La sicurezza non è una questione da delegare agli “omini dell’informatica” ma un elemento strategico di business che supporta la mission aziendale.

Una verità emersa drammaticamente negli scandali di ottobre 2024: arresti nell’azienda pubblica Sogei, indagini su dirigenti TIM e NTT Data Italia, accessi abusivi a banche dati nazionali da parte di ex poliziotti e pubblici ufficiali corrotti.

Casi che coinvolgono aziende fornitrici di servizi di sicurezza per infrastrutture critiche del Sistema-Paese, sollevando una domanda inquietante: come può il difensore difendere sé stesso?

La risposta richiede una rivoluzione culturale che trasformi la sicurezza da costo tecnico a vantaggio competitivo, seguendo principi di sostenibilità economica e difendibilità legale.

Per questo motivo è utile fornire ai professionisti gli strumenti per implementare una sicurezza strategica che protegga realmente le organizzazioni, partendo dalla comprensione che la sicurezza è un viaggio continuo, non un traguardo definitivo[1].

Sicurezza come elemento strategico di business

La mission di un’organizzazione rappresenta la sua ragione d’essere, mentre la sicurezza esiste per supportare quella mission, non per ostacolarla.

Troppo spesso viene percepita come questione puramente tecnica da delegare agli specialisti IT, ignorando che rappresenta invece un elemento strategico di business.

È arrivato il momento di andare oltre la delega tecnologica.

La tecnologia dell’informazione (IT) e i sistemi informativi (IS) costituiscono l’hardware e software che supportano le operazioni organizzative.

La sicurezza è lo strumento di gestione aziendale che garantisce il funzionamento affidabile e protetto di questi sistemi: sono due dimensioni complementari ma distinte, che richiedono approcci integrati.

I tre pilastri della sicurezza strategica

Alla luce di questo, possiamo dare forma ai tre pilastri su cui costruire una sicurezza strategica.

Beneficio economico sostenibile nel tempo

La sicurezza deve essere economicamente vantaggiosa. Ogni budget include una percentuale dedicata alla sicurezza, ma le risorse non sono infinite.

La sfida consiste nel selezionare controlli che forniscano un alto grado di protezione ad un costo accettabile, trasformando gli investimenti in sicurezza da costi inevitabili a vantaggi competitivi misurabili.

Difendibilità legale

Quando si verifica una violazione, il procedimento giudiziario potrebbe rappresentare l’unica risposta disponibile per compensazione o chiusura dell’incidente.

Molte decisioni implicano responsabilità legali: una sicurezza legalmente difendibile protegge da sanzioni e accuse di negligenza, trasformandosi in asset strategico per la gestione del rischio reputazionale e finanziario.

Viaggio continuo, non destinazione

La sicurezza è un processo evolutivo continuo. È impossibile mettere tutto al sicuro in modo completo e definitivo, perché minacce e vulnerabilità cambiano costantemente.

Ogni nuova scoperta di vulnerabilità richiede una rivalutazione dell’esposizione e una risposta appropriata, rendendo necessario un approccio dinamico e adattivo.

Gli scandali di ottobre 2024: anatomia del fallimento

Gli scandali e gli incidenti di sicurezza che hanno interessato il nostro Paese sul finire del 2024 raccontano molto dell’anatomia di un fallimento annunciato e possono servire da importante lezione per tutto il Sistema-Italia.

Sogei: quando il controllore è controllato

L’arresto dell’ex direttore generale di Sogei – azienda di proprietà del Ministero dell’Economia che opera negli ambiti ICT e sicurezza informatica – per tangenti in cambio di appalti informatici evidenzia il paradosso del controllore corrotto.

Un’organizzazione deputata alla sicurezza statale viene compromessa dall’interno attraverso meccanismi di corruzione tradizionale.

TIM e NTT Data: la filiera compromessa

Le indagini su dirigenti TIM e NTT Data Italia per corruzione tra privati, culminate nell’arresto di un dipendente NTT per violazione dei sistemi del Ministero della Giustizia, dimostrano come la compromissione possa propagarsi lungo l’intera filiera di fornitura.

