La cybersecurity come motore dell’innovazione digitale: verso un cambio di paradigma
Le radici degli insegnamenti di SDA Bocconi School of Management sono le ricerche originali dei suoi docenti. A partire dalle loro tesi di PhD, i ricercatori affrontano con rigore e passione temi di grande rilevanza per il mondo del management. Questa rubrica presenta i loro risultati.
Cybersecurity e innovazione digitale non devono essere considerate due forze in conflitto. Se ben integrate fin dall’inizio, le misure di sicurezza informatica possono diventare un vero e proprio acceleratore dell’innovazione strategica. A partire da casi reali e con un approccio teorico solido, la tesi di dottorato di Nico Abbatemarco mostra come le capacità di cybersecurity e le Digital Strategic Initiatives (DSI) si influenzino reciprocamente nel tempo, aiutando le organizzazioni a proteggersi meglio e a innovare più rapidamente e con maggiore impatto.
Abbatemarco propone un modello che guida i manager nell’armonizzare innovazione digitale e protezione dei sistemi. Il risultato è un framework applicabile, che trasforma la sicurezza informatica da freno a leva competitiva.
Il contesto
Nel contesto di business attuale, la trasformazione digitale è diventata una priorità strategica per le organizzazioni di ogni settore. In ambito accademico, un recente filone di ricerca ha introdotto il termine Digital Strategic Initiatives (DSI) per indicare quei progetti che sfruttano le tecnologie digitali con l’obiettivo di incidere in modo rilevante sul raggiungimento degli obiettivi aziendali strategici.
Tuttavia, accanto alle spinte verso l’innovazione, le organizzazioni si trovano esposte a una crescente vulnerabilità nei confronti dei rischi informatici. Un esempio significativo è rappresentato dall’interconnessione sempre più stretta tra i sistemi informatici tradizionali (Information Technology, IT) e le tecnologie operative (Operational Technology, OT), che governano impianti e macchinari industriali. Questa rete integrata promette da un lato processi industriali più trasparenti ed efficienti, ma dall’altro amplia notevolmente i punti di vulnerabilità potenzialmente accessibili da attori malintenzionati, che spaziano da gruppi criminali specializzati in attacchi informatici a entità paragovernative impegnate in operazioni di spionaggio o sabotaggio.
Di conseguenza, la cybersecurity viene spesso percepita come un freno all’innovazione, o relegata a funzione puramente tecnica o di conformità. In realtà, il contesto attuale – caratterizzato da minacce pervasive e normative sempre più stringenti come il regolamento europeo NIS2 – impone una profonda revisione di questa visione. Le aziende sono oggi chiamate a considerare la sicurezza come parte integrante della propria strategia. Sorgono quindi una serie di domanda chiave: come integrare efficacemente la
cybersecurity nelle proprie DSI senza comprometterne lo slancio innovativo? E in che modo l’interazione tra capacità di innovazione digitale e capacità di cybersecurity può influenzare il successo delle organizzazioni nel raggiungere obiettivi sia tecnologici sia di sicurezza?
La ricerca
Per affrontare il tema, la ricerca adotta un approccio qualitativo e multi-metodo, articolato in quattro articoli scientifici. Le analisi si basano su casi reali, tra cui progetti Industry 4.0 e studi cross-settoriali. Ogni paper approfondisce un aspetto specifico: dagli ostacoli organizzativi nella definizione congiunta delle strategie di innovazione e di sicurezza, all’identificazione delle capacità necessarie per adattarsi al mutevole contesto cyber, fino alla comprensione di come le capacità legate alla sicurezza e all’innovazione si influenzino e co-evolvano nel tempo.
Questo processo evolutivo è rappresentato in un modello concettuale sviluppato dalla tesi, che adotta una prospettiva temporale e dinamica. Secondo questo modello, le capacità di cybersecurity e DSI non sono statiche, ma si trasformano progressivamente, influenzate sia da fattori interni – come cultura organizzativa, struttura e risorse disponibili – sia esterni, come normative, tecnologie emergenti e minacce attuali. Il framework teorico di riferimento è quello delle dynamic capabilities, ampliato e applicato al contesto della sicurezza informatica, finora poco esplorato in letteratura.
Conclusioni e implicazioni
La tesi propone un cambiamento di prospettiva: la cybersecurity non deve essere più vista come un vincolo, ma piuttosto come un fattore abilitante dell’innovazione digitale. I risultati dimostrano che, se progettata e integrata correttamente fin dall’inizio nelle DSI, la sicurezza può non solo aumentare la resilienza organizzativa, ma anche favorire un’adozione più rapida dell’innovazione.
La tesi introduce un modello gerarchico delle capacità organizzative necessarie per “innovare in sicurezza”, articolato su tre livelli: strategico, tattico e operativo. Per ciascun livello, la ricerca fornisce raccomandazioni concrete: dall’allineamento tra gli obiettivi dei team IT e sicurezza, all’integrazione della cybersecurity nei processi di budgeting e gestione del rischio, fino all’adozione di pratiche come il DevSecOps all’interno dei team operativi. Tra gli ostacoli principali individuati spiccano invece barriere sia strutturali che culturali, in particolare la distanza tra il responsabile della sicurezza (Chief Information Security Officer, CISO) e il top management e la difficoltà di comunicare l’importanza della cybersecurity in termini comprensibili anche a chi non si occupa direttamente di tecnologia.
Infine, la tesi contribuisce al dibattito accademico offrendo una tassonomia aggiornata delle capacità di cybersecurity necessarie per un’organizzazione moderna, mappandone i meccanismi causali che le legano ai risultati aziendali e sottolineando la necessità di studi
futuri sulle competenze manageriali necessarie per guidare unit di sicurezza sempre più strategiche in un panorama in continua evoluzione.
