Un aspetto positivo: la cybersecurity a livello aziendale post-COVID 19

Il cambio di paradigma da un’architettura IT centralizzata “in loco” a una distribuita, basata sul cloud, sarà un elemento chiave della trasformazione digitale in corso. Questo cambiamento è ancora alle fasi iniziali, ma prevediamo che si estenda alla maggior parte dei settori, delle aree geografiche e delle industrie. Non si tratta solo di cambiare il modo in cui le aziende collegano i propri dipendenti alle risorse informatiche interne, a Internet e alle varie applicazioni, ma concerne anche la sicurezza informatica, un aspetto che oggi è più importante che mai. 

Cybersecurity e criteri ESG

La sicurezza informatica ha un impatto diretto e significativo sulla sicurezza ambientale, sui rapporti con i partner e sulla protezione dei dati sensibili, oltre che dei dipendenti, con importanti implicazioni sugli aspetti sociali e di governance delle attività aziendali, oltre che sul profilo di sostenibilità delle imprese.

Nei Principi per gli Investimenti Responsabili (PRI), tra i principali fautori dell’investimento responsabile a livello mondiale, viene sottolineato come “il livello di coinvolgimento del board sulla sicurezza informatica può essere una buona cartina di tornasole rispetto all’efficacia dell’approccio di un’azienda al rischio informatico”, hanno sottolineato. Oltre agli aspetti legati alla governance, la sicurezza informatica include anche aspetti sociali, come la sicurezza relativa alla raccolta, alla conservazione e all’utilizzo di dati sensibili, riservati o esclusivi dei clienti.

Ciò ha portato molte aziende a includere aggiornamenti sugli aspetti ESG della loro resilienza in termini di sicurezza informatica all’interno dei bilanci di sostenibilità. Sebbene si tratti di uno sviluppo positivo, va detto che le aziende tendono a personalizzare le metriche dei loro report perché non esistono ancora requisiti di reportistica standard in questo ambito.

Cosa è cambiato?

Solo pochi anni fa, le reti aziendali dovevano facilitare l’accesso e fornire sicurezza principalmente per le connessioni associate ai computer che i dipendenti utilizzavano in ufficio. Nei rari casi in cui i dipendenti richiedevano l’accesso remoto, veniva utilizzata un’applicazione di tipo VPN (virtual private network, rete privata virtuale).

La principale caratteristica di sicurezza di queste reti centralizzate è un perimetro (firewall) progettato per schermare sia il traffico in entrata sia in uscita.

Tuttavia, i lockdown e le restrizioni legati alla pandemia di COVID-19 hanno reso il lavoro a distanza una necessità per cui la vecchia infrastruttura IT centralizzata non era progettata. I limiti sono stati toccati con mano, dato che le aziende si sono ritrovate, in alcuni casi, anche con migliaia di dipendenti che accedevano in remoto da altrettante posizioni, utilizzando in alcuni casi laptop e tablet probabilmente non sicuri, così le vulnerabilità dei sistemi e i potenziali punti di accesso per gli hacker si sono ampliati ben oltre il vecchio e familiare “firewall”.

Il lato positivo

L’infrastruttura informatica basata sul cloud è da tempo un’ovvia alternativa al tradizionale modello centralizzato, ma la pandemia l’ha portata alla ribalta. Ci aspettiamo quindi un’accelerazione della generale migrazione al cloud.

L’emergere di diversi fornitori di servizi cloud, come AWS, Microsoft Azure e GCP, ha contribuito a creare una nuova e più ampia visione dell’infrastruttura IT. In passato, hardware e software come server e database dovevano essere acquisiti e gestiti dalle stesse aziende. Oggi l’infrastruttura IT può essere esternalizzata come “IaaS” (Infrastructure-as-a-service), insieme a tutte le applicazioni e ai software necessari (SaaS, Software-as-a-Service). Queste nuove modalità di servizio hanno suscitato un forte interesse da parte di molte società quotate, tanto che oggi un’azienda media utilizza oltre 100 applicazioni SaaS.

L’emergere del cloud offre alle aziende il tipo di flessibilità e scalabilità che prima non avevano.  Offre anche un diverso tipo di sicurezza che, basata su un perimetro centrale, ha consentito agli utenti autorizzati di accedere praticamente a tutto su una determinata rete. Chiaramente, una richiesta di connessione proveniente dall’esterno dell’organizzazione e del suo perimetro di sicurezza costituirebbe un rischio significativo. Ecco perché oggi la sicurezza informatica è molto più incentrata sul concetto di “Zero Trust”. Ogni richiesta di accesso a un servizio da parte di un utente conosciuto, come Salesforce, Office 365 o Zoom, viene convalidata separatamente, e la connessione con quel servizio viene nuovamente interrotta una volta che l’utente chiude l’applicazione.  In questo modo, l’accesso è consentito solo alle applicazioni che l’utente sta utilizzando, e non è permesso alcun movimento laterale intorno alla rete.

Mentre le aziende aggiornano e sviluppano l’approccio alla sicurezza informatica, ottengono un supporto sia dai vantaggi associati al riconoscimento delle credenziali ESG, sia dalla necessità di cambiamento derivante dal nuovo ambiente di lavoro. Intraprendere quello che chiamiamo “passaggio al Cloud” e rafforzare la sicurezza informatica permetterà alle aziende di ottenere vantaggi diversi e a lungo termine. Trattandosi di un aspetto positivo della crisi legata al COVID-19, siamo fortemente convinti che queste tendenze resteranno predominanti anche nel prossimo futuro.