Il coinvolgimento di TIM e Telespazio (Leonardo) evidenzia la vulnerabilità delle infrastrutture critiche.

Accessi abusivi sistemici

L’accumulazione di archivi di dati finanziari e giudiziari attraverso pubblici ufficiali corrotti con denaro e privilegi rivela una compromissione sistemica che coinvolge forze dell’ordine e imprenditori con contratti di manutenzione per sistemi critici nazionali.

Quante volte cadremo vittime dei criminali?

Non si tratta di puntare il dito contro l’una o l’altra azienda, perché le organizzazioni sono contenitori di persone, e le persone sbagliano.

Nel settore della sicurezza, uno dei detti più famosi è «Non è “se”, è “quando”». Parafrasando questo detto, mi piace ricordare che non è “se”, e non è nemmeno “quando”, ma piuttosto “quante volte” cadremo vittime dei criminali.

La distrazione, la stanchezza o la bravura dei truffatori sono elementi con cui dovremo sempre aver a che fare. Il nostro obiettivo non deve essere quello di evitare l’inevitabile, ma di ridurre il rischio che accada e, quando accadrà, farsi trovare pronti.

Il paradosso del difensore compromesso

Quindi, chi controlla i controllori I casi che ho citato evidenziano un paradosso strutturale: come possono aziende che offrono servizi di sicurezza fisica e cyber agli apparati statali proteggere le infrastrutture critiche se non riescono a proteggere sé stesse? Organizzazioni che investono budget milionari in sicurezza e impiegano personale qualificato risultano vulnerabili a minacce interne tradizionali.

I singoli episodi riportati rappresentano solo esempi notiziati in pochi giorni su decine di incidenti che hanno coinvolto le stesse organizzazioni, i loro clienti e fornitori.

È una frequenza che suggerisce problemi sistemici piuttosto che episodi isolati.

Lezioni per il Sistema-Italia

Gli scandali sollevano questioni fondamentali sulla cultura della sicurezza italiana e sulla necessità di implementare misure più rigorose in tutte le organizzazioni. Non basta investire in tecnologie avanzate se la dimensione umana rimane vulnerabile a corruzione e manipolazione.

È fondamentale adottare politiche che impediscano a qualsiasi individuo – manutentore o amministratore – di avere controllo eccessivo su processi critici.

La concentrazione di potere e accessi rappresenta un single point of failure che compromette l’intera architettura di sicurezza: segregazione dei compiti, privilegi ridotti a quelli necessari, doppie autorizzazioni sono solo alcuni dei paradigmi che possono aiutarci a rafforzare le nostre difese immunitarie.

Strumenti tecnologici per governance umana

L’implementazione di soluzioni PAM (Privileged Access Management) può gestire gli accessi privilegiati garantendo segregazione dei compiti e riducendo il rischio di abusi.

Si tratta di tecnologie che sottopongono anche gli amministratori a controlli e monitoraggio continuo, in modo automatizzato e quindi con una minor probabilità di errori umani.

L’utilizzo di strumenti come UEBA (User and Entity Behavior Analytics) consente di rilevare comportamenti sospetti analizzando le attività degli utenti, facilitando l’identificazione precoce di potenziali minacce interne prima che si trasformino in danni sistemici.

Verso una sicurezza matura

La trasformazione della sicurezza da costo tecnico a elemento strategico di business richiede un cambio di paradigma culturale.

Solo integrando sostenibilità economica, difendibilità legale e approccio evolutivo continuo sarà possibile costruire organizzazioni realmente resilienti.

Gli scandali di ottobre 2024 rappresentano un’opportunità per ripensare radicalmente l’approccio alla sicurezza del Sistema-Italia, trasformando le lezioni apprese in strategie più efficaci per proteggere le infrastrutture critiche nazionali.

[1] Per approfondire i principi della sicurezza strategica, le metodologie di governance e gli strumenti per trasformare la sicurezza in vantaggio competitivo, il Manuale CISO Security Manager offre framework operativi e case study per implementare una sicurezza realmente efficace.