News
16.4.2018
A colloquio con Alberto Redi, Managing Partner di Security Lab Sagl, azienda di riferimento nel Ticino da più di dieci anni per i servizi di cyber security, e Siro Migliavacca, General Manager della società Security Lab Advisory Sagl, nata recentemente dal team di management consulting di Security Lab Sagl.
Sig. Redi, qual è il contesto di rischio Cyber per le aziende?
Gli attacchi informatici, sempre più diffusi, coinvolgono indistintamente tutte le aziende e possono essere sia mirati e focalizzati, sia massivi e generalizzati. I dati, le informazioni e i sistemi informatici importanti per la vita dell’azienda sono costantemente minacciati, aumenta il pericolo di furti patrimoniali, richieste di riscatto, spionaggio industriale, pubblicazione su internet di dati riservati, manomissione dei sistemi e interruzione dei processi aziendali, con pesanti ricadute sull’erogazione dei prodotti e servizi ai clienti.
Quindi il Cyber Crime è diventato un vero e proprio mercato parallelo?
Il cyber crime è diventato un vero e proprio business e gli hacker operano sia autonomamente che su commissione, al fine di rivendere i dati rubati e di prestare servizi a coloro che chiedono di colpire particolari obiettivi. Questo mercato del crimine sta causando danni patrimoniali e reputazionali sempre più elevati.
In questo contesto, come si stanno muovendo gli organismi regolatori?
Con l’aumentare della pervasività delle tecnologie internet, dei collegamenti e delle interconnessioni tra organizzazioni, il rischio cyber cresce anche a livello infrastrutturale e di sistema e per questo gli enti legislativi e regolatori hanno recentemente emanato nuove normative in tema di sicurezza dei dati e dei sistemi informatici, per costringere tutte le organizzazioni a far evolvere il proprio sistema di difesa. Si consideri, per esempio, il nuovo regolamento europeo per la protezione dei dati personali (GDPR 2016/679) e i recenti aggiornamenti delle circolari della FINMA (Autorità federale di vigilanza sui mercati finanziari) per ciò che riguarda la gestione del cyber risk e la sicurezza dei servizi in outsourcing, nell’ambito della gestione dei rischi operativi.
Sig. Migliavacca, cosa stanno facendo le aziende per rispondere ai crescenti pericoli derivanti dal cybercrime?
Molte aziende sono ancora ad un livello minimo di gestione della sicurezza: adottano soltanto le tecnologiche di sicurezza di base, dispongono di un sistema di backup dei dati, controllano i permessi di accesso ai dati e ai sistemi informativi e poco più. Questo non è abbastanza e di fronte alla necessità di far evolvere il loro sistema di sicurezza, spesso non sanno esattamente cosa fare, da che parte iniziare.
Quali indicazioni si possono quindi dare alle aziende?
Noi suggeriamo di fare riferimento agli standard internazionali e alle best practices accreditate; in particolare, per la protezione dei dati e la realizzazione di un modello di cybersecurity governance, allo standard ISO 27001 e al Cybersecurity Framework del NIST, istituto USA di normazione in tema di security. Tuttavia, tali standard non fanno particolari differenze tra le aziende con diverse caratteristiche e il nostro compito consiste nel dare supporto affinchè vengano applicati ‘cum grano salis’, facendo attenzione a costruire un abito su misura, coerente con le capacità di investimento e le reali esigenze dell’azienda. In questo modo evitiamo che il management si blocchi di fronte al timore che sia troppo oneroso o complesso far evolvere il sistema di sicurezza aziendale.
Potrebbe spiegare più in dettaglio quali sono i passaggi da effettuare?
Innanzitutto, è opportuno inziare il progetto evolutivo avendo la giusta consapevolezza su quale sia effettivamente il livello di sicurezza raggiunto e il livello di rischio al quale si è ancora esposti. Per questo motivo, il nostro approccio di consulenza prevede una fase iniziale di assessment, attraverso specifiche attività di security audit, per la valutazione del livello di sicurezza dell’ambiente tecnologico e l’individuazione delle vulnerabilità presenti, e di gap analysis normativa e organizzativa, per valutare il livello di adeguatezza delle contromisure adottate e del processo di gestione della sicurezza applicato. Raggiunta la conoscenza dello stato dell’arte, definiamo il piano degli interventi necessari per adeguare le misure di sicurezza e far evolvere il sistema di gestione.
E dopo aver definito questo piano di intervento cosa accade?
L’azienda realizzerà il piano, autonomamente o richiedendo il nostro supporto, e si preoccuperà di mantenere con continuità i corretti livelli di sicurezza, considerando le novità che interverranno sia nello scenario esterno (nuovi rischi e nuove normative) sia nel contesto organizzativo interno e applicando un processo ciclico di cybersecurity governance. Gestendo in modo ottimale i rischi, l’azienda potrà inoltre rispondere al meglio alle sempre più stringenti richieste provenienti dal mercato: molti clienti, grandi aziende e multinazionali, chiedono infatti ai loro partner di adottare modelli di security governance che garantiscano la continuità dei servizi e tutelino la catena di fornitura. A tal fine, alcune aziende ci chiedono anche di accompagnarle nel percorso di certificazione ISO 27001 del sistema di gestione della cybersecurity che abbiamo costruito insieme, per avere un attestato ufficiale, valido a livello internazionale.Per maggiori informazioni potete contattare Simona Galli di AITI Servizi:Tel 091/911 84 72 simona.galli@aitiservizi.ch
Estratto intervista su Ticino Management - Aprile 2018
