La Strategia Cyber di Inarcassa: Innovazione e Resilienza Digitale
Introduzione
Nel contesto globale la sicurezza informatica non è più solo una materia squisitamente “tecnica”, ma una priorità aziendale strategica. Il World Economic Forum Global Risks Report 2025 colloca i cyber attacchi tra le prime cinque minacce per la stabilità economica e sociale. In Italia, secondo il Rapporto Clusit 2024, gli incidenti informatici sono cresciuti del 23% in un solo anno. Gli enti previdenziali e assistenziali sono custodi di dati sensibili e possono essere un obiettivo privilegiato. Lo smart working ha ampliato la “superficie d’attacco” estendendosi fino alle connessioni Internet delle nostre case aprendo nuovi scenari di rischio.
Inarcassa ha scelto di affrontare questa sfida trasformandola in un’opportunità: garantire continuità, rafforzare la fiducia degli Associati e consolidare la propria reputazione. Un passo fondamentale in questo percorso è stato l’ottenimento della certificazione allo standard ISO/IEC 27001:2022 a marzo 2025, standard di riferimento per la sicurezza delle informazioni.
Il percorso di Inarcassa
Il primo passo è stato realizzare nella seconda metà del 2021 un assessment approfondito sul livello di maturità di Inarcassa in ambito Cyber, utilizzando come riferimento un framework opportunamente adattato alle specificità di Inarcassa (figura 1).
Sulla base delle rilevazioni ottenute è stata definita una strategia di intervento pluriennale (2022-2025) finalizzata alla determinazione degli obiettivi di breve, medio e lungo periodo, la scelta dei criteri di azione e l’allocazione delle risorse necessarie alla realizzazione degli obiettivi prefissati.
Il piano prevedeva 30 iniziative di varia natura che spaziavano da quelle di carattere organizzativo a quelle più prettamente tecnologiche. Il piano è stato approvato dal Consiglio di Amministrazione nei primi mesi del 2022, evidenziando la sensibilità della leadership rispetto alla tematica della sicurezza informatica.
Le 30 iniziative sono state distribuite su un piano cartesiano dove l’ascissa rappresenta il grado di difficoltà dell’implementazione (complesso, intermedio, semplice) e l’ordinata il beneficio atteso (basso, medio, alto). Questo ci ha permesso di suddividere le iniziative in tre cluster:
a) progetti primari;
b) progetti secondari;
c) “quick win” (iniziative a basso costo con elevato beneficio).
Il primo anno è subito stato ricco di iniziative. Una delle prime è stata la reingegnerizzazione del sistema di backup cambiando tecnologia e prevedendo repliche dei dati in ambiente cloud volte ad aumentare la resilienza dei dati.
È stato utilizzato il sistema di ticketing interno per la gestione strutturata e ottimizzata dei processi e delle comunicazioni relativi al change management, patch management e incident management.
È stato introdotto un sistema di Endpoint Detection & Response (EDR) per il monitoraggio di sicurezza delle postazioni di lavoro e dell’infrastruttura del Data Center. Con questa iniziativa è stato attivato un modello Managed Service che è una modalità di erogazione dei servizi di sicurezza fatta da provider altamente specializzati, estesa nel 2023 con l’attivazione di un Security Operations Center (SOC).
Per la formazione interna in ambito sicurezza e privacy è stata utilizzata una piattaforma di e-learning composta da moduli formativi, seguiti da veri e propri test a risposta multipla. Alla formazione sono state affiancate delle campagne di simulazione di attacchi perpetrati via posta elettronica (phishing).
Il piano di formazione ha avuto ottimi risultati sia in termini di perseguimento degli obiettivi formativi sia in termini dell’aumento della consapevolezza cyber (security awareness) da parte di tutti e a tutti i livelli.
Si riporta nella figura 2. il grafico che mostra la riduzione del rischio in base al successo delle campagne di phishing svolte negli ultimi tre anni.
Nel 2023, all’interno della funzione Sistemi Informativi, è stato formalmente istituito l’Ufficio Sicurezza Informatica.
Sempre nel 2023 è stato attivato un SOC (Security Operation Center) come servizio gestito per far fronte, con l’aiuto di professionisti della sicurezza, a eventuali attacchi informatici in modalità H24, a supporto degli specialisti interni.
Sono stati definiti dei piani di test e verifica della postura di sicurezza sia dell’infrastruttura (penetration test) che delle applicazioni (SAST/DAST) in modo da garantirne e verificarne il livello di sicurezza e dando supporto ai team di sviluppo nel rispetto delle pratiche di sviluppo sicuro del codice e nelle azioni di rimedio possibili.
