONE RISERVATA
