Cybersecurity e gestione delle riunioni: i termini di una transizione necessaria

Digital Transformation e gestione digitale dei processi aziendali sono ormai temi con i quali tutte le aziende, sia pubbliche che private, sono chiamate a confrontarsi. E non c’è dubbio: il passaggio al digitale è diventato per la realtà imprenditoriale italiana una necessità da rispettare, investendo la governance aziendale in tutti i suoi aspetti. Fra questi, spicca il tema della corretta gestione delle riunioni, on line ma anche in presenza, e degli strumenti più o meno adatti alle diverse funzioni implicate. Cosa comporta la transizione in atto, per quel che riguarda la privacy dei dati e la sicurezza informatica? Enrico Cafiero, IT Director del Gruppo Recordati, in questa intervista ci offre preziosi suggerimenti su come affrontare le sfide della contemporaneità. Gestendo in modo appropriato i rischi connessi alla cybersecurity.

La pandemia ha accelerato e reso definitivi radicali cambiamenti in fatto di trasformazione digitale. In questa transizione, secondo lei, le aziende italiane stanno dimostrando di saper gestire in modo opportuno i rischi connessi alla protezione dei dati e alla cybersecurity? 

Enrico Cafiero: La risposta non è univoca. Si può dire che le aziende abbiano reagito bene alla situazione contingente, ma che abbia pesato la mancanza di un solido background preliminare in fatto di protezione dei dati. Significa che pur nel quadro di un’adozione abbastanza tempestiva di alcune tecnologie chiave, il problema della cybersecurity è stato, e sia ancora, sottovalutato. Senz'altro le tecnologie si stanno evolvendo alla velocità della luce, il che rende facilmente obsolete - e quindi rischiose - alcune prassi consolidate. Un esempio: negli ultimi tempi, gli utenti sono stati fatti connettere in VPN, vale a dire “da remoto”, e fuori dalla rete informatica della loro azienda. Tutti sono stati capaci di far lavorare le persone da casa, in apparente sicurezza, usando però tecnologie consolidate. Tuttavia: oggi molte risorse sono fuori dall’azienda, sul cloud.

Per questo l’approccio corretto deve puntare alla gestione degli accessi e dell’identità delle persone. È necessario imparare un nuovo paradigma di sicurezza legato all’utilizzo di risorse in-cloud, ad esempio attraverso un maturo sistema di credenziali. Le tecnologie raccomandate sono centrate sull'utente e su un portafoglio di servizi gestiti in modo strutturato e centralizzato, che garantisca il tracciamento dei dati, e non si limiti più a proteggere i “confini” delle risorse. Gli accessi ai cloud devono quindi essere governati con strumenti specifici. In questo senso, si riscontra una forte pressione sul lato delle vendite di servizi, ma molta diffidenza da parte degli utenti, in parte dovuta anche ai costi proibitivi. Come sistema-paese abbiamo reagito bene, ma utilizzando tecnologie al tramonto: la transizione ora è necessaria.

Quali sono i tool digitali da considerare - e quali quelli da evitare - per sicurezza ed efficienza dei processi aziendali e della gestione delle riunioni di direzione? 

Enrico Cafiero: Strumenti tipici della comunicazione tradizionale come l’email e i file mandati in allegato sono assolutamente da evitare. Le email, infatti, sono molto sensibili agli attacchi cyber: fanno parte di abitudini e routine consolidate dei processi di lavoro, ma sono anche mezzi preferenziali per le strategie di inganno dell’utente. Le minacce e-mail continuano non a caso ad essere tra le più diffuse: l’Internet Crime Complaint Center (IC3) dell’FBI ha rilevato che, solo negli Stati Uniti e solo nel 2019, le violazioni ai danni delle email hanno causato una perdita di 3,5 miliardi di dollari. Il danno che può derivare da problemi di cybersecurity, quindi, è non soltanto di immagine, ma di concreta operatività: in presenza di un cyberattacco l’azienda è costretta a interrompere la sua attività, con ingenti perdite finanziarie. Va messa a fuoco una regola generale: laddove la gestione è affidata all’arbitrio dell’utente, cadere nella trappola di un cyber-attacco è più facile.

Per contrastare le frodi è prima di tutto necessario creare la corretta consapevolezza in tutti i collaboratori dell’organizzazione, e lavorare su una solida cultura della cybersecurity. In integrazione, bisogna intervenire sui processi, utilizzando tecnologie che garantiscano un buon grado di protezione automatica, passando un vaglio da parte degli esperti IT. I tool digitali si spostano più verso strumenti cloud, che consentono l’accesso da remoto senza dipendere dal posizionamento dell’utente. Essi possono essere eterogenei, e richiedono di essere inseriti in un contesto coerente e condiviso per la gestione di accessi, documenti e dati. A tutela della cybersecurity, assumono una fondamentale importanza la classificazione e identificazione dei dati, nonché l’orchestrazione dei servizi che trattano i dati stessi.

L’organizzazione delle riunioni di leadership è un processo complesso: come si può garantire un maggior controllo sul flusso informativo, anche dal punto di vista degli accessi ai documenti? 

