La motivazione forte che dovrebbe guidare ogni strategia di trasformazione digitale e relativa mobilità aziendale dovrebbe essere il miglioramento dell’esperienza utente. Un obiettivo coerente con la necessità di essere competitivi in contesti di mercato in costante cambiamento e che non garantiscono più la fedeltà del consumatore o del cliente. La trasformazione digitale serve a far emergere la creatività, a far crescere la produttività, a fidelizzare la clientela e anche a soddisfare i bisogni maggiori di sicurezza, dell’azienda e di tutti i suoi stakeholders.
Le caselle di posta di molti utenti sono ancora intasate di messaggi spam portatori di rischi phishing, di malware e altri virus digitali. La cybercriminalità e gli hacker da tempo però hanno optato per una diversa tipologia di vittime, aziende e organizzazioni, private e pubbliche, grandi e medie senza dimenticare anche quelle piccole. La difesa da questi attacchi passa attraverso nuovi investimenti, sia in strumenti per la difesa sia in automazione dei processi aziendali, ma soprattutto attraverso la definizione di strategie robuste e innovative di trasformazione digitale.
In molte aziende la sicurezza non è ancora la maggiore priorità o lo è solo a parole. Ad esempio molte aziende non dispongono ancora di team di specialisti IT dedicati alla sicurezza capaci di muoversi in contesti di cybersicurezza in costante mutamento. In alcuni casi la trasformazione digitale e la sicurezza sono diventate priorità ma sono ancora carenti le misure adottate e le applicazioni che servono per la loro implementazione. La carenza nasce da una sottostima del rischio, dalla difficoltà a comprendere la vera natura dello stesso e, spesso, dal volere fare tutto da soli, senza l’aiuto di entità, professionalità, partner che sulla sicurezza hanno costruito una conoscenza approfondita, una reputazione riconosciuta dal mercato, e soprattutto la capacità di suggerire le soluzioni più adeguate a superare le vulnerabilità dei mondi e delle piattaforme digitali e IT.
Il senso della vita
I rischi sono simili per tutte le tipologie di azienda. Per le piccole si traducono prevalentemente in attacchi mirati ai dipendenti, nella forma di phishing attraverso email, di attacchi malware e ransomware, sempre più avanzati, subdoli e capaci di trarre in inganno, oltre che in tentativi di guadagnare l’accesso a risorse aziendali prendendo il controllo di profili digitali e delle loro credenziali.
Affrontare i rischi e le sfide della sicurezza in modo organizzato e vincente implica l’adozione di strategie che possano essere tradotte e sostenute da alcune buone pratiche. La prima è legata a programmi di formazione continua, finalizzata a mantenere alta l’attenzione su modalità e strategie di attacco cybercriminale sempre diverse e più subdole, spesso rese possibili e vittoriose da errori e vulnerabilità umane, prima ancora che tecniche. Gli errori nascono da pratiche lavorative, da condizioni di stress o sovraccarico di impegni, da superficialità e disattenzione o da abitudini consolidate nel tempo. Le conseguenze sono la condivisione di informazioni sensibili con le persone sbagliate, il mancato controllo dei mittenti delle email ricevute, la perdita di controllo su asset informativi importanti per l’azienda e che potrebbero essere usati per attacchi futuri. La formazione può essere gestita in proprio, meglio se organizzata in collaborazione con società che della formazione sulla sicurezza hanno fatto il loro core business o con realtà che hanno affiancato anche il training alla loro proposizione commerciale di soluzioni per la sicurezza.
La formazione è necessaria ma forse percepita come onerosa da tante aziende, specie quelle piccole, che non dispongono di grandi budget e continuano a considerare la cybersicurezza come troppo costosa. Soprattutto quando ci si vuole dotare degli strumenti più innovativi e potenti disponibili sul mercato. Nella realtà l’approccio che andrebbe perseguito è di investire in soluzioni flessibili in grado di permettere un adattamento continuo e incrementale nel tempo. Un modo per calibrare oculatamente gli investimenti futuri, aumentando le capacità di difesa senza intaccare negativamente l’attività imprenditoriale e la capacità competitiva. Il tutto in contesti trasformati digitalmente, resi più efficienti e produttivi da strumenti, applicazioni e soluzioni avanzate di mobilità aziendale.
Le aziende, anche le PMI, che hanno deciso di investire in sicurezza devono dare uno spazio importante alla definizione di policy e programmi adeguati alla prevenzione e alla implementazione delle azioni necessarie (sottoscrizione di una buona assicurazione ad esempio) per gestire situazioni di crisi in caso di attacco cybercriminale minimizzandone i danni potenziali. Ad esempio in termini reputazionali e relazionali con clienti, partner e fornitori comunicando loro in tempi rapidi cosa si sta facendo per evitare conseguenze al furto di dati di loro pertinenza.
Elemento fondamentale di ogni strategia IT per la sicurezza è la capacità di integrare le nuove soluzioni (cloud, Mobile, data analytics, CRM, ecc.) con quelle esistenti. L’integrazione serve per ridurre la complessità tipica degli ambienti multivendor e multipiattaforma, per favorire l’automazione dei processi, compresi quelli amministrativi, per l’individuazione di tutte le vulnerabilità e l’attivazione di contromisure adeguate, in tempi rapidi e attraverso l’intera infrastruttura informatica aziendale.
Per affrontare il rischio sicurezza, la strategia, gli investimenti, l’integrazione applicativa e infrastrutturale, la formazione, sono tutti componenti essenziali e necessari per rimanere sul mercato in modo competitivo e senza perdere clienti. Più di tutto serve però un cambio di attitudine, una propensione alla proattività e all’investimento. Vale per tutte le organizzazioni, per le aziende piccolo, medie e grandi.