Come impostare una strategia di business nel mondo della Cyber Security

di Massimiliano Dal Cero
8 Ottobre 2019

Questo articolo nasce da un confronto dialettico, intercorso per dare riscontro ad un cliente che aveva la necessità di integrare servizi di “Cyber Security” tra le attività che già proponeva.
Da questo piacevole incontro si sono generate delle riflessioni che possano risultare utili per meglio inquadrare l’approccio da adottare, sia che si voglia fare business in questo settore, sia che si voglia solo irrobustire i propri reparti IT.

Sono estremamente convinto che usare i termini corretti sia necessario per proporsi in modo serio e autorevole ai propri interlocutori. Mi piacerebbe quindi iniziare questo articolo precisando, fin da subito, la differenza che intercorre tra due vocaboli (troppo) spesso utilizzati intercambiabilmente che, tuttavia presentano significative differenze, dalle quali derivano specifiche conseguenze sia tecniche che concettuali: Cyber Security e Information/IT Security.¹

La “Cyber Security” tratta della sicurezza delle “cose”, le quali possono essere vulnerabili proprio attraverso le tecnologie dell’informazione e delle comunicazioni (ICT: Information and Communications Technology), considerando anche i luoghi dove sono archiviati i dati e le tecnologie adottate per proteggerli.

Quando invece parliamo di “Information Security” ci si concentra sulla protezione dell’informazione, i cui obiettivi generali sono riassunti dalla famose triade CIA: confidenzialità, Integrità e disponibilità (availability) dell’informazione. La sicurezza informatica (in inglese information security) è quindi l’insieme dei mezzi e delle tecnologie volti alla protezione dei sistemi informatici in termini di disponibilità, confidenzialità e integrità dei beni o asset informatici.

Con “Information Security”, parleremo quindi di tutti e soli quegli aspetti strettamente correlati alle tecnologie dell’informazione, senza fuoriuscire nella realtà fisica, rimanendo confinati al mondo binario composto da bit.²

La “Cyber Security” si occupa della protezione di tutte le cose (virtuali e fisiche) che sono anche solo tangenzialmente toccate dalle tecnologie delle informazioni (es: impianti semaforici, centraline delle automobili … e più in generale: gli esseri umani)

L’information security può essere intesa come un sottoinsieme della Cyber Security e ha come scopo la gestione della sicurezza delle informazioni così come precedentemente indicato.

Cyber Security e Information Security in azienda

Ogni realtà aziendale parte da punti differenti, ognuna ha una sua storia distinta: c’è chi è sul mercato da decine di anni, e chi invece è una promettente start-up. Ma anche tra aziende con paragonabile fattore temporale di esperienza, ci saranno inevitabilmente differenti esperienze, sia di approccio mentale che di clientela alla quale ci si è posti in tutti gli anni di attività.³

Un approccio vincente è costituito invece da un insieme di persone e processi in grado di dare un vero valore aggiunto durevole nel tempo. È necessario infatti dare vita a un contesto aziendale dinamico e culturalmente appagante, costituito da persone affiatate, in un costante percorso di crescita professionale e con capacità di visione a 360°. Per fare ciò bisogna proporsi al mercato con quello che io chiamo “metodo 3x4D”, cioè la capacità di fare propri, combinandoli tra loro, le due componenti:

Approccio tridimensionale

Tre degli aspetti più importanti che tra loro definiscono all’unisono un sistema di assi tridimensionali fortemente interconnesse sono: People, Process, Technology.

Questi tre aspetti, definiscono la prospettiva interna di un’azienda che ha come scopo quello di creare uno scenario di business fondato principalmente su persone e processi, dove la tecnologia (di terze parti o creata internamente) avrà sicuramente un’importanza strategica, ma solo se pensata in funzione delle altre due direttive!

People / Process / Technology Framework di Christopher Spenn

Una buona pratica di sicurezza informatica dovrebbe essere strutturata e costruita attorno a persone e processi, supportata dalla tecnologia.