Enrico Cafiero: Controllo del flusso delle informazioni e gestione dell’identità dell’utente costituiscono il binomio che garantisce la sicurezza dei dati e il loro controllo. Il focus della protezione del documento sta in come viene gestita la sua accessibilità: possiamo dire che la difesa del documento, e soprattutto nelle riunioni on line, è basata sul documento stesso. In questo senso, il singolo file va arricchito di meta-dati e di strumenti che permettano una gestione selettiva della stampa e dell’accesso ai materiali da parte dei partecipanti al processo. Il documento deve insomma incorporare un sistema di attributi volto alla sua protezione, in modo che la piattaforma possa riconoscerlo e gestirlo. Al momento, tuttavia, nonostante il ricorso massivo alle riunioni on line dettato dalla pandemia, la diffusione di questa visione da parte delle aziende è ancora carente. E questo nonostante un’evidenza: si tratta di un investimento che torna indietro moltiplicato per mille. 

Esiste poi un problema di resistenza del cartaceo, che complica enormemente la gestione dei flussi documentali e la tutela della cybersecurity: alcuni ambienti hanno interpretato in modo imperfetto la transizione al digitale. E il difetto è di metodo. La qualità è intesa come fine, non come base del processo: i documenti di qualità sono spesso considerati un obiettivo, non uno strumento per elevare qualità e sicurezza dei processi. Si tratta di un diffuso errore di impostazione, che provoca un crash fra i processi, genera documenti viziati e privi di contatto con i rischi reali. La transizione al digitale impone invece di non ragionare in modo manicheo, separando mestieri e competenze come “compartimenti stagni” fra loro indipendenti.

Acquisire questa visione è importante per disegnare un processo di qualità con strumenti operativi pratici e coerenti, in grado di garantire la compliance. Definendo flussi ben strutturati si ottiene un risultato intrinsecamente sicuro: la cybersecurity si gioca a monte dei processi. E li agevola anche negli aspetti operativi e collaborativi.

Andando nel dettaglio: quali sono le raccomandazioni che darebbe a un manager per garantire la sicurezza informatica nelle riunioni on line e da remoto, ma anche ibride e in presenza? 

Enrico Cafiero: Nelle riunioni manageriali, protezione e sicurezza dell’identità dell’utente sono fattori cruciali: sia in questa fase di uso massivo delle riunioni on line, sia nei meeting ibridi o in presenza, che comunque si avvalgono dell’utilizzo di tecnologie informatiche. Per selezionare le entrate, le credenziali devono essere gestite in modo opportuno e controllato. Essere sicuri del meccanismo di autenticazione aziendale è un fattore cruciale per la cybersecurity, ed ecco perchè la “multifactor autentication” è così importante: incorporare l’autenticazione a due fattori al posto della tradizionale password permette un sostanziale innalzamento dei livelli di sicurezza. Inoltre, per la cybersecurity è fondamentale la scelta del servizio, che deve essere “enterprise”: si definiscono così sistemi informatici progettati in maniera specifica per essere utilizzati all’interno di un'organizzazione strutturata. Sono quindi da scoraggiare gli strumenti di videoconference non enterprise, ma nati per il mercato consumer, tipici bersagli di ogni tipo di attacco (un esempio è la piattaforma Zoom, veicolo privilegiato di link malevoli).

Un tema trasversale è quello di educare gli utenti al fatto che il collegamento a una videoconferenza di lavoro richiede una mentalità diversa da quella che si utilizzerebbe per le riunioni informali: il meeting aziendale è un processo da trattare attraverso un software dedicato e protetto, che centralizzi funzioni e traffico dei dati in un unico luogo controllato. Per l’efficienza dei meeting, e a salvaguardia della cybersecurity, è importante la segmentazione degli strumenti: la riunione di direzione è un servizio molto specifico, ha esigenze proprie rispetto a un incontro qualunque. Per questo è sconsigliabile usare la stessa tecnologia per occasioni formali e informali, ma anzi è necessario privilegiare tecnologie segregate e specifiche, più controllate e controllabili. Il che aiuta anche gli utenti a far mente locale sul contesto in cui operano. 

Che importanza ha la questione della formazione alla sicurezza dei partecipanti ai processi, e quali sono gli accorgimenti da adottare? 

Enrico Cafiero: Gli utenti devono essere sensibilizzati in maniera capillare: l’educazione è più importante ora di 10 anni fa, soprattutto quando si parla di cybersecurity. Le persone hanno maggiore confidenza con gli strumenti digitali di uso quotidiano, e si sentono al sicuro. In realtà, si riscontra una generale difficoltà nel riconoscere le email malevole, e non è raro che vengano aperti link fraudolenti. I tecnici informatici sono parte integrante del processo di sensibilizzazione, ed è importante che siano promotori dei nuovi paradigmi di comportamento legati alla tecnologia in-cloud. Dal punto di vista manageriale esistono attenzioni da sviluppare, perché l’atteggiamento generale è ancora polarizzato: c’è chi ha metabolizzato forme di forte attenzione alla cybersecurity, ma c’è anche chi si connette ancora con indirizzi email non controllati (ad esempio Yahoo) e quindi non protetti. Bisogna risolvere questo scalino, impegnandosi nella sinergia di competenze: il personale IT deve essere coinvolto e l’offerta di sicurezza non deve essere percepita come una struttura inutile o una perdita di tempo. La cultura della cybersecurity passa anche da questo.

Enrico Cafiero

L'autore

Enrico Cafiero è IT Director per il gruppo farmaceutico Recordati. Si occupa di efficienza dei processi di gestione IT e dell’evoluzione di applicazioni/infrastrutture attraverso l’integrazione di servizi cloud.