Difficoltà nel far percepire al Board/Top Management le criticità della cybersecurity per il business. Far comprendere che in termini di innovazione, la sicurezza ha oggi un ruolo abilitante, non frenante, può fornire un valore competitivo a patto di averne allineato gli obiettivi con quelli del business. Complessità di gestione ma soprattutto necessità di focalizzarsi maggiormente sul controllo dei comportamenti delle persone.
Sono molti i problemi che i CISO si trovano ad affrontare oggi, e in prospettiva, non sembra che diminuiranno. Piuttosto, se ne aggiungeranno di nuovi. Ne abbiamo parlato in questa intervista con Gianpiero Acerbi, esperto di cybersecurity in un’importante banca europea.
TIG. Quali sono le problematiche più avvertite da un CISO oggi?
Gianpiero Acerbi. C’è una difficoltà molto diffusa nel far percepire al Board dell’azienda tutte le complessità della cybersecurity. È una cosa che osservo spesso in medie aziende italiane, che dovrebbero essere avanzate e invece sono ancora in alto mare su questi aspetti. Il Top management continua ad essere troppo distaccato: ritiene che la cybersecurity debba essere attuata in azienda ma non se ne sente responsabile. E spesso, non rendendosi conto dei rischi che corre, lo stesso management può diventare un problema, perché pensa di potersi muovere con grande libertà, non si preoccupa di modificare i propri comportamenti.
Inoltre spesso si osserva che nelle aziende in cui non si sono verificati incidenti particolari, proprio per questo motivo si tende a sottovalutare la problematica.
Il Responsabile della Security si trova così a non essere compreso quando chiede un budget per i suoi progetti, e spesso gli investimenti sono dimezzati di default. Bisognerebbe invece adottare un approccio più innovativo al problema: non considerare solo l’acquisto di tecnologia, ma tradurre per l’organizzazione metodologie e best practice.
Servirebbe poi allineare maggiormente gli obiettivi della cybersecurity con quelli del business, far capire che da una buona security nascono benefici per l’intera azienda. L’approccio scelto deve essere efficace, sostenibile e scalabile, per raggiungere obiettivi di conformità – anche perché si va verso un approccio molto esteso di internet, di conseguenza una maggiore diffusione di attacchi e minacce che arrivano da ogni direzione.
Nel settore industriale, con la diffusione dell’IoT si aprono scenari che presentano elevatissimi rischi cyber, ed oggi molte aziende non li stanno considerando. Inoltre il mondo dell’industria è caratterizzato da Supply chain estese, i fornitori sono parte integrante dell’azienda, e non sempre si va a verificare la loro sicurezza.
C’è poi il problema molto importante di controllare i comportamenti delle persone: ci sono azioni che si ripetono quotidianamente, l’analisi dei comportamenti è una prima contromisura efficace da attuare, ancora prima di qualsiasi tecnologia. Le mail che contengono phishing a volte superano i muri delle tecnologie di sicurezza, quindi le persone devono essere molto preparate ed attente. I comportamenti virtuosi vanno rinforzati o diffusi nell’organizzazione.
TIG. Parliamo di Cybersecurity Governance: quali elementi influenzano una buona governance? Quale struttura deve essere scelta dalla singola organizzazione?
Gianpiero Acerbi. È molto importante definire un framework di cyber security governance considerando come il cyber risk può condizionare tutta l’organizzazione, attuando controlli estesi, rivolti anche agli ambienti di mobile e remote working; puntando a creare awareness nelle persone; a gestire utenti con privilegi; removable media control; monitoraggio delle attività e sicurezza delle configurazioni; protezione contro il malware; network e cloud security; senza infine trascurare l’incident management. Inoltre vanno rivisti in modo continuativo gli aspetti di Risk e vulnerability management.
TIG. Come cambierà quindi il ruolo del CISO nei prossimi anni?
Gianpiero Acerbi. Il CISO avrà sempre di più il compito di comunicare e tenere aggiornato tutto il management dell’azienda: non dovrà essere necessariamente un tecnico, ma sicuramente dovrà conoscere bene le evoluzioni dei rischi cyber e della cybersecurity, che è in continuo fermento. Dovrà inoltre avere una visione strategica, ed essere in grado di “portarla a terra” consolidando le giuste soluzioni.
Nel complesso quella della sicurezza cyber è una funzione in forte evoluzione. I cambiamenti si verificano di mese in mese, bisogna stare al passo con minacce, vulnerabilità e rischi. Il CISO deve avere lo sguardo più avanti e puntare ad avere la soluzione appropriata e allineata ai bisogni del business: il suo ruolo gli richiederà un continuo adattamento, dovrà sempre più preoccuparsi di proteggere l’azienda da minacce che si prefigurano molto distruttive. Teniamo conto che in futuro le azioni militari si sposteranno fortemente sulla rete, e se uno stato straniero vorrà distruggere un’azienda, punterà sicuramente a colpirla al suo interno eliminando i dati e rendendo inservibili i sistemi. Purtroppo oggi il management non percepisce ancora questo rischio.
TIG. EU GDPR: quali sono/saranno i principali “mal di pancia” associati alla compliance al GDPR? Quali raccomandazioni darebbe a chi ha difficoltà nell’ottenere risorse e nel portare avanti le iniziative di sicurezza?
Gianpiero Acerbi. Il regolamento GDPR è un’opportunità per molte aziende, l’adeguamento porta all’implementazioni di nuove soluzioni di sicurezza: seguendo le raccomandazioni contenute nella nuova norma, le aziende saranno costrette a confrontarsi con tutta una serie di problematiche finora non considerate. Spesso in passato un approccio basato sulla pura compliance è servito a tappare delle falle. Oggi la consapevolezza sui rischi ICT è molto più diffusa: anche le PMI, colpite dal ransomware, sanno di dover prendere dei provvedimenti. Quali le priorità su cui intervenire? bisogna consolidare fortemente i controlli di cybersecurity sia a livello esterno che interno, con un occhio attento ai rischi da mitigare, scegliendo le strade più corrette.
TIG. 2018 e oltre: come innovare la cybersecurity?
Gianpiero Acerbi. In futuro bisognerà focalizzarsi molto di più sugli aspetti di cyber intelligence: IoT e Big Data stanno aprendo nuovi scenari, ed è lì che saranno portati gli attacchi in futuro. Il SOC (Security Operation Center) ha fornito e fornirà ancora una prima famiglia di analisi sulle minacce di cybersecurity: andrà ad evolvere sfruttando Big Data e servizi esterni, aiutando a comprendere dove si stanno indirizzando i nuovi attacchi, nel disegno di vere e proprie strategie militari.
INTERVISTA A:
GIANPIERO ACERBI
Esperto di cybersecurity in un’importante banca europea.
A cura di: Elena Vaciago
Associate Research Manager, The Innovation Group
