Intervento a cura di Giulio Vada, Country Manager di G DATA

Chi lavora nel reparto IT di un’azienda sa che è spesso necessario fare acrobazie per tenere in piedi il business. Dalla creazione di un account utente, alla gestione, installazione e manutenzione del software, dalla pianificazione di reti e sottoreti, alla configurazione dei router e alla manutenzione dell’hardware, tutte queste attività sono di competenza del reparto IT, oggi costretto ad affrontare on top le grandi sfide poste dalla sicurezza informatica in reti cresciute nel tempo, che ospitano una babele di client diversi, inclusi i dispositivi mobili, e che ora necessitano di una attenzione e tutela che spesso non può essere garantita. Semplicemente non è più appropriato pensare che il reparto IT debba essere responsabile anche della sicurezza IT, né che tutti gli addetti IT siano anche esperti di sicurezza.

Ovviamente chi lavora nell’IT sa che sarebbe necessario cifrare le comunicazioni ove possibile, che è importante predisporre diversi diritti di accesso per gli utenti in base al dispositivo utilizzato, all’orario di accesso alle risorse aziendali, o al gruppo di appartenenza e sa che la sicurezza implica ben più che proteggere dati e risorse con una password, ma spesso dispone solo delle conoscenze fornitegli nel corso di laurea o attraverso precedenti tirocini o esperienze lavorative aspecifiche. Mentre l’esigenza di assicurare che le attività aziendali quotidiane non subiscano interruzioni per disservizi generici dei sistemi non varierà, la richiesta di protezione degli stessi sistemi contro attacchi esterni o interni e malware sempre più complessi è in costante aumento.

Eppure ciò che si richiedeva e si richiede tutt’oggi per il reparto IT sono persone in grado di realizzare e implementare progetti sostenibili e di provvedere alla loro manutenzione. Ma oggigiorno, qualsiasi pianificazione o gestione del parco installato dovrebbe prevedere il manifestarsi di un’emergenza legata al mondo della security. Una costante ancora troppo spesso sottovalutata e relegata a fattore secondario rispetto alle priorità quotidiane, specie se gli impiegati o gli alti dirigenti percepiscono le misure di sicurezza IT come un intralcio al loro lavoro.

La sfida per una corretta gestione della sicurezza IT è che il management renda accessibili strumenti intuitivi e conoscenze adeguate alle proprie risorse, svincolando l’IT dalla gestione della sicurezza. Ciò richiede l’adozione di soluzioni sviluppate appositamente per le aziende che forniscano un quadro d’insieme di tutta la rete e tutelino qualsiasi tipologia di client, consentendo nel contempo di prendere decisioni repentine in caso di necessità, una formazione continuativa e specifica dello staff IT esistente o l’ingaggio di specialisti esterni. Quest’ultima opzione può rivelarsi molto sensata per le società che non hanno la capacità di inquadrare nel proprio organico un esperto di sicurezza.

La nostra esperienza rivela che quando tutto ciò che riguarda la sicurezza viene promosso e sostenuto dal management, ottiene una valenza superiore rispetto a quella che avrebbe se un amministratore IT tentasse di proporre o promuovere lo stesso progetto. Eppure, a medio termine, vista anche l’imminente scadenza del GDPR, non esiste altra soluzione se non questa: le aziende e i fornitori di servizi IT dovranno considerare l’assunzione di specialisti di sicurezza IT o favorire la specializzazione del proprio personale. Questo sarà l’unico modo, di ottenere e implementare misure di sicurezza informatica “next gen” efficaci oltre che economicamente sostenibili nel tempo.