Però ovviamente, molte pratiche di sicurezza informatica sono state sviluppate al contrario, decidendo di “saltare” alla prima soluzione tecnologica di volta in volta che si presentasse una necessità non gestita per cui si dovesse correre ai ripari per dar seguito alle necessità del cliente. Di per sé questa pratica non sarebbe completamente sbagliata, poiché a fronte di una impellenza da gestire, è giustificabile correre ai ripari. Biasimevole è rendere la decisione derivata da una situazione imprevista e gestita frettolosamente come la soluzione definitiva su cui appoggiare il proprio business.

Due dovrebbero essere le note a questo comportamento:

prevedere un processo per far fronte all’emergenza non gestita. Come per esempio avere una rete di consulenti o di ricercatori interni in grado di poter offrire preziosi consigli
prevedere una processo di post-emergenza, per solidificare quanto fatto o per trovare le soluzioni più idonee per gestire in futuro situazioni analoghe.

L’immobilismo dello status quo non è concepibile! Non si può dargli seguito. Porre l’attenzione ai soli successi del breve termine, non farà altro che generare rapide ed effimere “vittorie” in grado di far proliferare solo i prodotti mediocri generati dall’emergenza, con il relativo rischio di portare al soffocamento l’intero business, privandolo degli investimenti di vero valore.
Investire su prodotti “occasionali”, o in scia alle mode e alle pubblicità del periodo storico coevo, non farà altro che allontanare dal reale livello di maturità e di sicurezza che, un certo investimento economico avrebbe potuto apportare proporzionalmente se, invece di essere utilizzato in sterili (ed effimere) tecnologie, fosse stato adoperato per investimenti più ponderati in grado di: valorizzare le persone, migliorare i processi e, quindi, portare a scelte tecnologiche più oculate e calate nella specifica realtà sia tecnica che umana.

Risulterà quindi fondamentale investire sulla propria realtà, in modo da ingenerare una struttura interna in grado di portare, in una commistione tra persone e processi aziendali, ad un rodato sistema aziendale capace di formare figure competenti, reattive, informate e con una visione ampia sulle varie problematiche sia dirette che di contorno.

Una volta imbastita una base, forte e organica, l’investimento tecnologico sarà quasi automatico, potendo contare non solo su tecnologie di terze parti, ma anche – e soprattutto – interne. A questo punto dovrebbe essere chiaro che il processo di sicurezza informatica dovrebbe essere in evoluzione continua, in grado di adattarsi dinamicamente all’ambiente circostante senza mai sedimentarsi su specifici prodotti.

Per poter evolvere, c’è bisogno di concime, e, in questo settore, il miglior concime per poter far crescere frutti preziosi e nutrienti è la formazione costante, insieme ad un continuo adattamento e miglioramento interno facendo propri i meccanismi del famoso ciclo di Deming in un contesto agile e dinamico.

Approccio quadrimensionale

Il ciclo di vita della sicurezza è costituito da quattro punti (anche se in letteratura si trova spesso indicato con una triade):

Prevention: capacità di prevenire gli attacchi proponendo soluzioni di miglioramento delle infrastrutture basandosi su valutazioni oggettive e obiettive.
Detection: capacità di verificare in tempo reale o anticipatamente quello che sta succedendo, così da prevedere con largo margine l’insorgere di criticità
Respond: capacità di far fronte ad un attacco in corso con pronta risposta all’incidente informatico e relative strategie di mitigazione.
poiché la perfezione non è di questo mondo, anche la sicurezza non potrà mai essere del 100%, quindi bisogna sempre prevedere un attacco anche a fronte delle più sofisticate tecniche e tecnologie messe in campo
Recovery: fase di post attacco che può prevedere sia l’investigazione delle cause scatenanti del danno informatico avvenuto (Incident Response + Digital Forensics), sia la capacità di fornire servizio di rimessa in strada dell’infrastruttura in un’ottica correttiva per evitare il ripresentarsi dell’incidente.⁴

Nell’ottica 3x4D esposta frontalmente, ognuno dei tre aspetti proposti nell’approccio tridimensionale precedente (People, Process, Technology), dovrà essere sempre presente in ciascuna delle quattro fasi poc’anzi proposte (Prevention, Detection, Respond, Recovery).

