La cultura della resilienza informatica deve entrare necessariamente nei processi delle imprese manifatturiere che, con l’adozione del paradigma dell’Industria 4.0, hanno reso pervasive le tecnologie digitali nei processi di produzione, con vantaggi di efficienza e innovazione, ma aprendo anche nuove strade ai criminali informatici. La minaccia è concreta: nel 2022 i cyber-attacchi alla manifattura sono aumentati dell’87%, non solo mettendo a repentaglio l’attività operativa, ma rischiando di causare perdite finanziarie e di bloccare il funzionamento di infrastrutture critiche (come la rete elettrica) che possono determinare la vita o la morte delle persone (come in una sala operatoria). È quanto si legge in un contributo online firmato da Eric Enselme, Executive fellow del World economico forum (Wef), e da Mansur Abilkasimov, Vp Cybersecurity governance & strategy vice Ciso, Schneider Electric.
L’articolo esplora cinque principi essenziali per aiutare l’industria manifatturiera a sviluppare la cultura della cyber resilienza.
La cyber resilienza è imperativo aziendale: la supply chain
Una singola violazione informatica all’interno della catena di approvvigionamento può innescare interruzioni operative, perdite finanziarie, non conformità normativa e, sempre più, conseguenze fisiche. Pertanto, il primo passo è modificare mentalità e atteggiamenti, posizionando la resilienza informatica come una priorità aziendale abbracciata in tutta l’organizzazione della supply chain.
Il cambiamento culturale inizia al vertice, da tutti i manager dei diversi livelli della supply chain, integrando perfettamente questa focalizzazione sulla catena della fornitura nella cultura esistente, come la sicurezza delle persone o la qualità del prodotto.
Per farlo, dovranno prevedere campagne di formazione in modo che i dipendenti a tutti i livelli comprendano il loro ruolo nel mantenere la resilienza informatica come parte del loro lavoro quotidiano. Andrà anche integrata la sicurezza informatica nelle strutture di governance con politiche chiare, procedure concrete e monitoraggio continuo.
Migliorare le capacità informatiche: focus sulle competenze
Il panorama delle minacce è in continua evoluzione, con l’emergere di nuove tattiche che sfruttano la convergenza della tecnologia operativa (Ot), tradizionalmente isolata e spesso obsoleta, con la tecnologia dell’informazione (It), più connessa. Questa convergenza, unita alle vulnerabilità del prodotto e del sistema, crea una superficie di attacco più ampia.
Considerando quanto sia diventato fondamentale l’ecosistema It/Ot per consentire la realizzazione di vantaggi a lungo termine, è fondamentale per il manufacturing migliorare senza sosta le loro capacità di resilienza informatica e la governance associata.
Ciò inizia con l’assegnazione di risorse dedicate alla sicurezza informatica e prosegue con l’inventario proattivo delle risorse, l’aggiornamento dell’infrastruttura obsoleta, l’implementazione di politiche di sicurezza informatica, lo svolgimento di valutazioni regolari e la preparazione a rispondere agli incidenti e a gestire le crisi. Fondamentali i programmi di formazione continua per i dipendenti, che sono “la prima linea di difesa e un potenziale anello debole”.
Cybersicurezza by design. Anche nelle decisioni
La sicurezza informatica non deve essere allegata una volta completato un progetto, ma integrata fin dall’inizio, “by design” in ogni processo e sistema. Ciò significa trattare la sicurezza informatica come un requisito fondamentale nello sviluppo di nuovi prodotti, processi, sistemi e tecnologie.
La resilienza informatica dovrebbe essere integrata anche nei processi decisionali, diventando parte integrante della governance dell’azienda. Questo approccio proattivo promuove la sicurezza come una considerazione fondamentale fin dall’inizio piuttosto che una misura reattiva.
Collaborazione con l’ecosistema allargato
Man mano che il ritmo della digitalizzazione accelera, anche i profili di rischio si evolvono, richiedendo alle organizzazioni di attingere a una vasta gamma di competenze, sia interne che esterne.
Internamente questo significa un ruolo strategico per l’It, che deve collaborare con tutte le aree aziendali portando la sua esperienza nel navigare nel complesso panorama digitale e guidare una convergenza It/Ot sicura. Richiede inoltre la creazione e la preparazione di un pool di talenti informatici.
Esternamente occorre instaurare una forte collaborazione con fornitori, clienti, gruppi industriali e organizzazioni del settore pubblico sulle principali prassi per la mitigazione dei rischi, informazioni sulle minacce come nuove vulnerabilità, requisiti normativi per la postura e i prodotti, ecc.
Comunicare il cambiamento: lo storytelling della resilienza
La cyber sicurezza è tecnicamente complessa, ma le imprese dovrebbero cercare di abbracciare il principio della semplicità almeno nel modo di comunicare le cultura della resilienza, rendendo più accessibile e comprensibile la strategia della cyber resilienza e garantendo il coinvolgimento convinto dell’intera organizzazione.
Messaggistica e storytelling sono una via efficace per comunicare l’importanza della resilienza informatica in un linguaggio semplice, evitando gergo e tecnicismi e illustrando, nel concreto, le potenziali conseguenze degli attacchi informatici in termini riconoscibili. Alle persone andrà comunicato il cambio di mentalità inquadrandolo come un’opportunità di crescita e innovazione e incoraggiando i dipendenti a diventare campioni informatici con attività di gaming e formazione e premi per i comportamenti proattivi.
