La trasformazione digitale sta modificando, oltre ai modelli di business e ai processi, anche il modo in cui viene gestita la cybersecurity, soprattutto nelle imprese decentralizzate, con conseguenti complicazioni a carico del controllo sui rischi cyber, dato che il modello di sicurezza basato su difese statiche e perimetrali appare ormai obsoleto.

Per fronteggiare la situazione Stormshield suggerisce un ritorno a una governance del rischio centralizzata ma flessibile, che possa fornire linee guida uniformi e supportare le decisioni locali. La creazione di comitati o team dedicati alla governance, rischio e compliance è indicata come soluzione per definire policy condivise e processi che consentano ai responsabili locali di operare con criteri comuni, in modo da mantenere un equilibrio tra autonomia e controllo centralizzato.

Tra i fattori chiave per rafforzare la postura di sicurezza in questo contesto, il vendor sottolinea la necessità di una valutazione olistica e continua del rischio, con una responsabilità delegata ai team locali, ma guidata da direttive centrali. Così facendo è possibile aggiornare costantemente i profili di rischio e individuare vulnerabilità legate a nuovi processi o tecnologie. Il secondo ingrediente importante riguarda l’automazione e l’orchestrazione dei processi di sicurezza: è ormai chiaro che occorrono strumenti automatizzati per rilevare le minacce alla velocità con cui vengono generate e permettere una risposta tempestiva. A questo proposito è consigliabile l’adozione dell’approccio Zero-Trust, con una rigorosa gestione degli accessi e segmentazione della rete.

Terzo elemento è ovviamente la formazione continua del personale per aumentare la consapevolezza delle minacce e fare che le persone diventino una prima linea di difesa, soprattutto nel momento in cui sono chiamate a gestire autonomamente tecnologie e applicazioni. Ultimo ma non meno importante passaggio è la definizione delle priorità e l’integrazione della governance nei processi di pianificazione, che servono per sincerarsi che l’introduzione decentralizzata di nuove tecnologie non comporti rischi incontrollati.