NewsSicurezza

Cybersecurity: prima l’analisi dei processi, poi la tecnologia

Francesco Casertano di Net-Studio e Minsait in Italia ci spiega l'approccio "Process First"

L’aumento dei rischi informatici per le aziende è sotto gli occhi di tutti. E per rimediare, spesso si corre ai ripari cercando una soluzione tecnologica che possa risolvere tutti i problemi. Ma non esistono magie simili. Serve organizzare una strategia di cybersecurity che parta prima dai processi e solo dopo pensi alla tecnologia. Francesco Casertano, CEO di Net-Studio e Cybersecurity Lead di Minsait in Italia , ci spiega l’approccio “Process First“.

Cybersecurity, prima l’analisi dei processi e poi la tecnologia

Durante l’ultima edizione di ITASEC, la Conferenza Nazionale sulla Sicurezza Informatica, che si è tenuta a Roma dal 20 al 23 giugno, è emerso con forza il concetto di “Process First” quando si parla di cybersecuriy. In altre parole, iniziare la strategia di sicurezza dall’analisi dei processi, per passare in un secondo momento alle soluzioni tecnologiche.

Capire le esigenze e le prassi di un’organizzazione permette di trovare il modo di implementare una sicurezza informatica calzante e precisa, che non limita il business ma risponde prontamente ai rischi. Che si stanno moltiplicando. Secondo l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, nel 2021 il 31% delle grandi aziende italiane ha subito attacchi. Gli attacchi ransomware, secondo Verizon, sono aumentati del 13%.

Questo ha portato il 54% delle organizzazioni ha valutare la componente di formazioni e sensibilizzazione culturale un punto essenziale della strategia di sicurezza.

Cybersecurity1 1024x533

Ma ancora più essenziale è la definizione di quelle attività che risultano essere il core business aziendale e sviluppare strategie che le proteggano. Questo approccio può richiedere nuove tecnologia di sicurezza, come i sistemi di Identity Access Management (IAM). Ma prima di fornire soluzioni “a ombrello”, che coprano tutto e tutti (che non esistono), serve una fase di analisi per capire quali operazioni riducano al minimo la vulnerabilità di un’organizzazione.

I tre passaggi della strategia Process First

Parlando dell’implementazione di questo nuovo approccio più analitico alla sicurezza, Casertano ci spiega che sono tre le fasi necessarie.

Il primo è la security assesment & risk analysis. Che ha l’obiettivo chiaro di capire i processi di un’azienda nel suo dettaglio, in modo di valutare quali sono i rischi e quale impatto possono avere sul business. Questo ha il potenziale per portare diversi benefici. Casertano nomina: un “aumento di consapevolezza, coinvolgimento di tutti i processi aziendali, elaborazione di un piano di Remediation, riduzione dei livelli di rischio e un miglioramento della reputazione e immagine dell’azienda.“.

Il secondo step riguarda la definizione di una security strategy, che permette di definire nel dettaglio una strategia per proteggere l’azienda dagli attacchi informatici. E porta con sé vantaggi quali “la riduzione dei costi, delle tempistiche e delle risorse, il miglioramento della compliance normativa sulla gestione della sicurezza delle informazioni, la prevenzione, la protezione e la riduzione degli impatti delle minacce di sicurezza informatica“.

Francesco Casertano - Minsait-min
Francesco Casertano, CEO di Net-Studio e Cybersecurity Lead di Minsait in Italia

Il terzo fondamentale passo risulta essere la security awareness. Si tratta di sensibilizzare tutti i dipendenti dell’organizzazione riguardo la sicurezza, dando informazioni su come proteggere gli asset critici. Grazie a questo nuovo tipo di consapevolezza sarà possibile creare una cultura cyber aziendale che consentirà di prevenire e ridurre i rischi, oltre a identificare, pianificare e attuare eventuali azioni di miglioramento“.

Una visione strategica ormai inderogabile

Secondo Francesco Casertano, CEO di Net-Studio e Cybersecurity Lead di Minsait in Italia, un approccio strategica che metta prima l’analisi dei processi e poi la tecnologia non è più derogabile. Le aziende devono avere una profonda conoscenza dei propri processi per poter poi fare i giusti investimenti. Non solo trovando le giuste soluzioni di cybersecurity che calzino a pennello sugli asset aziendali. Ma anche per investire in una nuova cultura aziendale che permetta di arginare le minacce e proteggere il core business.

Potete trovare maggiori informazioni sul sito di Net-Studio e di Minsait.

Bestseller No. 1

Stefano Regazzi

Il battere sulla tastiera è la mia musica preferita. Nel senso che adoro scrivere, non perché ho una playlist su Spotify intitolata "Rumori da laptop": amo la tecnologia, ma non fino a quel punto! Lettore accanito, nerd da prima che andasse di moda.

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Back to top button