News
15.5.2017
Il termine Cyber Security è un neologismo che si riferisce al tema della Sicurezza delle informazioni e dei sistemi informatici, quindi alle tecniche di prevenzione, protezione e reazione alle minacce che riguardano la riservatezza, l’integrità e la disponibilità delle informazioni e dei servizi informativi. Il NIST (National Institute of Standards and Technology) definisce molto bene i macro processi di Cyber Security, dividendoli in 5 fasi: Identificare le minacce e valutare i rischi, proteggere i dati e gli asset informatici, essere capaci di rilevare gli attacchi informatici, saper rispondere agli incidenti e avere la capacità di ripristinare la situazione dopo un eventuale Cyber Incident. In cima a queste fasi è opportuno considerare la definizione di una strategia e la individuazione di un adeguato modello di governance, basato sulla gestione dei rischi, che possa governare tutto il resto.
Perché, oggi come oggi, le aziende dovrebbero preventivare sistematicamente un budget da investire nella Cyber Security? Per prevenire incalcolabili danni economici e di reputazione?
Non ho dati precisi, ma ad esempio è stato stimato che i danni economici alle aziende Italiane dovuto ad attacchi Cyber nel 2015 sia stato intorno ai 9 Miliardi di Euro, cifra in continua crescita. Una survey fatta sulle aziende Italiane ci indica che circa il 30-35% delle aziende abbia subito attacchi, ma aggiungendo quelle che ancora non ne sono consapevoli, la stima potrebbe salire al 50%. I danni possono variare da una indisponibilità dei servizi IT di qualche ora, fino ad arrivare a perdite economiche o reputazionali importanti
Il budget da investire dovrebbe essere ripartito sui tre pilastri sui quali poggia la cyber security, ovvero governance, auditing e cultura-formazione?
Assolutamente si, è ancora troppo diffusa la concezione che la sicurezza sia esclusivamente una contromisura tecnologica, come il firewall e l’antivirus. Le contromisure tecnologiche sono fondamentali, ma se implementate senza seguire una strategia, o senza verificarne l’efficacia con attività continuative di audit, sono inefficaci, ci danno un falso senso di sicurezza. Un corretto bilanciamento di questi tre elementi, unito con l’implementazione delle tecnologie appropriate, fanno la differenza
Cominciamo dal primo pilastro. Cosa s’intende esattamente per governance?
La governance si realizza efficacemente attraverso la definizione della strategia e degli obiettivi di sicurezza, l’analisi e la gestione dei rischi, la costruzione di un modello organizzativo e di un programma di gestione della sicurezza a 360°, che consenta di garantire il raggiungimento degli obiettivi di sicurezza definiti. Attraverso la Governance la gestione della Security diventa un processo efficace, dai risultati misurabili. La complessità del sistema di Governance dipende dalla complessità e dalla dimensione dell’ambito aziendale da mettere in Sicurezza.
Nella predisposizione di un adeguato sistema di Governance della Security, sarebbe opportuno farsi seguire da un consulente specializzato?
E’ decisamente consigliato, perché poche sono le aziende che hanno al loro interno le competenze necessarie. Rivolgersi a consulenti esterni specializzati ed essere indirizzati opportunamente da chi ha sulle spalle decine di progetti in diversi settori merceologici consente di ottenere velocemente il risultato atteso. Una volta che il sistema di governance viene implementato in azienda è necessario che un responsabile ne curi l’applicazione e il continuo mantenimento e miglioramento, coinvolgendo nella gestione operativa della sicurezza anche le diverse aree aziendali interessate.. Di solito viene assegnata la responsabilità della gestione della Sicurezza al Responsabile IT, ma sarebbe buona norma che chi si occupa di sicurezza in azienda operi in modo separato dall’IT, per non essere allo stesso tempo il controllore e il controllato. . Sarebbe opportuno individuare una figura di Chief Information Security Officer (CISO) o di Information Security Manager (ISM), che operi a stretto contatto con la Direzione, eventualmente facendo svolgere temporaneamente questo ruolo ad una figura esterna, in attesa che si creino le competenze all’interno.
Perché, per un’azienda, diventa sempre più strategico certificarsi ISO 27001?
La ISO 27001 è una norma internazionale universalmente riconosciuta che certifica l’avvenuta implementazione di un Information Security Management System (ISMS) e la sua aderenza con la normativa. La certificazione attesta il livello di “maturità” di una azienda nei confronti della gestione della Cyber Security, un bollino molto apprezzato da tutti gli stakeholders. Spesso sono proprio i clienti, il nostro mercato di riferimento, o gli organismi regolatori, che ci richiedono o impongono questo percorso.
Passiamo al secondo pilastro, ovvero all’auditing. Perché è importante fare auditing?
Auditing significa misurare i livelli di sicurezza di un sistema informatico, o dell’intera infrastruttura IT, rilevandone le vulnerabilità. E’ il necessario punto di partenza per iniziare un percorso virtuoso di iterazione tra analisi (audit) e remediation (gestite dal reparto IT), con implementazione dei correttivi necessari. In alcuni casi queste attività di Audit sono fortemente raccomandate (es. ISO 27001) in altri sono assolutamente obbligatorie (es. PCI/DSS). L’implementazione dei suggerimenti indicati in un report di Security Audit aiuta a mantenere elevati i livelli di sicurezza nel tempo, anche al mutare continuo delle minacce.
Come si svolge un audit? Ci descrive le fasi che caratterizzano questo processo di valutazione?
Un audit di sicurezza inizia con la definizione di uno scope, ossia il perimetro di valutazione. Puo’ riguardare tutta l’infrastruttura IT, oppure puo’ riguardare alcuni aspetti specifici, come ad esempio una applicazione web critica. In tutti i casi l’audit di sicurezza si svolge attraverso attività di Penetration Test e Vunerability Assessment, quindi di tentativi di penetrazione di uno o più sistemi, completati con attività sistematiche di ricerca delle vulnerabilità. Il risultato viene formalizzato in un report con una proposta di piano di ”remediation” ed una parte piu’ tecnica che riporta l’elenco delle vulnerabilità e fornisce indicazioni per la correzione dei problemi. Tipicamente produciamo anche una sintetica presentazione a beneficio del management, un executive summary.
Il terzo pilastro, certamente non ultimo in ordine d’importanza, è rappresentato dalla cultura e dalla formazione. Quanto, a suo avviso, c’è ancora bisogno di promuovere una cultura della Cyber Security in Ticino?
Devo dire che in Ticino riscontriamo un buon livello di interesse verso la formazione in generale. Sui temi della Cyber Security, al di là dell’apporto accademico e istituzionale dei piani di formazione, per esempio della SUPSI, manca un’offerta pronta e spendibile di prodotti di formazione Cyber di buon livello per le aziende. Abbiamo cercato di colmare questo gap con una proposta di formazione rivolta a tutti gli attori, dal Management, al reparto IT, a tutti i collaboratori, con le relative specificità. Sul nostro sito riportiamo i nostri corsi a cui tutti possono partecipare; i corsi di consapevolezza per tutti i dipendenti e quelli specifici per il Management, li definiamo con l’azienda in modo personalizzato.
Quali agevolazioni sono previste per le aziende associate ad AITI?
Per gli associati AITI abbiamo una convenzione che garantisce sconti sui piani di formazione, prezzi agevolati per le attività di consulenza e un incontro di valutazione e consulenza gratuito e senza impegno presso l’azienda, al fine di identificare un eventuale percorso evolutivo.
Source: Ticino Management - Maggio 2017