Le aziende affrontano sfide sempre più complesse per proteggere i loro dati critici. L’edizione 2024 del "Report Cost of a Data Breach" di IBM, realizzato in collaborazione con il Ponemon Institute, fotografa il problema con un numero allarmante: il costo medio per violazione dati a livello globale si attesta ora a 4,88 milioni di dollari, pari a un incremento del 10% rispetto a 2023, il più alto mai registrato nella storia del report. In Italia, la cifra è pari a 4,37 milioni di euro, a fronte di violazioni - chiarisce l’indagine - “sempre più dannose e di un aumento delle richieste ai team di sicurezza”. Con la conseguenza che, nel nostro Paese, i costi delle violazioni rispetto al 2023 hanno subito un incremento del 23%, il più alto dai tempi della pandemia. Questa impennata evidenzia la necessità di strategie di sicurezza aziendale sempre più sofisticate, in grado di prevenire non solo le perdite finanziarie ma anche i danni reputazionali.
Dato questo scenario, il report IBM sottolinea l'importanza dell'intelligenza artificiale e dell'automazione, che in quattro aree cruciali della sicurezza (prevenzione, rilevamento, indagine e risposta) hanno dimostrato di saper portare a significativi risparmi sui costi. Le aziende che hanno adottato queste tecnologie hanno infatti risparmiato in media 2,22 milioni di dollari rispetto a quelle che non le hanno implementate, dimostrando l'efficacia delle soluzioni avanzate nella mitigazione dei rischi.
Tutte queste evidenze rendono palese l’importanza di adottare un approccio proattivo alla sicurezza. Un esempio di successo in questo ambito è rappresentato dall'intervento di Data Network Consulting (DNC) presso AVIO, nome noto del gruppo GE Aerospace. DNC vi ha svolto un ruolo cruciale nell'implementazione di una robusta strategia di sicurezza attraverso la Segregation of Duties (SoD), implementando un approccio che ha permesso di ridurre del 43% i rischi in capo agli utenti relativi a conflitti di processo, a dimostrazione evidente di come una gestione attenta e mirata possa trasformare la sicurezza da un mero obbligo a un vantaggio competitivo significativo.
L'Importanza della Segregation of Duties (SoD)
Il progetto ha preso il via quanto DNC, già coinvolta nei servizi di governance e sicurezza AMS per AVIO, è stata contattata per proporre una soluzione robusta e efficiente.
Ma facciamo un passo indietro. La SoD, va puntualizzato, è un concetto chiave per prevenire che un singolo individuo possa avere il controllo completo su tutte le fasi di un processo critico. “In un ambiente SAP, come quello di AVIO - spiega Alessandro Battocchio, Security Practice Leader di DNC -, ciò si traduce in una chiara definizione di ruoli e responsabilità per garantire che solo personale qualificato possa svolgere attività sensibili. Questo riduce il rischio di azioni unilaterali che potrebbero avere conseguenze negative significative per l’azienda”.
DNC ha affrontato il problema delineando una strategia che prevedeva l'analisi e la riduzione dei rischi legati ai processi conflittuali. "Siamo partiti con tre attività parallele: il rifacimento dei ruoli per ridurre i rischi SoD, l'analisi globale delle autorizzazioni assegnate alle utenze attive a sistema e lo storico delle transazioni utilizzate”, chiarisce Battocchio. Il focus iniziale è stato posto sul Dipartimento Finance, noto per essere particolarmente vulnerabile ai rischi SoD.
Un approccio agile e mirato alla Security
In collaborazione con i responsabili dell'area Finance di AVIO, DNC ha adottato un approccio progettuale agile. Il progetto è stato suddiviso in tre “Wave", ognuna delle quali coinvolgeva un terzo dei team Finance. Questa suddivisione ha permesso di condurre analisi dettagliate sulle abilitazioni effettivamente necessarie rispetto a quelle effettivamente utilizzate dai dipendenti. "Abbiamo in pratica ‘fatto pulizia’ mantenendo solo le autorizzazioni necessarie”, ricorda Battocchio.
