Con patrimoni di dati sempre più vasti e un numero crescente di fornitori esterni, molte organizzazioni faticano a tenere tutto sotto controllo, lasciando involontariamente delle vulnerabilità che i criminali informatici possono sfruttare. Ma con così tante criticità da affrontare, da dove iniziare?
La risposta, anche se può sembrare scomoda, è partire dal basso. Con la scala attuale dei dati e delle reti di fornitori, un approccio frammentario rischia solo di peggiorare la situazione. Piuttosto che reagire in maniera reattiva a minacce e cambiamenti normativi, le aziende devono adottare una visione olistica della resilienza dei dati, altrimenti le lacune continueranno a moltiplicarsi.
Le difficoltà dovute alla crescita dei dati
Dopotutto, non si può proteggere ciò che non si conosce. Per le aziende che vogliono gestire al meglio i propri patrimoni di dati, la priorità è avere una visione completa e accurata dell’intero ecosistema.
I dati stanno crescendo a ritmo esponenziale. Nel 2010 l’intero universo digitale ammontava a soli 2 zettabyte, mentre nel 2024 ne sono stati generati 147. I dati aziendali rappresentano una quota enorme di questa crescita, esplosa nell’ultimo decennio. Con l’intelligenza artificiale ormai parte integrante dei processi aziendali, questa tendenza non farà che accelerare ulteriormente: si prevede che il mercato della gestione dei dati aziendali raddoppierà nei prossimi anni, passando da circa 111 miliardi di dollari nel 2025 a 243 miliardi entro il 2032. In altre parole, se le organizzazioni non agiranno subito, rischiano di restare irrimediabilmente indietro.
Per molte aziende, l’arrivo dell’intelligenza artificiale ha comportato più di qualche modifica improvvisata alla gestione dei dati, al loro modo di essere archiviati e agli strumenti utilizzati. La velocità con cui la tecnologia è stata adottata ha spesso portato a cambiamenti applicati ai patrimoni informativi senza procedure completamente strutturate. Involontariamente, questo ha generato silos interni: i diversi dipartimenti utilizzano l’IA in modi differenti, lasciando vaste porzioni di dati fuori dal controllo centrale dell’organizzazione. Le aziende possono pensare di avere tutto sotto controllo, ma la realtà è che manca una visione completa.
Dopotutto, non serve a molto introdurre nuove pratiche di gestione del rischio se si ignorano ampie parti del patrimonio IT o interi componenti dello stack tecnologico, solo perché non si sa che esistono.
Dentro il cuore dei dati
Purtroppo, la crescita incontrollata dei dati aziendali non riguarda solo lo stack tecnologico gestito internamente. Per comprendere davvero i patrimoni di dati, è necessario considerare anche le soluzioni di terze parti. Una ricerca della Cyber Risk Alliance rileva che, in media, un’organizzazione si affida a 88 fornitori IT esterni, utilizzando spesso le loro soluzioni in modo totale. Il problema? Molte di queste soluzioni funzionano come “scatole nere”, offrendo scarsa o nulla trasparenza, sia sui dati conservati sia sulle modalità con cui vengono garantite la resilienza e la sicurezza dei dati stessi.
I fornitori esterni vengono spesso chiamati in causa proprio per questo: alleggerire la pressione sulle organizzazioni fornendo le loro soluzioni. Il problema è che questo porta spesso a concentrarsi più sul risultato finale che sull’infrastruttura che lo supporta. Molte aziende danno per scontato che i fornitori coprano tutto ciò di cui hanno bisogno, ma senza un modello chiaro di responsabilità condivisa (Shared Responsibility Model), rischiano di generare involontariamente vuoti significativi nella resilienza dei dati.
Regolamenti come la NIS2 e il DORA dell’UE sottolineano chiaramente l’importanza della gestione dei rischi sui dati affidati a fornitori terzi. Per questo, le aziende devono valutare con attenzione come i loro partner stanno effettivamente fornendo le soluzioni.
La regolamentazione è insufficiente?
Nonostante l’introduzione di normative in tutto il mondo per rafforzare la resilienza dei dati, uno studio di McKinsey sulle grandi imprese mostra che molte aziende restano ancora indietro. Circa il 30% delle organizzazioni si considera più resiliente di quanto non sia in realtà, e questa discrepanza nasce principalmente dalla scarsa consapevolezza della vastità dei propri patrimoni di dati e dei fornitori terzi coinvolti.
Anche quando le aziende rispettano le normative, i fornitori esterni e quegli angoli meno visibili dei patrimoni di dati restano spesso fuori dal controllo, generando lacune significative nella resilienza dei dati. Il problema non è tanto che le regolamentazioni siano carenti, quanto che le organizzazioni non hanno mai analizzato a fondo i loro patrimoni di dati e i fornitori terzi. In altre parole: non si può proteggere ciò che non si conosce.
Prendiamo il DORA dell’UE come esempio. Destinato in particolare alle organizzazioni del settore finanziario, il regolamento richiede di prestare maggiore attenzione alla resilienza dei dati dei fornitori esterni. Eppure, il 34% delle aziende ha indicato proprio questo punto come il più difficile da applicare, probabilmente perché la dimensione delle proprie reti di fornitori era fino ad allora poco conosciuta. Sei mesi dopo l’entrata in vigore, il 96% delle organizzazioni EMEA ritiene ancora che la resilienza dei dati debba essere rafforzata, dimostrando quanto questa normativa abbia rappresentato un vero “reality check”.
Partire dal basso per rafforzare la resilienza
Cosa fare, dunque? Invece di aspettare che un attore malevolo approfitti di una lacuna, di un punto cieco o di una backdoor, le organizzazioni devono scoprirli e chiuderli. Non si tratta di un compito facile, ma è essenziale per correggere le debolezze nella resilienza dei dati. Il processo deve includere valutazioni approfondite non solo delle misure interne, ma anche di quelle dei fornitori, per individuare vulnerabilità e dipendenze. Punti deboli nella supply chain dei terzi, silos di dati nascosti e altre lacune devono essere identificati e risolti prima che possano essere sfruttati.
Non c’è dubbio, si tratta di un compito ampio e complesso che non può essere svolto da soli. Valutare e migliorare la resilienza dei dati su questa scala richiede collaborazione non solo all’interno dell’azienda, ma anche con i fornitori terzi. Come per qualsiasi iniziativa di questa dimensione e complessità, avere un framework adeguato fa tutta la differenza. Ad esempio, il Data Resilience Maturity Model è uno standard di settore neutrale rispetto ai fornitori, che include un’autovalutazione approfondita e un framework per costruire un piano volto a rafforzare la resilienza nel tempo. Seguendo l’approccio trasversale previsto da modelli di questo tipo, le organizzazioni possono costruire un piano per migliorare la resilienza dei dati, integrando i team IT, sicurezza e compliance, così da garantire che tutte le aree del patrimonio dati e della rete di fornitori terzi siano coperte.
È essenziale che, una volta implementate le nuove misure, le organizzazioni continuino a testarle costantemente. Migliorare la resilienza dei dati non è un’operazione “una tantum”: è un ciclo continuo di apprendimento e adattamento alle nuove minacce. I test regolari e completi possono sembrare un fastidio, ma sono nulla rispetto alle conseguenze di un attacco reale.
Come recita il detto, quando una porta si chiude, un’altra si apre. L’importante è assicurarsi che queste porte nonrestino spalancate per i criminali informatici.
