Elmec trasforma la sicurezza IT italiana in una strategia di formazione, resilienza e servizi gestiti, aiutando imprese a vincere la sfida globale contro gli attacchi digitali.
Autore: Redazione SecurityOpenLab
Formazione interna continua, dialogo cross-settoriale, governance nazionale e internazionale, in cui la Business Unit di CybergON ricopre un ruolo centrale per la detection avanzata e l’assessment della postura di sicurezza, sono gli elementi chiave su cui fa perno la strategia di Elmec Informatica. Parliamo di una realtà della provincia di Varese che è attiva sul mercato IT da oltre 50 anni, e che oggi dà lavoro a circa 1.200 dipendenti, di cui 650 tecnici certificati e specializzati.
All’interno del Demolab in cui i clienti possono testare tecnologie, soluzioni, software e servizi, i manager hanno ospitato la stampa per un aggiornamento sulle strategie in costante adattamento che Elmec segue per anticipare e soddisfare le necessità dei clienti. “La sicurezza è centrale in tutto quello che facciamo dagli utenti fino al data center, passando per cloud, intelligenza artificiale, Internet of Things e fabbrica” spiega l’Amministratore Delegato Alessandro Ballerio, “perché i nostri clienti affidano a Elmec la gestione delle loro infrastrutture. Investire solo in datacenter certificati non basta, bisogna tutelare tutto, inclusa la parte più esposta che sono gli utenti e i device. Ecco perché il nostro punto di forza è CybergON, che è protagonista delle attività di detection avanzata e assessment della postura di sicurezza dei clienti”.
Secondo la visione dell’AD, la cybersecurity aziendale fonda su tre pilastri: prevenzione tramite tecnologie e processi, detection centralizzata attraverso il SOC, e moltissimo lavoro sulla business continuity. A tale proposito Ballerio ricorda che “piani di disaster recovery e backup devono garantire che, anche dopo un attacco che paralizza l’azienda, sia possibile ripartire. La differenza oggi non la fanno le soluzioni IT, ma la capacità di offrire percorsi di resilienza testati internamente e portati al cliente come esperienza concreta”.
L’AD prosegue sottolineando che “oggi è molto più probabile che un’azienda venga messa in ginocchio da un attacco informatico piuttosto che da un disastro naturale. Il nostro ruolo è preparare i clienti a ripartire anche quando la protezione preventiva e il rilevamento non bastano”. C’è quindi una forte cultura della sicurezza in Elmec, che parte proprio dall’interno, con una formazione per esperienza diretta e per competenza trasversale, come evidenzia il Chief Information Security Officer e responsabile CybergON Emanuele Filadelfio: “in Elmec c’è un team end-to-end nel senso letterale del termine: gestisce incidenti, supporta clienti che chiamano in emergenza, crea piani di rilancio del business. Sono questi elementi – fra gli altri – che fanno la differenza tra una security statica, fatta solo di regole e alert, e una adaptive defense che aggiorna processi, infrastruttura e network in funzione delle evoluzioni rapide del mercato e delle minacce. Siamo in grado di chiudere il 75% delle vulnerabilità entro l’anno, mentre i clienti che lavorano da soli, senza una governance trasversale, non vanno oltre il 40-45%”.
Quest’ultimo dato non deve far credere che il lavoro di CybergON si limiti a implementare patch e aggiornamenti: “c’è una sinergia cross-team che fa agire in modo coordinato chi fa detection e chi interviene dal lato operation, testando più soluzioni in tempi brevi e garantendo un controllo capillare” spiega Filadelfio.
Sopra si è accennato al phishing e alla protezione degli utenti. Filadelfio ha messo l’accento su questi aspetti sottolineando che “il fattore umano è sempre la prima vulnerabilità. Anche se a seguito delle campagne di formazione e di phishing simulato che abbiamo portato avanti il numero di clic su link malevoli è sceso del 50%, è impossibile azzerare del tutto il rischio”. Da qui l’idea di non limitarsi a corsi standard, ma di offrire esperienze formative che portino valore anche nella vita privata degli utenti, coinvolgendoli attivamente e rafforzando una vera cultura della resilienza”.