In ciascuna delle quattro fasi tra “Prevention, Detection, Respond e Recovery”, si riproporranno quindi le medesime dinamiche che vedranno in prima linea innanzitutto le persone e i processi, e la tecnologia essere una comprimaria solo se in relazione ad essi.

Per fornire una visione complessiva di un business orientato alla sicurezza, cercheremo ora di dare una panoramica (di certo non esaustiva) dei vari servizi che un’azienda avente come obiettivo quello di inserirsi nel mercato della Cyber Security dovrebbe essere in grado di offrire. Ecco quindi che ciascuno dei quattro punti predetti, sarà capace di esprime un ventaglio di possibilità, ognuna con un suo business specifico, ma che se combinati tra loro, saranno in grado di coprire organicamente l’intero ciclo della sicurezza informatica.

Prevention

– Security Assessment
– Policy Auditing
– Ethical Hacking
– Formazione

Detection

– SIEM + SOC
– Proactive Security
– Log Analysis
– OSINT (Open Source INTelligence)

Respond

– Attività di supporto al cliente soggetto ad attacchi informatici
– Incident Response
– procedure seguite e controllate in affiancamento al cliente in caso di incidente informatico
– Digital Forensics

Recovery

– consulenza finale per mitigare il danno
– messa in sicurezza → ripartendo quindi dal punto Prevention potendo quindi ricominciare il ciclo

In un’ottica di business è sicuramente importante confermare la propria reputazione con lo scopo di mantenere solida la cerchia dei clienti, ma altrettanto cruciale sarà la capacità di acquisirne di nuovi in modo da poterli inserire all’interno del ciclo appena presentato.

A tal proposito e a titolo di esempio: una tra le fasi strategiche utili all’acquisizione di nuovi clienti sarà la fase di Respond, declinata nel supporto al cliente soggetto ad attacchi informatici. L’azienda che trovandosi di fronte ad un’urgenza, priva degli strumenti e capacità necessarie per gestirla, o di partner tecnologici in grado di dargli sostegno, potrà rivolgersi “a noi” per trovare pronto supporto alla necessità contingente.

Una volta data pronta risposta e relativa risoluzione all’incidente di sicurezza informatica, si potrà proporre al cliente di inserirsi all’interno del ciclo della sicurezza a quattro fasi precedentemente esposto, così da potergli offrire servizi a 360° in ottica Cyber Security. L’obiettivo sarà ovviamente quello di evitare che problemi analoghi possano ripetersi in futuro.

Per poter creare una realtà dal vero valore aggiunto sarà quindi importante approcciare e gestire prioritariamente la parte umana e di studio dei processi, evitando come primo approccio quello di orientarsi in modo verticale su specifici prodotti.

Questo perché i prodotti cambiano e per quanto ci si affezionerà ad essi, non saranno mai un qualche cosa di veramente proprio. Invece processi e persone resteranno il vero punto di valore, i cuori pulsanti dell’azienda che, se ben avviati e alimentati potranno, insieme, essere in grado di generare nuove tecnologie interne da sviluppare e integrare.⁵

Se ti è piaciuto questo articolo, allora apprezzerai il supporto di Quodigi: ci occupiamo di consulenza e advisory sui temi di web strategy e della digital transformation. Abbiamo sviluppato IO, la piattaforma di web intelligence pensata per i decisori aziendali. Scopri di più su cosa facciamo per supportare tua azienda nella crescita digitale!

0 Commenti

Inline Feedbacks

View all comments

Riferimenti articolo[+]Riferimenti articolo[−]

