La sicurezza non è certo un problema nuovo per i Cio; possiamo anzi dire che esso si è manifestato contestualmente alla diffusione dell’It stesso. La novità di oggi è rappresentata dalla dimensione che il perimetro dell’azienda va assumendo, sempre più esteso e globale. E se da un lato questo significa grandi potenzialità in termini di business, dall’altra, in relazione a una sempre maggiore pervasività dell’Ict nei processi strategici interni ed esterni dell’azienda, determina criticità e rischi significativi.
La sicurezza nel nuovo scenario dell’azienda aperta e collaborativa non poteva quindi non essere uno dei temi chiave del ciclo di incontri CIO Polis che Ibm ha organizzato nel corso del 2008.
Le tavole rotonde di Milano e Roma, coordinate dal direttore di ZeroUno, Stefano Uberti Foppa, hanno visto la partecipazione di alcuni manager di importanti realtà italiane: Guido Barbero, coordinatore Ict Security di Gruppo Fiat, Corradino Corradi, Ict Security manager di Vodafone Italia, Mario Cipriano, Cio di Iride Energia, Giancarlo Castorina, Ciso di Iccrea Banca, Fabrizio Maccioni, Network & Security manager di Tiscali, Pasquale Starace, Cio di Notartel, Claudio Manganelli, Componente del Collegio del Cnipa.
Con Corradi e Barbero, ZeroUno ha avuto l’occasione di confrontarsi su questi temi nel corso di due interviste pubblicate nello scorso numero del Cio Polis (scaricabile dal sito www.zerounoweb.it); in questo articolo riportiamo quindi un estratto del dibattito che ha visto coinvolti gli altri manager.
ZeroUno: In un contesto sempre più complesso e competitivo è fondamentale operare in tema di sicurezza non solo in termini di protezione, ma proporla utilizzando le relative soluzioni come elementi facilitatori del business. Questa scelta porta necessariamente a una strategia della security che tenda a eliminare approcci a “macchia di leopardo” favorendo investimenti in miglioramenti tecnologici, organizzativi e di processo finalizzati a una visione strategica della security che parte da una governance della sicurezza stessa. Qual è la vostra esperienza rispetto a questo percorso ideale?
Castorina: Considerare l’insieme di questi tre aspetti, tecnologie, processi e organizzazione, è il punto centrale della questione, anche perché oggi l’aspetto organizzativo, nel quale comprendo anche il tema della formazione, è più importante di quello tecnologico. Dal punto di vista tecnologico le soluzioni ci sono, ma è il fattore umano il punto debole. Riguardo la nostra specifica esperienza, il problema è ancora più forte perché gli istituti finanziari non devono confrontarsi con una debolezza solo interna in quanto ad essere colpiti (pensiamo per esempio al phising) sono anche direttamente i nostri clienti. Su tutto, il tema della governance della sicurezza è sicuramente fondamentale. Per quanto ci riguarda abbiamo scelto di sviluppare la nostra organizzazione avviando un processo di costruzione di un sistema di gestione della sicurezza (in regola per l’ottenimento della certificazione Iso 27001) e costituendo il Comitato Sicurezza e Continuità Operativa. Il Comitato rappresenta il momento di condivisione degli obiettivi strategici in tema di sicurezza delle informazioni tra le varie funzioni di responsabilità, di business, di controllo e di gestione. Il compito principale del Comitato è quello di gestire il rischio, perché noi con il rischio dobbiamo necessariamente convivere; la sicurezza per il nostro istituto è strettamente collegata al tema della continuità operativa e questa stretta connessione ci ha obbligato a compiere una serie di analisi preliminari per definire le policy adeguate. Per farlo siamo partiti proprio dagli aspetti organizzativi, ancora una volta centrali per la messa a punto di soluzioni efficaci.
Cipriano: Considerare la sicurezza in modo proattivo è alla base della nostra strategia: prevenire prima di curare è il concetto da cui partiamo. Per questo, nel definire ogni attività partiamo da un’analisi dei rischi per appurare l’impatto che un determinato intervento può avere e mettere quindi in atto tutte quelle azioni volte a impedire l’accadimento di eventi rischiosi. Se andiamo a guardare i tre aspetti di cui si è parlato, concordo sicuramente sul fatto che regole e policy di sicurezza (quindi i processi) e il fattore umano (quindi l’organizzazione) sono più importanti della tecnologia.
