L’edizione 2019 del CyberSecurity360 Summit, l’evento organizzato dal Gruppo Digital360, si è svolto all’inizio del secondo anno dall’entrata in vigore del GDPR.
“Già negli scorsi mesi – ha dichiarato Gabriele Faggioli, CEO di P4I-Partners4Innovation, Presidente del Clusit e Responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano – l’adeguamento al GDPR ha rappresentato un’occasione per aumentare i livelli di sicurezza delle imprese italiane, ora una nuova spinta verrà dall’inizio della fase due di applicazione del regolamento europeo. Sono iniziati, infatti, i controlli del Garante della Privacy che prevedono importanti sanzioni in caso di irregolarità. Le imprese non sono chiamate solo a presentare una check list di adempimenti, ma devono dimostrare la rispondenza alla normativa, la capacità di risposta e le logiche interpretative scelte in materia di sicurezza e privacy. Una nuova fase che deve essere colta come un’opportunità per realizzare nuovi piani di information security e privacy di lungo periodo per affrontare le sfide crescenti”.
Il quadro in cui tutto ciò si va a collocare non è roseo, sia il rapporto Clusit 2018 sia i dati dell’Osservatorio Information Security & Privacy 2019 raccontano infatti una situazione abbastanza preoccupante: come riportato durante la prima parte dei lavori della mattinata, nel 2018 si sono verificati in media 4 episodi gravi ogni giorno (+38% rispetto all’anno precedente) e le PMI, soprattutto, non sono in grado di farvi fronte. La gran parte della cifra spesa in sicurezza dalle aziende italiane l’anno scorso (quasi 1.200 milioni di euro, +9% rispetto al 2017) è infatti generata dalle grandi aziende.
Il confronto tra gli esperti
Nella seconda parte del CyberSecurity360 Summit, CISO, esperti del settore e protagonisti dell’offerta di soluzioni per la protezione cyber si sono confrontati in due tavole rotonde. Nel corso dei dibattiti è emerso il suggerimento di monitorare tutti i canali che espongono a rischi, la security non è più solo questione IT ma, per fare un solo esempio, bisogna tener presente che dati sensibili sono gestiti anche da soluzioni quali le piattaforme per l’invio di Sms.
D’altra parte, è anche stato sottolineato quanto sia sempre più importante il principio della minimizzazione in ambito raccolta dati. Il GDPR ha infatti rovesciato la prospettiva della privacy: la valutazione di un impatto di una violazione deve essere compiuta sull’interessato non sull’azienda. Nel momento in cui si decida di costruire una applicazione è necessario stabilire quali siano i dati di cui si ha davvero bisogno e raccogliere solo quelli, ammassare dati non genera valore e anzi comporta varie difficoltà di gestione.
A ciò si aggiunga che le aziende, soprattutto le più piccole, non si possono permettere soluzioni e competenze adeguate a rispondere agli attacchi sempre più sofisticati che si vanno verificando. L’orientamento è dunque quello di esternalizzare i servizi di protezione per poter fruire di tecnologia all’avanguardia.
Tra i partecipanti al dibattito, Alessandro Piva, direttore Osservatorio Information Security & Privacy, ha ricordato a tal proposito l’interesse crescente nei confronti delle nuove tecnologie di protezione, guardando in particolare all’intelligenza artificiale. “Il 77% delle aziende che monitoriamo nel nostro Osservatorio vede con favore all’AI per difendersi, ma oggi solo 3 aziende su 10 la utilizza: tra queste, il 15% lo fa in una logica predittiva, più o meno la stessa percentuale di realtà la usa per rispondere in modo efficiente e rapido all’identificazione di frodi. È interessante sottolineare che del 70% delle aziende che non utilizza l’intelligenza artificiale oggi per questi scopi circa la metà sta valutando di farlo a breve”.
