Durante la Tavola Rotonda del recente Executive Dinner organizzato da ZeroUno in collaborazione con Dedagroup It security: individuare e gestire le criticità del percorso, gli ospiti all’evento hanno posto l’accento su alcuni dei freni che stanno rendendo difficile alle aziende la costruzione di sistemi di difesa efficaci.
Di questo servizio fanno parte anche i seguenti articoli: | |
LO SCENARIO – Sicurezza informatica: ecco i problemi che stanno affrontando le aziende italiane | |
I DATI – Attacchi informatici in Italia, i trend | |
LE SOLUZIONI – Sicurezza informatica: i servizi del C-Soc di Dedagroup |
L’evento è stato moderato da Stefano Uberti Foppa, Direttore di ZeroUno, che ha introdotto il tema spiegando perché la sfida oggi in campo security è riuscire a proteggere l’azienda senza però compromettere o limitare la user experience degli utenti. Luca Bechelli, Comitato direttivo e Comitato tecnico–scientifico, Clusit, è invece intervenuto descrivendo gli errori più diffusi fatti dalle aziende italiane, toccando i temi budget, valutazione dei rischi, mobile security.
Manca un controllo sull’utenza
Tra gli aspetti più dibattuti dalle aziende, le difficoltà legate al controllo sugli utenti, bersaglio di sempre più numerosi attacchi di phishing:
● “La nostra utenza percepisce la sicurezza informatica come qualcosa di imposto”, ha detto Alberto Ronchi, Direttore Sistemi Informativi, Istituto Auxologico Italiano, che ha spiegato le difficoltà riscontrate nell’istruire alcuni soggetti più di altri facilmente preda di situazioni critiche, persone che tendono ad aprire e-mail di phishing anche laddove potrebbe essere semplice riconoscerle come tali. “Dovremmo investire di più su una formazione continuativa, obiettivo non semplice da perseguire nel settore sanitario in cui opero – dice Ronchi – La speranza è che il nuovo regolamento europeo [il Gdpr, in vigore nel maggio 2018 – ndr] possa essere un cavallo di troia per riorientare gli investimenti”. | |
● Concorda Angelo Sanzo, Responsabile Ict, Palladium Italia: “Cerchiamo di fare formazione, ma l’utente tende ad aprire ogni tipo di e-mail che gli arriva”, dice il manager, che quindi spiega come il compito dell’It sia ulteriormente complicato dal fatto che Internet è diventato un vero e proprio strumento di business e quindi non se ne può certo limitarne l’uso, come avveniva all’inizio: “La sfida – dice Sanzo – è quindi trovare un incontro sensibilizzando sul tema chi in azienda ha ruoli decisionali” | |
● “Il training è essenziale, e va fatto anche imponendo alle persone veri e propri esami per controllare l’efficacia dei percorsi formativi” dice Luciano Bruno, Sales Director – Business Technology & Data, Dedagroup, proponendo un approccio più rigoroso alla formazione che preveda non solo azioni informative, divulgative, di insegnamento, ma anche momenti di verifica dell’effettivo apprendimento degli utenti. “Si deve anche riuscire a delegare ad alcune figure ben identificate la responsabilità di quello che succede”, aggiunge il manager: perché l’It possa avere un controllo più capillare sulle persone deve identificare dei “key user” in grado di farsi garanti, all’interno per esempio di una certa business unit, dell’andamento del percorso formativo degli utenti e dei loro comportamenti. |
Difficile dialogo It-Management
Altro tema molto dibattuto, quello del rapporto tra i sistemi informativi e il management:
● Nicla Ivana Diomede, Capo servizio progettazione e sicurezza Ict, Università degli Studi di Milano, segnala la diffusa mancanza di consapevolezza del management rispetto alle necessità di investimento che l’impostazione di un sistema di sicurezza completo ed efficace richiede, e sottolinea: “L’It capisce quali sono le criticità da affrontare, ma il problema è trovare dei Kpi in grado di convincere le figure che hanno potere decisionale in azienda, degli indicatori che motivino loro la correttezza dell’investimento richiesto”. | |
