
Architetti della Cybersecurity
19 Aprile 2023
Il tema della Cybersecurity è spesso considerato molto tecnico e la verità è che quasi sempre se ne parla con termini e argomenti che effettivamente lo sono.
Questo tipo di approccio può essere svantaggioso in termini di ascolto e coinvolgimento per svariati motivi:
- se temo di non comprendere un argomento, probabilmente non mi sforzerò nemmeno di ascoltarlo per non “sprecare” tempo
- se non riesco a comprendere, la mia attenzione sarà limitata
- se la tematica non mi è chiara, tenderò a delegare e a non curarmi in prima persona della questione
- se chi si intende della materia cerca di comunicare con un linguaggio troppo tecnico, rischia di non essere compreso (Es: l’IT che chiede fondi all’azienda, ma non li ottiene perché non riesce a far comprendere la necessità dell’investimento)
Ci troviamo quindi ad avere aziende che hanno un livello di cybersicurezza critico che però non investono sulle loro aree più esposte perché sottovalutano il problema o perché non comprendono realmente il rischio che stanno correndo. Sono moltissime le realtà “sorde” al tema e la questione preoccupa davvero molto gli addetti del settore perché spesso le aziende colpite appartengono al settore pubblico o sono collegate a servizi indispensabili (vedi settore digital, sanitario, assicurativo e bancario che risultano tra i più colpiti).
Ne parliamo sul “Il Messaggero”
Chi è al centro della tematica sente in maniera importante la responsabilità di fare divulgazione e di diffondere una cultura che non sia quella dell’incomprensione ma che diventi quella della prevenzione.
In un articolo pubblicato sul Messaggero, il nostro CEO Gianluca Lombardi ribadisce proprio questo concetto: “ci si accorge dell’importanza di questa materia (ndr: la cybersecurity) così complessa solo quando si diventa bersaglio degli hacker. E questo perché il blocco della produzione porta conseguenze drammatiche, dal punto di vista gestionale e ovviamente anche economico.
Il problema vero è culturale e prevede un atteggiamento di gestione delle emergenze e non di prevenzione. Una materia come quella della cybersecurity fonda le sue basi soprattutto sulla prevenzione, con un’analisi preventiva dei rischi e una serie di misure volte a ridurli in maniera sostanziale. Sempre nell’articolo si ribadisce che “Non ci si può limitare a comprare hardware e software per la sicurezza ma bisogna studiare sistemi di gestione della sicurezza proprio come l’architetto studia il progetto per un edificio”.
Ed è proprio così: comprare firewall, antivirus e SOC dal miglior offerente, senza avere una progettazione di massima, significa probabilmente investire male il proprio denaro. Magari un antivirus valido in azienda è già presente, ma nessuno lo aggiorna e nessuno sa neppure che deve essere aggiornato.

L’architetto della cybersecurity
L’architetto della cybersecurity, nella nostra visione, rappresenta proprio quella figura che può mettere in comunicazione tutte le parti coinvolte in un progetto di sicurezza informatica e che in maniera assolutamente neutra e oggettiva può progettare un sistema sicurezza. L’architetto, infatti, non vende prodotti per la sicurezza e non ha interesse che venga venduto questo o quel firewall. La sua figura analizza lo stato di fatto di un’azienda, capisce quali sono i punti più deboli e fornisce indicazioni su dove investire il budget aziendale disponibile per abbassare il livello di rischio informatico di partenza.
E stiamo pur certi che uno dei primi aspetti su cui verrà posta l’attenzione è la formazione dell’intera struttura: una recente statistica ci dice che il 95% degli incidenti informatici hanno come causa l’errore umano. Come ulteriore dato aggiungiamo che, mediamente, un attacco phishing funziona sul 37% degli utenti, ossia se mando un messaggio di phishing la previsione è che 37 persone su 100 ci cascheranno e cliccheranno sul link malevolo presente nel messaggio.
Questi dati ci confermano che il problema è culturale: manca la cultura della Sicurezza informatica e manca la consapevolezza che la cybersecurity va progettata attraverso sistemi strutturati che ne garantiscano poi il monitoraggio e il mantenimento.
Gli strumenti di progettazione della cybersecurity
Esistono ottimi strumenti di supporto nella progettazione di un piano di sicurezza informatica e molti di questi si affidano a framework e a linee guida con un valore internazionale. Parliamo di realtà di elevata reputazione come il NIST (National Institute of Standards and Technology) o l’AGID (Agenzia per l’Italia digitale). Non dimentichiamo poi gli strumenti di certificazione che ricoprono un ruolo sempre più importante nella supply-chain delle grandi realtà produttive e non. Prime tra tutte la certificazione ISO 27001 (Certification for Information security, cybersecurity and privacy protection — Information security management systems — Requirements).
Il rating di cybersecurity rappresenta oggi la soluzione più completa in tal senso: si tratta di un assessment che recepisce tutti gli strumenti sopra elencati e li combina con aspetti legati al GDPR (Regolamento Europeo Privacy) e alla struttura organizzativa propria di ogni azienda. Un connubio di elementi di altissimo livello che messi insieme possono restituire un’istantanea reale e comprensibile della Sicurezza di un’organizzazione. L’architetto della cybersecurity, grazie al valore restituito dal rating, ha la possibilità di ricevere tutti i dati e le informazioni necessarie per pianificare il miglior progetto di cybersicurezza per un’azienda, garantendo un livello di completezza e oggettività molto elevato.
- Chiara Van Zeyl -