“Chi sa solo di cyber non sa nulla di cyber”
Perché oggi nella sicurezza informatica serve una visione da CEO (capace di trasformare la complessità in strategia).
Negli ultimi anni, l’Italia ha compiuto progressi nel campo della sicurezza informatica. La consapevolezza del rischio cyber è in costante crescita, e gli investimenti nel settore continuano ad aumentare: nel 2024 sono stati superati i 2,4 miliardi di euro di spesa nella cyber sicurezza; le previsioni per i prossimi anni indicano un’ulteriore espansione, con tassi di crescita della spesa a due cifre. Si tratta di un segnale incoraggiante.
Parallelamente, però, gli attacchi informatici stanno evolvendo: da minacce ai dati si stanno trasformando in shock operativi in grado di paralizzare intere organizzazioni. Le aziende si trovano a fronteggiare fermi produttivi, con perdite economiche rilevanti. È il caso, ad esempio, del produttore di birra Asahi, dove un attacco cyber ha bloccato numerosi stabilimenti, insieme a call center e spedizioni. Un episodio analogo è accaduto alla Jaguar Land Rover, costretta a sospendere le linee di produzione a causa di un attacco hacker, con perdite stimate in 50 milioni di sterline a settimana. Anche due note catene britanniche, Co-op e Marks & Spencer sono state colpite nella scorsa primavera. Il rischio cyber può incidere quindi direttamente sulla continuità operativa, la reputazione e la competitività aziendale.
Proteggere le infrastrutture digitali e rafforzare la resilienza tecnologica non è però solo una questione aziendale: è un elemento chiave della sicurezza nazionale. Dietro gli attaccanti spesso c’è una industria criminale sostenuta da governi. In tale contesto, la capacità di manipolare e bloccare infrastrutture e catene produttive può diventare uno strumento di coercizione e pressione geopolitica, alla pari delle sanzioni finanziarie e commerciali o ai controlli sull’export tecnologico o di risorse naturali.
La cybersecurity è pertanto un fattore strategico che riguarda direttamente la competitività delle imprese e, più in generale, la tenuta del sistema Paese. In questo scenario, la domanda che ogni CEO dovrebbe porsi è: come possiamo tradurre questa consapevolezza in azioni concrete e contribuire davvero alla sicurezza aziendale e del sistema Paese?
Sicuramente aumentare il budget dedicato alla sicurezza è un fattore necessario alla luce del fatto che per gli attaccanti può diventare sempre più facile ed efficace offendere. Gli attaccanti stanno beneficiando delle nuove tecnologie – tra queste soprattutto l’intelligenza artificiale – incrementano la loro efficacia. Quando aggredire costa meno che difendere, aumentano gli incentivi ad attaccare.
Oltre al budget serve un nuovo sistema di governo della cyber sicurezza. La sicurezza non è un tema tecnico da delegare ai tecnici, ma una disciplina che deve integrare risk management, visione di business, gestione dei talenti e tecnologia. È per questo che il ruolo del CISO (Chief Information Security Officer, ovvero il responsabile della cyber sicurezza in azienda) deve evolvere: non più un ruolo tecnico del mondo IT con un budget limitato, ma un executive con autonomia decisionale, risorse adeguate e capacità di dialogare con il board. In altre parole, un “CEO parallelo” della resilienza aziendale.
Devono cambiare anche le competenze dei team che lavorano sulla cyber sicurezza, con competenze sempre più ibride. Prendendo in prestito una lezione dal mondo del calcio, José Mourinho lo ha detto in modo chiaro: “chi sa solo di calcio non sa nulla di calcio”. Lo stesso vale per la cybersecurity: chi sa solo di tecnologia non ha una visione completa del problema. Le competenze della cybersecurity del futuro saranno sempre più ibride: serviranno figure capaci di unire competenze tecnologiche e tecniche, capacità di analisi dei dati, comprensione dei processi aziendali e conoscenza delle logiche di risk management.
