Il difficile lavoro del Chief Information Security Officer – Parte 3
Nella prima parte del nostro excursus sul ruolo del Chief Information Security Officer abbiamo visto come il suo sia un lavoro complesso, forse a volte ben retribuito, ma visto sempre e comunque dagli altri componenti della élite dei manager (la C-suite, fatta da CEO, CFO, CRO, CIO, ecc.) come un’attività tecnica spesso di intralcio al core business dell’azienda.
Il gruppo inglese TalkTalk ha affermato nei giorni scorsi che ha stimato un costo una tantum di 53 milioni di dollari per il recente attacco cyber con perdita di dati per 156.959 clienti. Si tratterebbe delle spese legate alla perdita di fatturato di ecommerce (il sito della società è rimasto down per 3 settimane), costi aggiuntivi per IT e tecnologie, maggiori chiamate al call center, costi legati all’Incident Response. Per evitare il churn dei clienti, TalkTalk ha prontamente offerto un upgrade gratuito di vari servizi ai suoi clienti: contenuti TV free, una SIM mobile con free text, dati e chiamate, chiamate fisso e mobile illimitate in UK, “health checkup” gratuito del servizio internet a banda larga[1].
Come deve procedere un’azienda in caso di reato informatico? L’iter procedurale prevede che, dopo la denuncia all’Autorità Giudiziaria, il caso venga preliminarmente vagliato da un Magistrato, il quale successivamente impartirà delle direttive nel senso alla Polizia Giudiziaria. Presso la Procura delle Repubblica di Monza, esaurita la fase preliminare di competenza del Pubblico Ministero, l’attività investigativa specifica viene devoluta all’Area Reati Informatici, istituita allo scopo di soddisfare le esigenze connesse con le “investigazioni digitali”.
Il rischio informatico è un rischio emergente e rilevante per le piccole e medie imprese: servono quindi nuovi strumenti che permettano di comprendere meglio qual è il proprio “livello di cyber security”. Una risposta a questa domanda viene da un progetto europeo, WISER (http://www.cyberwiser.eu/), che propone un percorso di on-line assessment per una comprensione approfondita dell’esposizione al rischio cyber e per una verifica non intrusiva di eventuali vulnerabilità nell’infrastruttura aziendale.
Il 2014 sarà un anno da ricordare sul fronte degli incidenti di Sicurezza, con data breaches che hanno conquistato le prime pagine dei giornali quasi a cadenza regolare – l’anno in cui ogni azienda ha smesso di considerarsi sicura. I dipartimenti IT delle aziende si sono trovati spesso impreparati nel mitigare le minacce, lasciando aperte “ampie finestre temporali” in cui gli attaccanti hanno potuto sfruttare vulnerabilità, portare a segno le proprie infiltrazioni e accedere ai dati dell’impresa.