Riferimenti articolo
↑1	L’informatica (in inglese computer science) si occupa del trattamento dell’informazione mediante sistemi elettronici automatizzati: i calcolatori/computer. Da ciò sovviene inevitabilmente un’altra dicotomia, quella tra “informazione” e “dato” che, forse, è bene spiegare in breve e senza pretesa di esaustività: Il dato è la materia “grezza” che possiamo recuperare in un qualsiasi modo e in una qualsiasi forma. Per esempio i dati che ci pervengono dai sensori di falde acquifere, o documenti reperiti nel dark-web, oppure semplicemente i dati del traffico cittadino. Bene, questi sono dati grezzi, dai quali vi è la necessità di estrarre l’informazione vera e propria. Vien da sé che da un set di dati, i cluster informativi che ne derivano possono essere molteplici, ognuno con significati differenti tra loro. L’informazione quindi è un “dato gnoseologico”, cioè un insieme di dati che, correlati ed elaborati tra loro, danno vita ad un concetto, in grado di proporre un significato sfruttabile. L’infrastruttura di una data organizzazione dedicata alla sua gestione è detta sistema informativo. Ma in questo processo di elaborazione non esistono solo i computer! Ed è proprio da qui che iniziamo a parlare di “*Cyber Security”. Quando parliamo di “Cyber Security” ci riferiamo ad una parola che nasce dal termine “cibernetica” che a sua volta deriva dal greco antico: kybernetes* (κυβερνήτης) con radice etimologica kyber che significa “timone/verno”. Kybernete indica il pilota di una nave, e che per estensione, sta ad indicare colui che guida, o governa, una città o uno stato: l’espressione “kybernetikès techne”, l’arte del pilotare, assume per i greci il significato più ampio di “arte del governo”. Il termine “cibernetica” è stato coniato dal matematico statunitense *Norbert Wiener, nel libro “Cybernetics, or control and communication in the animal and the machine” del 1948. Wiener è riconosciuto come il padre della cibernetica moderna che, nella sua opera la definì come la scienza “del controllo e della comunicazione nell’animale e nella macchina*”. La cibernetica rappresenta un’attività interdisciplinare che si propone di studiare e di realizzare macchine ad alto grado di automatismo, atte a sostituire l’essere umano nella sua funzione di controllore e di pilota (kybernetes) di macchine e di impianti. Con il passare del tempo, si sono così sviluppati gli elaboratori elettronici in grado di eseguire in modo automatico processi di elaborazione sfruttando le informazioni provenienti dalla realtà interagendo reciprocamente interfacciandosi esternamente. La tecnologia dell’informazione si è poi evoluta fino ad arrivare oggi ad avere macchine capaci di evolversi e di modificarsi, mediante fenomeni di apprendimento, fino ad approdare all’intelligenza artificiale ed alle reti neurali. Si può quindi velocemente intuire come la cibernetica abbia un legame stretto con il mondo fisico in una sinergia reciproca tra il mondo del tangibile e quello che oggi chiamiamo “virtuale”.
↑2	Per dare una panoramica degli aspetti strettamente inerenti alle tecnologie dell’informazione, è necessario quindi fare almeno un rapido accenno ai concetti di: spazio (trasmissione), tempo (memorizzazione) ed evoluzione (elaborazione). La trasmissione è la gestione dello “spazio”, ovvero la capacità di trasferire dati/informazioni da un luogo ad un altro, mediante tutte quelle tecnologie adatte a mantenere confidenzialità e integrità, in modo che il dato/informazione possa arrivare inalterato al solo interessato; La memorizzazione è la gestione del “tempo”, ovvero la capacità di trasferire dati/informazioni da un’epoca all’altra, mediante tutte quelle tecnologie adatte a prevedere la sua conservazione con criteri di memorizzazione, ridondanza e sicurezza, in modo che il dato/informazione sia garantito nella sua integrità nel tempo; L’elaborazione riguarda la potenzialità “evolutiva” del dato/informazione, ovvero la capacità di trasformare il dato garantendo le corrette elaborazioni e la giusta protezione nei confronti delle potenziali azioni illecite provenienti dagli utilizzatori/fruitori della parte applicativa.
