Tradizionalmente, i dirigenti aziendali hanno visto la spesa per la sicurezza come una sorta di male necessario: denaro che deve essere stanziato per mantenere l'azienda sicura, ma anche un costo che sottrae budget che si preferirebbe investire nell'azienda. I team di sicurezza, invece, hanno comprensibilmente considerato la spesa per la sicurezza come una priorità del budget, dato che è essenziale per mantenere l'organizzazione in condizioni di sicurezza.
Hanno entrambi ragione.
La spesa per la sicurezza mantiene le organizzazioni al sicuro e, così facendo, consente loro di creare un vantaggio competitivo e di perseguire con successo gli obiettivi aziendali. Sebbene sia facile pensare alla sicurezza come a un muro costruito per racchiudere le organizzazioni dietro una barriera sicura, in questo contesto può essere utile vederla come un ponte. La sicurezza è ciò che consente all'azienda di connettersi con il resto del mondo e di ottenere di più, sapendo di essere protetta.
La questione se la sicurezza sia un centro di costo o un fattore abilitante non è nuova, ma ha assunto una nuova importanza negli ultimi tempi, alla luce della aumento previsto della spesa per la sicurezza che ha accompagnato il passaggio al lavoro ibrido, l'ascesa delle operazioni in cloud e altri sviluppi che hanno portato alla caduta dei perimetri di sicurezza tradizionali. Certo, costa molto proteggere un'organizzazione che non può più contare su un perimetro formale, ma l'investimento può essere ampiamente ripagato se la leadership aziendale e quella della sicurezza sono allineate e si impegnano a essere sicure e coraggiose.
L'utilizzo della sicurezza come strumento per l'abilitazione del business richiede che le organizzazioni conoscano i propri rischi e il costo della loro gestione, così come il costo della loro mancata gestione. Ad esempio, qual è il costo di un solido sistema automatizzato per la gestione degli account utente rispetto al costo di una violazione derivante da tali account non gestiti? Il costo di quest'ultimo potrebbe essere immediatamente chiaro: una multa salata per violazione del GDPR, ad esempio, se la violazione espone dati privati. Ma che dire del costo in termini di fiducia dei clienti e di reputazione dell'organizzazione? Potrebbe essere incalcolabile e l'azienda potrebbe pagarne le conseguenze per molto, molto tempo.
Oggi le organizzazioni si rendono sempre più conto del valore aziendale di una sicurezza solida; uno studio recente mostra una chiara correlazione tra sicurezza e successo aziendale. E in una nuova tendenza, comitati per la cybersicurezza che operano con una supervisione a livello di consiglio di amministrazione nelle aziende. Da ciò si evince che, quando i dirigenti aziendali si rendono conto del valore di marketing e degli altri vantaggi commerciali derivanti dalla presenza di un team di sicurezza forte, nonché del costo elevato che comporta la mancanza di una sicurezza solida, il rapporto tra sicurezza e dirigenti aziendali può diventare meno conflittuale e più collaborativo.
La sicurezza come fattore abilitante per il business può comprendere molte aree della sicurezza, ma un buon punto di partenza per parlarne è la gestione delle identità e degli accessi (IAM). Dato che oggi molte violazioni di dati coinvolgono le credenziali degli utenti (il 61%, secondo l'edizione 2021 dell'IAM). Rapporto sulle indagini sulle violazioni dei dati di Verizon), l'identità è senza dubbio un'area in cui l'investimento nella sicurezza è fondamentale. Dopo tutto, per le organizzazioni ha senso spendere in sicurezza solo nelle aree in cui si ottengono i maggiori benefici (o in cui si corrono i maggiori rischi) e l'IAM rientra certamente in questa descrizione.
Senza la sicurezza dell'identità nella fase iniziale dell'accesso alle risorse, le organizzazioni possono subire enormi conseguenze finanziarie e di altro tipo se qualcuno ottiene un accesso non autorizzato a sistemi e informazioni. Si pensi al Violazione dei dati della Colonial Pipeline del 2021, ad esempio, in cui gli hacker hanno violato l'organizzazione utilizzando una password compromessa. A ciò si contrappone ciò che un'organizzazione sicura dal punto di vista dell'identità può aspettarsi: non temere le conseguenze di un ambiente aziendale scarsamente protetto, ma perseguire con fiducia i vantaggi finanziari e gli altri benefici che derivano dall'operare in modo sicuro.
###
Guarda la conversazione di Ingo Schubert con teiss, "La sicurezza come strumento di business.”