Nel 2023 è stata, inoltre, estesa la crittografia dei dati adottando un sistema di gestione delle chiavi crittografiche in modo da disgiungere il dato crittografato e la relativa chiave di decrittazione. Inoltre, la crittografia è stata estesa anche ai computer portatili dei dipendenti per evitare perdita di dati in caso di furto o perdita dell’asset.
Nel 2024 è stato affrontato il tema del governo delle identità, realizzando un sistema di Identity Governace & Administration (IGA) – attualmente in collaudo – e parallelamente, un sistema per aumentare la sicurezza e il controllo delle utenze privilegiate, come ad esempio le utenze amministrative (sistema PAM - Priviledge Access Management).
Oltre a quelle riportate, sono state svolte altre iniziative rilevanti che non vengono riportate per brevità.
Questo insieme di iniziative, complesse sia da un punto di vista tecnologico che organizzativo, hanno portato nel corso degli anni a due principali risultati.
Il primo importante risultato è stato quello di migliorare sensibilmente il livello di maturità di Inarcassa nell’ambito Cyber. La misurazione viene effettuata ogni anno e i risultati condivisi con la Governance. In Figura 3 si riporta la rappresentazione grafica di come è migliorato il livello di maturità nel corso degli anni, prendendo il 2025 come anno di riferimento per il livello target da raggiungere.
Il secondo importante risultato è stata la certificazione di Inarcassa allo standard ISO/IEC 27001:2022. L’iter certificativo si svolge in due fasi in cui gli auditor valutano:
1) la completezza della documentazione del sistema di gestione (Stage 1);
2) la verifica sul campo dell’effettiva implementazione di cosa indicato nella documentazione (Stage 2).
Il primo e il secondo stage sono stati eseguiti tra il 13 dicembre 2024 e il 19 febbraio 2025. Entrambi gli stage sono stati superati con successo e a marzo è stato rilasciato a Inarcassa l’attestato di certificazione pubblicato in una apposita sezione del sito istituzionale Inarcassa (https://www.inarcassa.it/chi-siamo/ sicurezza-delle-informazioni-iso-27001) e verificabile sul sito dell’Ente Italiano di Certificazione ACCREDIA.
La certificazione non è un punto di arrivo, ma una base solida su cui costruire miglioramenti continui, e attesta che i processi di Inarcassa rispettino i più elevati standard internazionali.
La visione per il futuro
La strategia cyber di Inarcassa è un esempio concreto di come un Ente possa affrontare le sfide digitali globali con un approccio proattivo e lungimirante. Il lavoro congiunto dei Sistemi Informativi, il supporto della Governance e di tutti i colleghi Inarcassa coinvolti, ha permesso di tradurre obiettivi complessi in risultati tangibili.
Per gli Associati, ciò significa maggiore tutela dei propri dati, continuità dei servizi e fiducia in un Ente che investe nella sicurezza come valore strategico. Per il Consiglio di Amministrazione è la prova che le risorse allocate hanno prodotto risultati concreti e duraturi, rafforzando il posizionamento di Inarcassa tra le organizzazioni previdenziali più sicure e moderne a livello nazionale ed europeo.
Il percorso non è completo. Il continuo processo di digitalizzazione, le nuove tecnologie, i nuovi servizi cloud e di Intelligenza Artificiale se da un lato rappresentano una grande opportunità, dall’altro aprono nuovi scenari di rischio e di conseguenza rendono necessaria una continua evoluzione delle misure di protezione.
Nei prossimi anni Inarcassa sarà impegnata nel mantenimento e nel miglioramento continuo del Sistema di Gestione della Sicurezza delle Informazioni, attraverso audit periodici, aggiornamento della documentazione e verifica costante del rispetto delle policy.
Tra le attività previste nel prossimo futuro vi è l’estensione del perimetro di sicurezza ai fornitori critici tramite valutazioni di terze parti (Third Party Risk Management), l’introduzione di strumenti avanzati di threat intelligence e l’ulteriore consolidamento delle attività di formazione e awareness, includendo scenari di attacco più sofisticati e simulazioni realistiche.
Sul piano tecnologico, l’adozione progressiva di tecnologie basate su intelligenza artificiale e machine learning permetterà di affinare il rilevamento e la risposta agli incidenti, in un’ottica predittiva e proattiva. Particolare attenzione sarà riservata alla sicurezza delle architetture cloud, al governo dei dati e all’integrazione di strumenti di automazione e orchestrazione (SOAR) per rafforzare la capacità di reazione agli eventi critici.
Inarcassa inoltre continuerà a collaborare con enti di riferimento e community di settore, per mantenere un presidio informato e aggiornato sul fronte normativo, tecnologico e operativo. In un contesto digitale in costante evoluzione, la sicurezza informatica diventa parte integrante della cultura organizzativa e condizione abilitante per affrontare le sfide del futuro con resilienza, fiducia e visione strategica. ■
tra quelli più cercati
