Intervista su Fare Impresa Maggio 2018: Il rischio informatico non è solo un problema dell’IT, ma anche del CEO

News

28.5.2018

Siamo a colloquio con Siro Migliavacca, General Manager della società Security Lab Advisory Sagl, costituita recentemente da Security Lab Sagl per realizzare in Ticino il centro di competenza sulla cybersecurity governance.

Ing. Migliavacca, ci vuole illustrare come sta cambiando l’importanza del rischio cyber per le aziende?
Lo scenario del cyber crime sta evolvendo rapidamente; le aziende adottano sempre più le tecnologie informatiche e i servizi internet per supportare i processi, realizzare i prodotti ed erogare i servizi; i sistemi informatici aziendali sono sempre più spesso in rete; si moltiplicano le interconnessioni tra le organizzazioni lungo la catena cliente-fornitore; aumenta lo scambio di dati e di servizi in rete. Questa situazione favorisce lo svilupparsi degli attacchi informatici, che diventano più estesi, diffusi, complessi e pericolosi. Il cyber risk sta quindi scalando la classifica dei rischi aziendali e non rappresenta più soltanto un problema per i manager dell’area informatica, ma una preoccupazione anche per i CEO e i titolari delle aziende, che sono chiamati ad investire maggiormente in misure di sicurezza e nella gestione della cyber security.

Come dovrebbe essere affrontato il problema dalle imprese?
Le minacce verso i dati e sistemi informatici aziendali non possono più essere affrontate soltanto con contromisure di tipo tecnologico, anche se le tecnologie di sicurezza sono comunque indispensabili e i fornitori di tecnologie le rendono sempre più performanti. Pensiamo, per esempio, alle nuove soluzioni tecnologiche per la protezione perimetrale delle reti e degli ambienti informatici e per la protezione degli end-point, basate sull’intelligenza artificiale e il machine learning.

Ma l’investimento in tecnologie, come stavo dicendo, non basta.
Gli attacchi informatici trovano spesso una breccia tra le difese aziendali sfruttando la “complicità” indiretta e involontaria dei lavoratori che non adottano i comportamenti adeguati, non rispettano le regole di sicurezza, cadono nei tranelli intentati dagli hacker cliccando là dove non devono cliccare. Oppure, gli attaccanti riescono a sfruttare l’inadeguatezza del processo di gestione e controllo della sicurezza applicato dalle aziende che ritardano l’aggiornamento dei sistemi, non analizzano periodicamente le proprie debolezze e l’evoluzione dei rischi provenienti sia dall’esterno che dall’interno, non adottano le best practices per la realizzazione del software sicuro, non controllano adeguatamente i loro fornitori di servizi informatici e così via.

Le minacce cyber interessano l’intero sistema, non solo le singole aziende. Come si stanno muovendo gli organismi regolatori?
L’aumento della pericolosità del cybercrime e la sempre maggiore interconnessione in rete di tutti, imprese, istituzioni e individui, eleva la criticità a livello di sistema paese e spinge gli enti normativi e regolatori a definire nuove regole e requisiti, che gli operatori devono rispettare, con l’obiettivo di ridurre il livello di rischio e garantire la salvaguardia del sistema complessivo, delle infrastrutture e dei servizi generali che coinvolgono le comunità. Proprio in tale ottica sono state emanate recentemente nuove normative e nuovi regolamenti. Tra questi vale la pena citare il Cyber secuirty Framework statunitense per la gestione in sicurezza delle infrastrutture critiche e il GDPR UE 2016/679 per la protezione dei dati personali, a cui anche gli enti normativi e regolatori svizzeri stanno facendo riferimento, sia per ciò che riguarda la regolamentazione del settore bancario da parte della FINMA sia per ciò che r.

Serve quindi una maggiore attenzione ai rischi e nuovi investimenti nel governo della sicurezza?
La gestione della sicurezza delle informazioni e dei sistemi informatici aziendali è diventato un processo inevitabile e ineludibile (di cui non si può più fare a meno,Toglierei) che necessita di visione strategica, principi, regole, misure organizzative e soluzioni tecnologiche più mature, dell’assegnazione di specifici ruoli e responsabilità, di un più attento comportamento da parte delle persone e che coinvolge tutti in azienda. Il management aziendale non può permettersi di (più) sottovalutare il rischio, nè ritardare gli investimenti necessari per il raggiungimento di un maggiore livello di sicurezza.

Ing (Sig). Migliavacca, qual è il prossimo passo che vuole suggerire alle imprese che intendano intraprendere il percorso verso una maggiore maturità del loro sistema di gestione del cyber risk?
La prima attività che suggeriamo di avviare è il progetto che noi chiamiamo “Risk Assessment and Master Plan” che (. Il progetto) consiste nell’effettuare un’aggiornata analisi del sistema di gestione della sicurezza attualmente applicato in azienda, nello svolgimento di specifiche attività di security audit, che consentano di rilevare le vulnerabilità ancora presenti nelle infrastrutture e sistemi informatici aziendali rispetto alle minacce cyber, e un’attenta valutazione del livello di rischio cyber, che dipende dalle particolari caratteristiche dell’azienda, dal settore di appartenenza e dal contesto in cui opera, dalle esigenze dei suoi clienti e dagli obiettivi di sicurezza che l’azienda stessa intende perseguire. I risultati dell’analisi e del risk assessment, consentono al management aziendale di avere un quadro preciso sulla situazione attuale, sulle problematiche e priorità che deve affrontare (e può essere) per essere in grado, quindi, di definire un preciso piano di interventi di (per il) miglioramento del livello di sicurezza. Quando supportiamo l’azienda a svolgere queste attività, mettiamo a disposizione i nostri modelli e le nostre metodologie e condividiamo il bagaglio di buone pratiche che abbiamo costruito in numerosi anni di esperienza, in modo che l’azienda possa essere guidata e che sia certa di arrivare ad un risultato completo, allineato con gli standard internazionali, adeguato all’effettivo livello di rischio e alle proprie capacità di investimento.

Qualora un’azienda fosse interessata a valutare l’opportunità di avvalersi della vostra collaborazione, cosa deve fare?
Siamo a disposizione per un incontro preliminare di approfondimento senza alcun impegno. L’azienda può richiederlo attraverso AITI, oppure contattandoci direttamente; sul nostro sito (www.sec-lab.com) ci sono i riferimenti per il contatto telefonico e anche un form da compilare per la richiesta di un incontro.

Scarica l'articolo in PDF
FILTRO RICERCA
News
Eventi
FILTRO RICERCA
News
Eventi