L’attuale contesto economico ha costretto i consigli di amministrazione delle aziende a dare priorità a investimenti che garantiscono profitti, portandoli a chiedersi come la loro azienda possa massimizzare la presenza nei mercati esistenti per raggiungere un maggior numero di clienti e come entrare in nuovi mercati con rapidità e successo. Tuttavia, troppo spesso un elevato investimento iniziale li frena; per molte aziende le barriere all’ingresso sono troppo poco allettanti senza avere garanzie di successo. Si tratta di un paradosso, perché sappiamo che, per sconfiggere la concorrenza, le aziende devono essere molto più agili e più pervasive (anche se solo nella mente dei clienti piuttosto che fisicamente), il che significa implementare rapidamente investimenti digitali e accettare rischi calcolati mentre l’azienda cerca di muoversi celermente. In questo contesto, dove si colloca il ruolo del CISO o del CIO? I loro ruoli non sono mai stati più difficili di quanto lo siano in questo momento. CISO e CIO devono garantire che gli investimenti tecnologici guidino gli obiettivi aziendali basati sui ricavi, concentrandosi maggiormente sul successo dei clienti piuttosto che sulla produttività informatica dei dipendenti. Qual è quindi il modo più efficace per coniugare le funzionalità tecnologiche con una mentalità aziendale più agile? Credo che si tratti di adottare un approccio fail-fast che sfrutti il cloud e una strategia Zero Trust Network Access (ZTNA).
Bilanciare rischi e ricavi: la nuova sfida per CISO e CIO
L’ingresso in nuovi mercati nazionali o l’espansione geografica all’interno di un mercato nazionale esistente richiedeva tradizionalmente investimenti iniziali per coprire nuove risorse, dal personale agli uffici, alle infrastrutture. In passato, questi piani di espansione venivano spesso accantonati, poiché molti consigli di amministrazione non riuscivano a giustificare il rischio finanziario senza essere in grado di prevedere la potenziale remuneratività: e se il nuovo mercato non accogliesse l’offerta fornita?
Il cloud ha reso le aziende finanziariamente più snelle. Eliminando l’ingombrante barriera di ingresso delle spese in conto capitale, le aziende possono affrontare le nuove ambizioni di espansione con più coraggio e proattività. Oggi le aziende hanno la possibilità di sperimentare in modo rapido e con spese generali ridotte.
Operando virtualmente, le aziende possono raggiungere un pubblico più vasto con il minor investimento possibile, per massimizzare i benefici sia per l’esperienza dei clienti che per i propri profitti. Ma c’è ancora una barriera che potrebbe far pendere la bilancia tra rischi e profitti verso il rischio: la sicurezza.
Spostare l’attenzione dalla rete all’utente
Quando i servizi di cloud-hosting sono entrati in scena, molte aziende si sono affrettate ad adottarli per tenere il passo con concorrenti più proattivi che già operavano in cloud. Ma, come ogni cosa nuova, la transizione è stata inizialmente complicata. Ha richiesto un enorme cambiamento di mentalità da parte dei responsabili dei data center, molti dei quali, ad esempio, hanno scelto di abbandonare le sedi fisiche in favore di infrastrutture basate sul cloud as a service (IaaS).
Spingendo ancora più in là i confini del vantaggio competitivo che le piattaforme IaaS offrono, abbiamo assistito all’adozione di massa da parte di CISO e CIO di processi come DevOps. In questo caso, i team di sviluppo e operazioni IT si sono riuniti in questo ambiente cloud unificato per lavorare in modo integrato e collaborativo, eliminando gran parte della complessità e dei ritardi riscontrati nelle loro precedenti configurazioni a compartimenti (silos).
Una disattenzione da parte di CISO e CIO in questo processo di innovazione del software è stata l’impossibilità dei test di sicurezza di tenere il passo, il che ha dato il via alla successiva evoluzione DevSecOps. Come suggerisce il nome, i team di sicurezza sono diventati parte integrante del ciclo di vita dello sviluppo del software, proteggendo l’infrastruttura cloud, i dati aziendali e le applicazioni aziendali distribuite nel cloud. Come nel caso DevOps, questo approccio collaborativo centralizzato contribuisce a ridurre la complessità operativa e gli attriti tra i vari team, per non parlare dei costi di sicurezza a posteriori.
Per quanto riguarda la rete, se un’azienda dispone di un’infrastruttura legacy, come può raggiungere l’agilità necessaria per rimanere competitiva in questo nuovo ambiente software-defined? In ultima analisi, si tratta di una semplificazione, che richiede ai team DevSecOps di considerare come integrare meglio un’altra parte compartimentata dell’azienda, ovvero la rete.
Tenendo presente quanto sopra, credo che la progressione naturale guidata da CISO e CIO sarà verso un approccio “DevNetSecOps”. In questo caso, dovremo rivalutare il ruolo della rete nella catena del valore del rilascio delle applicazioni, perché il modo migliore per proteggere le risorse virtuali dell’azienda non è costruire uno strato protettivo intorno alla rete stessa. La sicurezza legacy incentrata sulla rete consente ancora agli utenti di accedere alla rete e aggiunge un ulteriore livello di complessità alle operazioni aziendali che è controintuitivo rispetto all’agilità che si cerca di raggiungere.
All’aumento delle minacce di cybersecurity e alla crescita della superficie di attacco, le aziende più attente hanno risposto migrando da una sicurezza incentrata sulla rete a una sicurezza incentrata sull’utente, adottando l’approccio ZTNA. Utilizzando soluzioni di sicurezza Zero-Trust, il team DevNetSecOps può testare e rilasciare i processi in modo rapido e molto più sicuro. È inoltre grado di intervenire velocemente, con un rischio minore di violazioni della sicurezza. Rafforzando la sicurezza informatica, CISO e CIO possono essere molto più reattivi alla domanda del mercato, indipendentemente da quale sia il loro percorso, senza penalizzazione finanziaria se sbagliano. Questo team operativo semplificato e unificato può essere molto più intraprendente e aiutare l’azienda a diversificarsi più rapidamente.
Qualsiasi responsabile aziendale che sta cercando di entrare in nuove aree geografiche e mercati, deve chiedersi quanto sia veloce nel fare questo salto di qualità. Se la risposta è mesi e non giorni, forse è il momento di adottare l’approccio software-defined.
A cura di Martyn Ditchburn, Director of Transformation Strategy in Zscaler