Elmec stessa dà il buon esempio: Elisa Bisceglia, Direttrice Fiducia e Sostenibilità di Elmec, ha sottolineato come la formazione interna sia un fiore all’occhiello di Elmec: “chiunque entri in Elmec affronta un processo di onboarding tecnico e pratico rispetto al lavoro per il quale è stato assunto, legato sia alle soft skill sia al senso di appartenenza aziendale molto spinto”. I dipendenti sono spesso volonterosi di espandere le proprie conoscenze anche senza incentivi, tanto che “i ragazzi fanno tantissime certificazioni (1840 ottenute solo nel 2024) e hanno anche dei contest interni in cui ambiscono ad essere i primi ad aver fatto più formazione durante l’anno, spesso senza alcun premio.
L’investimento di Elmec in formazione è notevole: Bisceglia parla di oltre 29.000 ore di formazione erogate, e una forte contaminazione fra tecnico e commerciale per “far crescere i team non come compartimenti stagni, ma come una comunità interna in cui contaminazione di competenze e talenti è la regola, sia tra tecnici che tra commerciali e nuove generazioni.
Lo stesso approccio si espande all’esterno: Elmec ha organizzato “quattro summit in meno di un anno, in cui ha proposto più di 120 workshop, con oltre 1200 partecipanti” ha sottolineato Bisceglia, precisando che “Elmec considera il tempo dei clienti come il vero valore aggiunto: la qualità dei workshop e delle attività di formazione dev’essere percepita come investimento sia professionale sia personale”.
Il valore attribuito allo human factor trova riscontro poi nel modello di identity management di Elmec: “la gestione delle identità e degli accessi viene sempre prima della protezione del dato. Zero Trust, MFA e sistemi centralizzati sono must-have, ma non bastano da soli,” spiega Leonardo Anastasia, Center of Excellence Manager di Elmec. “La nostra consulenza parte sempre dalla mappatura degli asset e delle utenze; solo così si costruisce una roadmap di trasformazione che protegge davvero il business e la reputazione aziendale”.
La sicurezza fisica e logica è la base anche del datacenter Elmec, come specifica Ilario Brambilla, Responsabile Datacenter Elmec: “applichiamo logiche di security by default e by design, continui patching, segregazione della rete. Il data center è dotato da sempre di un livello di centralizzato di sicurezza IPS e anti DDoS che permette di analizzare il traffico e prevenire eventuali attacchi. Disponiamo poi di un gruppo ISM che ci permette di essere pronti in caso di incidente”.
Quando si parla di integrazione fra sicurezza e automazione nei processi non si può tralasciare il DevSecOps, chiamato in causa da Matteo Ghiringhelli, Responsabile Innovation Research di Elmec: “non si può pensare di sviluppare software da zero: le librerie e i tool automatizzati sono essenziali, così come il controllo costante dello stato del software e degli aggiornamenti. L’intelligenza artificiale serve sia come assistente per review e test automatici, ma anche come secondo livello di supervisione sul ciclo di vita del codice e sui processi documentali”.
DevOps è un esempio dei casi in cui la sicurezza è fondante, ma non è l’unico. Per esempio, un altro ambito in cui i rischi si moltiplicano è il passaggio legato alle fusioni/acquisizioni chiamato in causa da Anastasia: “durante le operazioni di M&A, i decision maker tendono a focalizzarsi quasi esclusivamente su questioni di integrazione dei sistemi ERP e dei dati, lasciando spesso in secondo piano il tema della sicurezza. Eppure, proprio la security diventa cruciale: le differenze normative tra regolamenti come il GDPR europeo e le giurisdizioni extraeuropee generano vuoti pericolosi. Inoltre, la mancanza di una mappatura completa degli asset digitali introdotti dalla realtà acquisita rischia di esporre l’organizzazione a vulnerabilità latenti e costi occulti che possono perdurare per anni”. Da qui l’approccio di Elmec che si fonda su assessment rigorosi e particolareggiati, sulla verifica delle identità e della gestione degli accessi.