● Luca Delfini, Network & Security Manager, Aci Global, lamenta la carenza, fatta eccezione per le grandi realtà aziendali, della presenza di un Cso, Chief Security Officer: “Una figura che dipenda direttamente dall’amministratore delegato è indispensabile per rafforzare il dialogo e concretizzare i progetti”. | |
● Secondo Francesco Sorgato, Information System Manager, Geri Hdp, l’It, rispetto al tentativo di sensibilizzare il business e spingerlo ad azioni concrete, deve perseverare: “È vero che in molte aziende i sistemi informativi hanno un compito difficile, a maggior ragione nelle realtà con un taglio ancora ‘padronale’, ma si deve insistere”, dice il manager, e aggiunge: “Dobbiamo imparare a comunicare meglio con l’azienda, e farlo persino con il nostro team, che può risultare anch’esso restio al cambiamento; dobbiamo diventare ‘artisti’ nel vendere un nuovo concetto di sicurezza”. | |
● Andrea Vigiak, It Manager, Telecom Italia vede però un miglioramento nel rapporto It-Lob negli ultimi anni: “La consapevolezza che l’It possa dare valore al business [frutto del nuovo ruolo strategico che il digitale ha assunto a livello di competitività aziendale – ndr] ci accredita sotto tanti punti di vista: prima i sistemi informativi avevano semplicemente una funzione di supporto tecnico, adesso è vero che c’è la necessità di sensibilizzare, ma esiste una nuova apertura al dialogo”. |
La sfida imposta dall’Iot
Molte perplessità sul fronte security si legano anche alla diffusione dell’IoT:
● Antonio Giustino, Sicurezza Informatica, Solvay, richiama l’attenzione sul ruolo determinante che l’IoT avrà per le aziende come fattore di competitività aziendale, ma anche su quello, altrettanto importante, che può avere in termini di danni provocati allo stesso business nel momento in cui gli smart objects risultano inadatti a garantire degli standard di sicurezza adeguati: “I produttori degli oggetti intelligenti devono riuscire a rendere la sicurezza parte integrante della loro proposta: fa paura pensare che stiamo sviluppando le smart city usando spesso prodotti che non offrono alcuna garanzia”. | |
● “La spinta a produrre a basso costo impone un modello di business che non concede spazio e risorse alla sicurezza dei prodotti”, dice, sulla stessa linea, Francesco Tusino, Head of Ict Italy, Cnp Partners che quindi sottolinea la necessità di normative che intervengano nel frenare questo fenomeno. |
Quando mancano le competenze interne…
Diversi ospiti si sono infine soffermati sul tema delle competenze sottolineando come, quando queste mancano internamente all’azienda, avvalersi della collaborazione di realtà specializzate facendosi supportare da un Soc esterno possa essere la scelta più conveniente. In alternativa, il cloud va valutato attentamente: “Si tratta di un’opzione che spesso può garantire la migliore protezione dei dati possibile ” dice Nicola Di Paola, It Manager Corporate, Trocellen Italia, che sottolinea i vantaggi che si possono ottenere quando si lascia l’onere di gestire buona parte delle azioni di sicurezza a chi è specializzato nel farlo [il cloud provider -ndr], recuperando tempo prezioso da riversare in progetti utili alla competitività aziendale.
“Sono solo 15 anni circa che ci occupiamo di sicurezza; questo ci ha permesso di scegliere quelli che sono ad oggi i partner migliori e le tecnologie più aggiornate”, ha detto Bruno, riferendosi in particolare alla costituzione del C-Soc di Dedagroup e al team di esperti e soluzioni che lo concretizzano; quindi ha aggiunto, a proposito del tema qui trattato: “Quello che è stato chiaro fin dall’inizio è che nel mondo della security, più che in molti altri, ha un ruolo fondamentale la competenza verticale e non è possibile, come in molte aziende accade, pensare di trasformare figure con professionalità diverse in esperti di sicurezza”.
Per approfondire queste tematiche vai all’Osservatorio Security journal di ZeroUno