CONTRIBUTO a cura di Johan Van Der Biest, deputy head, Thematic Equity e Felix Demaeght, Equity research analyst di Candriam. Contenuto sponsorizzato da Candriam.
Non sono molte le aziende consolidate che non considerano la trasformazione digitale come una delle loro priorità principali. E sebbene non vi sia ancora un accordo universale su cosa comporti esattamente, essa è ampiamente considerata alla stregua di un megatrend. Inoltre, poiché i lockdown dovuti al COVID-19 hanno spinto i dipendenti a lavorare da casa, la trasformazione digitale è diventata un megatrend in rapida accelerazione.
Un elemento chiave della trasformazione digitale in corso sarà un cambio di paradigma da un'architettura IT centralizzata "in loco" a una distribuita, basata sul cloud. Questo cambiamento è ancora nelle fasi iniziali, ma prevediamo che si estenda alla maggior parte dei settori, delle aree geografiche e delle industrie. Non si tratta solo di cambiare il modo in cui le aziende collegano i propri dipendenti alle risorse informatiche interne, a Internet e alle varie applicazioni. Si tratterà anche di sicurezza informatica, un aspetto che oggi è più importante che mai.
Sicurezza informatica e criteri ESG
La sicurezza informatica ha un impatto diretto e significativo sulla sicurezza ambientale, sui rapporti con i partner e sulla protezione dei dati sensibili, oltre che dei dipendenti1. Tutto ciò ha importanti implicazioni sugli aspetti sociali e di governance delle attività aziendali, nonché sul profilo di sostenibilità delle imprese.
"Il livello di coinvolgimento della dirigenza sulla sicurezza informatica può essere una buona cartina di tornasole rispetto all'efficacia dell'approccio di un'azienda al rischio informatico", hanno sottolineato i Principi per gli Investimenti Responsabili (PRI), tra i principali sostenitori mondiali dell'investimento responsabile. Oltre agli aspetti di governance della sicurezza informatica, esistono anche aspetti sociali, che includono la sicurezza relativa alla raccolta, alla conservazione e all'utilizzo di dati sensibili, riservati o esclusivi dei clienti.
Ciò ha portato molte aziende a includere aggiornamenti sugli aspetti ESG della loro resilienza in termini di sicurezza informatica all'interno dei report annuali sulla sostenibilità. Sebbene si tratti di uno sviluppo positivo, dobbiamo dire che le aziende tendono a personalizzare le metriche che riportano2 perché non esistono ancora requisiti di segnalazione standard in questo settore.
Cosa è cambiato?
Solo pochi anni fa, le reti aziendali dovevano facilitare l'accesso e fornire sicurezza per le connessioni principalmente associate ai computer dell'ufficio dei dipendenti. Nelle rare occasioni in cui i dipendenti richiedevano l'accesso remoto, veniva utilizzata un'applicazione di tipo VPN (virtual private network, rete privata virtuale).
La principale caratteristica di sicurezza di tali reti centralizzate è un perimetro (firewall) progettato per schermare sia il traffico in entrata che in uscita.
Tuttavia, i lockdown e le restrizioni legati alla pandemia di COVID-19 hanno reso il lavoro a distanza una necessità, per la quale la vecchia infrastruttura IT centralizzata non era progettata. I suoi limiti sono stati toccati con mano, dato che le aziende si sono ritrovate con migliaia di dipendenti (in alcuni casi) che accedevano in remoto da altrettante posizioni, utilizzando in alcuni casi laptop e tablet probabilmente non sicuri. I dipendenti hanno abbandonato i PC dell'ufficio e, in questo modo, le vulnerabilità del sistema e i potenziali punti di accesso per gli hacker si sono ampliati ben oltre il vecchio e familiare "firewall".
Un raggio di sole fra le nubi
L'infrastruttura informatica basata sul cloud è da tempo un'ovvia alternativa al tradizionale modello centralizzato, ma la pandemia l'ha portata alla ribalta. Ci aspettiamo quindi un'accelerazione della generale migrazione al cloud già in corso.
L'emergere di diversi fornitori di servizi cloud, come AWS, Microsoft Azure e GCP, ha contribuito a creare una nuova e più ampia visione dell'infrastruttura IT. In passato, hardware e software come server e database dovevano essere acquisiti e gestiti dalle stesse aziende. Oggi l'infrastruttura IT può essere esternalizzata come "IaaS" (Infrastructure-as-a-service3), insieme a tutte le applicazioni e i software necessari (SaaS, Software-as-a-Service4). Queste nuove opzioni di servizio hanno suscitato un forte interesse da parte di molte società quotate, fino al punto che oggi un'azienda media utilizza oltre 100 applicazioni SaaS.
L'emergere del cloud offre alle aziende il tipo di flessibilità e scalabilità che prima non avevano. Offre anche un diverso tipo di sicurezza. La sicurezza basata su un perimetro centrale ha consentito agli utenti autorizzati di accedere praticamente a tutto su una determinata rete. Chiaramente, una richiesta di connessione proveniente dall'esterno dell'organizzazione e del suo perimetro di sicurezza costituirebbe un rischio significativo. Ecco perché oggi la sicurezza informatica è molto più incentrata sul concetto di "Zero Trust". Ogni richiesta di un utente noto di accesso a un servizio, come Salesforce, Office 365 o Zoom, viene convalidata separatamente e la connessione con quel servizio viene nuovamente interrotta una volta che l'utente chiude l'applicazione. In questo modo, l'accesso è consentito solo alle applicazioni che l'utente deve utilizzare e non è permesso alcun movimento laterale intorno alla rete.
Man mano che le aziende aggiornano e sviluppano il loro approccio alla sicurezza informatica, vengono aiutate dai vantaggi associati al riconoscimento delle credenziali ESG, nonché alla necessità di cambiamento derivante dal nuovo ambiente di lavoro. Intraprendere quello che chiamiamo "passaggio al Cloud" e rafforzare la sicurezza informatica permetterà alle aziende di ottenere vantaggi diversi e a lungo termine. Trattandosi di un aspetto positivo della crisi legata al COVID-19, siamo fortemente convinti che queste tendenze resteranno predominanti anche nel prossimo futuro.
Il nostro team sfrutta la propria esperienza nell'ambito delle tecnologie innovative, della trasformazione digitale e della sicurezza informatica per seguire da vicino un'ampia gamma di sviluppi in corso e prende di mira le aziende in grado di beneficiare dall'accelerazione dei trend di mercato in questi campi.
1https://www.darkreading.com/risk/new-report-links-cybersecurity-and-sustainability
2https://thestack.technology/cybersecurity-esg-reporting/
