Le aziende sono sempre più interessate alle opportunità offerte dalle innovazioni Disruptive, dal Cloud, all’Internet of Things, all’intelligenza artificiale. Quale impatto avranno queste sulla Cybersecurity aziendale? Quali diventano le principali problematiche per il CISO e quali sono quindi le priorità da mettere in Agenda per il 2018? Ne abbiamo parlato con Corradino Corradi, Head of ICT Security, Privacy & Fraud Management di Vodafone Italia.
TIG. Quali sono oggi le principali problematiche per il CISO? Quali le priorità da mettere in Agenda per il 2018?
Corradino Corradi. Tante aziende stanno oggi affrontando una fase importante di trasformazione digitale: in molti settori, nelle Telco sicuramente, il top management è più che mai consapevole della necessità di cambiare il modello di business per mantenere il proprio vantaggio competitivo. Il CISO deve quindi impegnarsi nel far capire che va fatta grande attenzione al tema della sicurezza e della protezione dei dati. L’altra grande sfida è portare a bordo per tempo l’intera organizzazione e le persone, che non hanno ancora oggi una consapevolezza reale dei rischi, come ci si accorge ad esempio con i test di phishing a sorpresa.
TIG. Quale dovrebbe essere un approccio efficace alla Security Awareness?
Corradino Corradi. I metodi tradizionali stanno un po’ segnando il passo: può essere utile scegliere approcci nuovi come gamification o altri strumenti aziendali, webcast e sessioni interattive con momenti di formazione e test. L’importante è far capire che non è un problema teorico ma avviene nella pratica, ‘spear phishing’ e mail sono oggi il veicolo principale per far entrare il malware in azienda.
TIG. Di quale struttura di Cybersecurity Governance devono dotarsi oggi le organizzazioni?
Corradino Corradi. In una grande organizzazione serve oggi avere sia il Chief Security Officer che il CISO: il primo deve riportare a una struttura non tecnica di governance, insieme alla compliance, mentre la struttura del CISO dovrebbe far parte dell’area tecnologica. La prima struttura sarebbe quindi più indirizzata alla stesura di policy e procedure, la seconda invece più orientata all’implementazione tecnica. Questo modello duale, con “segregation of duties” e momenti di “check and balance”, risulta ancora oggi essere quello vincente. Inoltre aggiungerei che mentre in passato ci si è molto focalizzati sulla gestione dei core asset interni, bisogna sempre di più occuparsi della sicurezza in ottica di Cyber Supply Chain, andando quindi a includere nella governance la gestione sicura di tutto quello che è cooperazione – o outsourcing – con terze parti.
TIG. Le aziende sono sempre più interessate alle opportunità offerte da una serie di innovazioni Disruptive, dal Cloud, all’Internet of Things, all’intelligenza artificiale. Quale impatto avranno queste sulla Cybersecurity aziendale?
Corradino Corradi. Vodafone è oggi un leader mondiale in ambito IoT, un mercato che cresce ogni anno a due cifre. La sfida per la sicurezza è garantire una security end-to-end su tutta la filiera, quindi non considerare soltanto il singolo sensore, la sua connessione con il cloud o il cloud stesso, ma l’insieme e contemporaneamente l’anello più debole dei 3. Abbiamo già visto che sta nascendo una nuova generazione di attacchi cyber che sfrutta milioni di dispositivi connessi per arrivare a una magnitudo di potenza molto superiore all’attuale. Inoltre i nuovi rischi cyber per l’IoT possono comportare problemi di safety per le persone, come si è visto nel caso dell’automotive. Parlando poi di intelligenza artificiale e Robochat, si tratta di innovazioni molto promettenti, che Vodafone ha già introdotto per i propri clienti. Permettono di fare tutta una serie di attività nuove, come interagire con lo smartphone senza usare le mani. Anche per queste nuove applicazioni la sicurezza è un elemento importante, soprattutto sul fronte dell’identificazione dell’utente. Andremo sicuramente verso l’adozione di modalità di identificazione più evolute rispetto agli attuali sistemi di identificazione (UserId e password), un cambiamento che potrebbe portare anche opportunità di business.
TIG. State considerando i possibili utilizzi di Blockchain?
Corradino Corradi. Blockchain al momento è interessante, non tanto per i pagamenti (Bitcoin e altre criptovalute), ma per altre applicazioni della tecnologia che stiamo testando, come il suo utilizzo per il tracciamento in filiere produttive, che nel nostro caso significa la sicurezza della supply chain per SIM e componenti degli smartphone, un po’ quello che sta avvenendo in sperimentazioni simili sul tracciamento alimentare. L’utilizzo prefigura interessanti vantaggi, come i costi più bassi e una maggiore trasparenza. Va sottolineato però che anche Blockchain ha i suoi rischi di cybersecurity, pensiamo quanto già avvenuto con l’hacking andato a segno sui server dei bitcoin. Un Service Model completo per la tecnologia Blockchain dovrà comprendere anche gli aspetti di sicurezza.
TIG. Qual è la tua sensazione sul GDPR, il nuovo regolamento UE per la data protection?
Corradino Corradi. È sicuramente una sfida importante: le grandi aziende sono già partite e hanno stanziato investimenti significativi, perché il regolamento è complesso e richiede un cambio di passo soprattutto per gli aspetti di risk processing e delle contromisure da mettere in piedi. Anche la ‘data breach notification’ è una novità rilevante. Nelle Telco c’era già, per altri settori invece richiede la revisione delle procedure di ‘detection’ e ‘incident management’ per riuscire a stare entro le 72 ore.
TIG. Quale sarà in futuro il ruolo del CISO?
Corradino Corradi. Il CISO deve essere sempre più vicino al business e, insieme al CSO o al Chief Digital officer, un ambasciatore della trasformazione digitale. Solo che mentre le altre due figure portano in azienda gli aspetti positivi del digitale, come l’impatto sulla esperienza del cliente e i nuovi ricavi da modelli di business più agili e vicini ai clienti, il CISO ha invece il compito di sottolineare i rischi di sicurezza e spingere per la protezione dei dati come elemento di differenziazione. Deve però dotarsi di un linguaggio non solo tecnico, in modo da poter comunicare al meglio con il Board. Il CISO sarà quindi in futuro una figura sempre più importante, e le Università dovranno attrezzarsi maggiormente perché si tratta di competenze molto ricercate e sempre più difficili da trovare.
INTERVISTA A:
CORRADINO CORRADI,
Head of ICT Security, Privacy & Fraud Management di Vodafone Italia
A cura di: Elena Vaciago
Associate Research Manager, The Innovation Group