Il processo di analisi ha rivelato che molte abilitazioni erano più ampie di quanto necessario, un problema comune nelle grandi organizzazioni. DNC ha quindi lavorato per ottimizzare queste autorizzazioni, discutendo e convalidando i pacchetti autorizzativi prima di implementarli. Questo percorso è stato fondamentale per arrivare a ridurre i rischi SoD in modo sostanziale, -43% secondo i KPI analizzati, garantendo al contempo un funzionamento continuo e senza interruzioni delle operazioni quotidiane.
Risultati tangibili e futuri sviluppi
I risultati del progetto sono stati notevoli. Non solo è stato ridotto il rischio complessivo, ma anche semplificata la gestione delle richieste di autorizzazione da parte degli utenti. "Quando una persona entra in azienda, le deve essere creato un account contenente le autorizzazioni necessarie per la sua operatività - puntualizza ancora Battocchio -. Noi abbiamo ridotto il numero delle etichette (ovvero i pacchetti autorizzativi selezionabili) da 715 a 23 per il dipartimento Finance, mettendo in atto una razionalizzazione che ha migliorato notevolmente l'efficienza operativa, eliminando autorizzazioni obsolete e semplificando i processi decisionali. Anche la user-experience in fase di compilazione di richiesta è notevolmente migliorata, in quanto le persone richiedono un solo pacchetto autorizzativo coerente con la posizione lavorativa ricoperta
Dopo il successo nel dipartimento Finance, DNC sta ora procedendo con l'implementazione della stessa metodologia nel settore della Supply Chain di AVIO. Questo passo successivo coinvolgerà team sparsi in tutto il mondo, con l'obiettivo di estendere le best practice di Security a tutta l'organizzazione. "Non lavoriamo più per singolo dipartimento ma affrontiamo tutta la divisione con un approccio più “geografico”, coinvolgendo i responsabili di Divisione" afferma Battocchio.
Supporto continuo grazie al FUAR
Una delle innovazioni chiave del progetto è stata la sua invisibilità per gli utenti finali. "La novità è stata invisibile: questo era il nostro goal," dice il responsabile del dipartimento Security. E grazie a un continuo processo di rivalidazione delle autorizzazioni (FUAR), DNC è riuscita a mantenere le utenze pulite e aggiornate, evitando l'accumulo di autorizzazioni obsolete che spesso complicano la gestione della sicurezza.
Questo approccio ha permesso a DNC di creare un sistema sostenibile che riduce i picchi di impegno e garantisce un supporto costante e mirato. Con un team di 18 pacchetti autorizzativi per 18 team, DNC ha quindi semplificato il processo decisionale per l'aggiunta di nuove autorizzazioni, valutando sempre l'eventuale creazione di rischi SoD prima di implementarle. "Se una nuova richiesta di autorizzazione crea rischi, il responsabile decide se procedere," chiarisce Battocchio. E il caso si chiude senza conseguenze sul resto dell’area operativa.
Security, da semplice obbligo a vantaggio competitivo
Il progetto di DNC per AVIO rappresenta un esempio virtuoso di come un'azienda possa affrontare le sfide della security in un contesto complesso e dinamico. “Grazie a un approccio metodico e alla stretta collaborazione con il cliente, siamo riusciti a implementare con successo un sistema di sicurezza efficace, riducendo significativamente i rischi e migliorando l'efficienza operativa”, conclude Battocchio.
Il suo team di consulenti ha infatti dimostrato che, con le giuste strategie e tecnologie, è possibile trasformare la gestione della security da un semplice obbligo a un vantaggio competitivo per l’azienda. E guardare al contempo la Segregation of Duties non solo come un requisito normativo, ma come un pilastro fondamentale per la protezione dei dati e delle operazioni critiche, garantendo così la resilienza e la sostenibilità dell’impresa nel suo complesso.
