Il ruolo del CISO è in rapida evoluzione: in futuro dovrà far fronte a maggiori rischi informatici e rispondere a molteplici responsabilità, sia per l’accresciuta complessità delle infrastrutture da tenere sotto controllo, sia per l’aggravarsi delle norme, sia per una quantità molto superiore di dati sensibili da gestire come conseguenza della diffusione dell’IoT. Data la rilevanza del tema, ne abbiamo parlato con Mauro Azzini, IT Manager di Guber.
TIG. Quali sono oggi le problematiche che il Responsabile della sicurezza si trova ad affrontare? C’è effettivamente la difficoltà nel far percepire al Board/Top Management le criticità della cybersecurity per il business?
Mauro Azzini. Fino a un anno fa la sensibilità nei confronti della cybersecurity era piuttosto limitata: spesso i Responsabili della sicurezza venivano accusati di fare “terrorismo psicologico” non supportato dalla realtà dei fatti. Ultimamente però, anche a causa di eventi molto diffusi e pericolosi come il ransomware, il rischio informatico ha cominciato ad essere vissuto con apprensione, ed oggi è percepito quasi al livello di rischio di impresa: non più prettamente ICT ma di fatto trasversale a tutta l’azienda.
TIG. Lei avverte la necessità di allineare maggiormente gli obiettivi della cybersecurity con quelli del business?
Mauro Azzini. Oggi il Responsabile della sicurezza deve obbligatoriamente relazionarsi con altri manager, deve coinvolgere gli altri, per fare in modo che i rischi siano conosciuti e compresi bene da tutte le funzioni dell’azienda. Nel nostro caso, ogni 2 mesi abbiamo una riunione con tutti i responsabili, durante la quale viene discussa una reportistica che poi viene presentata al CdA. Nei nostri report comprendiamo informazioni relative a possibili attacchi e tentativi di violazione; attività di remediation per account privilegiati; attività non solo per la sicurezza perimetrale ma anche quella interna. Ultimamente ci siamo rivolti anche al controllo dei rischi per il mondo IoT.
TIG. Quali altri ambiti presentano oggi rischi che vanno considerati in un disegno complessivo per la cybersecurity?
Mauro Azzini. Sicuramente la parte relativa ai device mobile, e in particolare il tema del BYOD, che noi abbiamo risolto con una soluzione MDM dedicata agli smartphone. Per quanto riguarda il cloud, al momento da noi è bandito – per policy interna, dal momento che le informazioni finanziarie sono dati molto critici, preferiamo che tutto continui a risiedere sui sistemi interni.
Un altro tema che naturalmente riguarda anche noi è la difficoltà di trovare personale specializzato sulla cybersecurity (Skill Gap): lo abbiamo risolto rivolgendoci ad una società specializzata esterna che si occupa di controllare client e traffico internet. In questo modo abbiamo tutta la situazione sotto controllo tramite dashboard e una reportistica conservata fino a 6 mesi precedenti. L’obiettivo per il futuro è di dotarci di un presidio interno, che sarà dedicato all’operatività quotidiano e all’incident response.
TIG. Sarà definitivamente a regime, da maggio 2018, il Regolamento EU sulla privacy, o GDPR: quali sono i principali “mal di pancia” associati alla compliance al GDPR?
Mauro Azzini. Dal mio punto di vista il GDPR non è diversissimo dalla vecchia norma, il Decreto 196/2003, anche se quest’ultima per certi versi era troppo leggera: pensiamo all’aggiornamento degli antivirus da fare ogni 6 mesi! Con il GDPR sicuramente è stata inasprita la parte sanzionatoria. Poi è molto importante il fatto che si spinga verso una sorta di autovalutazione che le aziende dovranno fare adeguando, sulla base dei risultati ottenuti, ciò che è ritenuto più necessario. E’ poi stata introdotta una parte onerosa (la rendicontazione), per dimostrare che è stato fatto il possibile e che sono stati presi in considerazione tutti i rischi (accountability). Questo porterà le aziende ad essere maggiormente consapevoli di aver accettato anche i rischi residui, ossia quelli che non sono direttamente mitigati.
TIG. 2018 e oltre: come dovrà evolvere nel tempo il ruolo del CISO?
Mauro Azzini. Sicuramente nel prossimo futuro assisteremo ad un’evoluzione del ruolo del CISO, che dovrà continuamente far fronte a maggiori rischi informatici. I compiti saranno molteplici, sia per l’accresciuta complessità delle infrastrutture da tenere sotto controllo, sia per l’aggravarsi delle norme, sia per una quantità molto superiore di dati sensibili da gestire come conseguenza della diffusione dell’IoT. Il CISO non potrà più focalizzarsi solo sul perimetro aziendale, come era stato definito fino a poco tempo fa. Dovrà considerare un mondo di rischi molto più ampio, un utilizzo in mobilità, dati che girano tra smartphone, IoT, e che comunque vanno protetti. Inoltre, a livello organizzativo, il CISO non potrà più essere solo: dovrà muoversi in modo coordinato con Risk Manager e Compliance officer, con il DPO dove presente, e anche con gli Executive delle altre funzioni del business, proprio per la pervasività dei temi della sicurezza.
Se devo dire da dove verranno i problemi maggiori nel prossimo futuro, penso da un lato all’IoT, alle auto sempre più connesse, ai dispositivi wearable del mondo sanitario: in entrambi i casi il tema sarà preservare la safety delle persone, prevedendo anche per tutti questi oggetti connessi meccanismi di aggiornamento del software e risoluzione di eventuali vulnerabilità.
Dall’altro lato, e concludo, è evidente che c’è la priorità di creare consapevolezza nelle persone: noi sulle nostre persone interveniamo con una formazione di base 2 o 3 volte all’anno, e ci stiamo spingendo a dare istruzioni che sono valide anche nella loro vita personale, a casa o in mobilità, non soltanto quando sono in ufficio, dove evidentemente i sistemi utilizzati prevedono già misure di sicurezza più stringenti e in parte bloccano le attività dove queste comportano dei rischi.
INTERVISTA A:
MAURO AZZINI, IT Manager di Guber
A cura di: Elena Vaciago
Associate Research Manager, The Innovation Group