↑3	L’approccio che un’azienda decide di adottare per inserirsi nel settore della Cyber Security, può cambiare in modo sostanziale per molteplici ragioni, tra cui: i fattori appena accennati, le modalità di approccio nei confronti del mercato in ottica futura, il mercato di riferimento che si vorrà “aggredire” etc. etc. Chiaramente l’esperienza passata potrà avere una forte influenza sull’approccio futuro, ma un imprenditore avveduto, illuminato, lungimirante e strategico, dovrebbe avere una forte capacità di pensiero laterale in grado di rivoluzionare in modo coerente il proprio modo di vedere il mondo da una prospettiva esterna, forte della propria esperienza interna. Un gran numero di aziende nel settore della Cyber Security hanno come business model principale quello della vendita verticale di apparati e si specializzano quindi nel proporre un set di specifiche tecnologie con l’intento di “piazzarle” direttamente. Un altro tipo di approccio è quello prettamente consulenziale, dove le figure specialistiche si propongono come mèntori aziendali, al quale i vari reparti IT non direttamente competenti del campo security, possono chiedere approfondimenti specifici per indirizzarli verso soluzioni a loro più adatte. Sempre in questo contesto si posizionano le aziende che effettuano verifiche di sicurezza e compliance con approccio sia qualitativo che quantitativo, proponendo attività di tipo “offensive” (cioè simulando le azioni di un attaccante – Ethical Hacking-) oppure semplici lavori di scansione automatizzate.
↑4	Lungi dal voler entrare nel merito didattico di ogni singolo aspetto, non manca di certo letteratura sull’argomento, lo scopo del presente articolo è la loro declinazione in ottica di business; cioè come trarre da ciascuno di essi, spunti per la creazione di servizi di valore da offrire ai propri clienti, e quindi in grado di generare un solido valore economico. Dico solido con uno scopo preciso: per poter raggiungere tale solidità i servizi offerti dovranno essere basati su qualità e competenze, e non sulla mera rivendita di prodotti altrui.
↑5	Se avete già letto le notte, stiamo parlando di Business e Cyber Security, e la parola “Cyber” abbiamo imparato avere un’etimologia che ci riporta ad un legame sinergico tra mondo virtuale e mondo fisico, identificando quindi tra gli ambiti di pertinenza proprio la gestione del rapporto con l’essere umano (definito scherzosamente anche “Layer 7”). Per sua stessa etimologia, non sarà quindi possibile scindere la Cyber Security con il rapporto con l’essere umano, sia esso l’utente finale, l’operatore, l’esperto, il consulente, o il manager. Anche in un contesto sempre più automatizzato, e dal sempre più massiccio uso di “intelligenze artificiali”, le risorse umane sono cruciali, poiché saranno quelle che potranno fare sempre la differenza, portando non solo valore tecnico, ma anche identità! Puntare sulla formazione continua, creare un ambiente stimolante di confronto e di sperimentazione, sono aspetti prioritari dove investire costantemente, poiché senza il nutrimento culturale e sfide edificanti, le persone piano piano si spengono e cercheranno realtà più stimolanti. Ricordiamoci sempre che, nonostante sia un essere imperfetto, l’essere umano, pur essendo la più grande minaccia tra quelle possibili, resta comunque l’unica entità senziente in grado di creare, con estro e originalità, processi e tecnologia! Teniamo quindi a mente che, senza questo rapporto tra téchne e “uomo”, non staremo parlando di “*Cyber* Security”, ma di tutt’altro.

Massimiliano Dal Cero

Cybersecurity expert & ethical Hacker - CEO di Digital Defense. Progetta e sviluppa strategie di Cyber Security & Digital Forensics per corporate e PMI. Si occupa di Security Management a 360° sia offensivo che difensivo e di indagini digitali per l'estrapolazione della prova valida a fini legali

Ti è piaciuto l'articolo?

Ricevi una volta ogni due mesi tutti gli approfondimenti di Quodigi Insights

Come impostare una strategia di business nel mondo della Cyber Security

Contenuti

Cyber Security e Information Security in azienda

Massimiliano Dal Cero

Condividi

Ti è piaciuto l'articolo?

Altro da leggere

Quodigi IO: la piattaforma di web strategy

La comunicazione digitale: il futuro del business

Digital strategy: cos’è e come fare

La Data Monetization in Europa

Strategia Digitale

Business development

Digital Marketing »

Data Analytics »

IoT »

Formazione 4.0 »

Quodigi IO: la piattaforma di web strategy

La comunicazione digitale: il futuro del business

Digital strategy: cos’è e come fare

La Data Monetization in Europa