La sicurezza è strettamente legata al disaster recovery, al tema della continuità operativa e quindi la difesa del dato e del contenuto delle informazioni debbono essere garantiti a livello infrastrutturale sia per quanto riguarda la tecnologia, sia per la definizione di regole, policy, comportamenti. Per questo in Iride Energia abbiamo costituito dei comitati specificatamente dedicati alla definizione delle strategie di governance della sicurezza, comitati nei quali il management aziendale è direttamente coinvolto e ne è esso stesso promotore. Questo è un altro elemento fondamentale: a mio avviso una strategia di security deve partire dal top management, non può partire dall’It. Altro elemento molto importante è la formazione che rappresenta un punto cruciale di ogni strategia di questo tipo: si possono definire le policy migliori del mondo, ma se non si trasmette adeguatamente agli utenti l’obiettivo che si persegue questo non potrà mai essere raggiunto.
Maccioni: Concordo con quanto affermato dal collega sulla necessità del coinvolgimento del management nella definizione e messa in atto di una strategia di security. Questo tema, in una realtà come Tiscali, il cui core business è basato sulla tecnologia, presenta due facce. Se parliamo di tecnologia in senso stretto, facendo riferimento a specifiche soluzioni per garantire la sicurezza degli accessi o delle identità, piuttosto che la protezione da intrusioni, non ci sono problemi; la comprensione della problematica è totale, la necessità di investimento riconosciuta. Se invece parliamo di governance della sicurezza, la faccenda si complica un poco: non è detto che ne sia immediatamente percepita l’importanza; bisogna che questa importanza si manifesti attraverso esigenze concrete. E da questo punto di vista la compliance rappresenta senza dubbio una forte spinta in questa direzione: vi è la consapevolezza che è impossibile gestire il tema della compliance in tutta la sua complessità senza, prima di tutto, una governance della sicurezza.
Starace: Parto da un problema specifico che ci siamo trovati a dover affrontare: l’adeguamento alle normative relative al rilascio dei certificati di firma digitale. Per implementare una soluzione di questo tipo abbiamo dovuto analizzare tutto il processo di emissione dei certificati digitali e di distribuzione dei dispositivi di firma. L’introduzione della firma digitale è stata quindi studiata prima di tutto come un processo, con tutte le implicazioni in termini di sicurezza che questo comporta, e solo successivamente ci siamo preoccupati di supportare questo processo con le adeguate soluzioni tecnologiche. L’analisi delle problematiche di sicurezza è stata contestuale alla definizione stessa del servizio.
Manganelli: È prima di tutto necessario comprendere il ruolo del Cnipa che si distingue in due attività: quella concettuale, di ente che indirizza l’attività della Pubblica Amministrazione sui temi dell’informatizzazione, e quello progettuale di definizione di standard e regole, di attuazione di progetti. Per quanto riguarda il secondo, realizzando il Sistema Pubblico di Connettività, abbiamo compiuto un grande passo avanti fornendo modello e standard di riferimento, anche in termini di sicurezza, cui si sono poi adeguate le amministrazioni per collegarsi.
Sul primo, invece, la strada da percorrere è ancora lunga. Nella mia vita lavorativa, ed è lunga, ho sentito parlare di sicurezza tante volte; passi avanti se ne sono fatti, come quello che ha portato al codice unico del 2003 che mette in primo piano l’importanza del trattamento dei dati personali, la necessità di garanzia di sicurezza sia in termini di privacy sia in termini di non contaminazione e di salvaguardia di queste informazioni, ma questo non basta.
Si tratta di interventi non organici, che non si incanalano in una strategia ben definita. Il problema di fondo è quello di far capire ai vertici della Pubblica Amministrazione che il tema della sicurezza informatica deve essere spostato ai livelli centrali dello Stato e che è indispensabile costituire un ufficio specificatamente preposto alla gestione di questi aspetti, come peraltro esiste in altri Paesi europei. Quanto più è complessa la rete nella quale la Pubblica Amministrazione opera tanto più è necessaria una governance centralizzata della sicurezza che definisca policy, standard, comportamenti, regole. Bisogna poi aggiungere che a questo problema si affiancano le resistenze del personale e delle strutture sindacali: non è ammissibile che chi è incaricato di trattare i dati personali si rifiuti poi di assumere la responsabilità, anche formale, di questo incarico. Infine, non va dimenticato che alla base di ogni progetto e strategia evolutiva, al di là della condivisione di fondo, esiste uno strumento concreto di attuazione: gli investimenti. E su questo punto dobbiamo constatare che le risorse sono scarse, soprattutto se comparate con altre realtà europee.