Fino ad oggi alle figure tecniche era demandata la protezione di tutti i sistemi ICT: oggi invece è importante focalizzarsi sui dati e sui processi critici per il business, puntando a investire di più in questa direzione. E’ tuttora difficile collegare questa problematica al business, e spesso i decisori la vedono come un freno all’innovazione, non tanto come un aspetto abilitante e fondamentale. Abbiamo affrontato l’argomento con Fabio Bucciarelli, IT Security Manager presso Regione Emilia Romagna.
TIG. Quali sono oggi le principali problematiche che le aziende e gli enti pubblici incontrano nella gestione del rischio informatico?
Fabio Bucciarelli. Oggi sempre di più il problema principale è riuscire a condividere le problematiche di cybersecurity con tutte le figure dell’organizzazione. Per troppo tempo la sicurezza informatica è stato un ambito tecnico, circoscritto ad alcuni specialisti dell’ICT. Oggi invece questi problemi devono essere ben noti agli utenti finali, tutti devono essere consapevoli dei problemi potenzialmente collegati ai rischi cyber, in modo da poter reagire velocemente. Inoltre, i vertici dell’organizzazione devono essere coinvolti, serve il loro aiuto per comprendere quali sono i rischi più importanti da tenere sotto controllo. Fino ad oggi alle figure tecniche era demandata la protezione di tutti i sistemi: oggi invece è importante focalizzarsi sui dati e sui processi critici per il business, puntando a investire di più in questa direzione. Si sta cercando di farlo anche in Regione Emilia Romagna, ma in genere negli enti pubblici questo percorso incontra molti ostacoli. E’ tuttora difficile collegare questa problematica al business, e spesso i decisori la vedono come un freno all’innovazione, non tanto come un aspetto abilitante e fondamentale, da tenere sempre presente.
TIG. Su quali ambiti della cybersecurity vi siete maggiormente focalizzati negli ultimi anni?
Fabio Bucciarelli. Nel 2016 abbiamo avviato un percorso di certificazione allo standard ISO27001: la richiesta è partita da alcuni enti regionali che si stavano certificando, e dal momento che usufruivano dei servizi ICT del nostro CED, ci avevano richiesto tutta una serie di documenti finalizzati alla loro certificazione. Abbiamo pensato che sarebbe stato meglio invece ottenere anche noi lo standard. L’attività di certificazione è utile, ma va contestualizzata alle proprie esigenze e soprattutto deve servire a far aumentare la consapevolezza di tutti sul rischio cyber.
Abbiamo poi investito molto sul tema del monitoraggio e della gestione degli incidenti, con il risultato che oggi siamo più consci delle minacce in corso e più pronti a intervenire in caso di attacco cyber, utilizzando al meglio le nostre risorse che sono comunque limitate. L’evoluzione della Threat Intelligence va verso la raccolta di ulteriori dati sulle minacce da fonti open, automatizzando le attività e incorporando i dati, comprese le URL malevole, nel SIEM, puntando a rendere il più possibile automatizzata anche la risposta. Ci siamo accreditati con il CERT – PA ma al momento non scambiamo le nostre informazioni.
Da 2 anni disponiamo poi di un SOC interno, che è andato evolvendo nel tempo e oggi conta alcune risorse specializzate. Stiamo sperimentando tecniche di machine learning applicate ad una soluzione di web application firewall, in grado di riconoscere anomalie nel traffico e che, con il supporto di un analista “umano”, auto-apprende come rilevare possibili attacchi. L’analista umano interviene controllando gli avvisi generati correggendo la risposta dopo aver scartato i numerosi falsi positivi, cosicché il sistema impara a rispondere sempre meglio e a bloccare le possibili attività malevole.
TIG. Quali saranno i vostri progetti in ambito cybersecurity nel 2017?
Fabio Bucciarelli. In passato abbiamo un po’ trascurato la formazione sulla sicurezza, per cui quest’anno stiamo valutando di erogare corsi in elearning per aumentare la consapevolezza delle persone su questi temi. Sarà rivolta a tutti e stiamo valutando soluzioni innovative, che includono aspetti di interazione, del tipo di un gioco, e permettono di realizzare anche simulazioni, ad esempio finte mail di phishing. Altre attività di formazione sono legate alla compliance, ad esempio alle nuove norme europee sulla Data protection (GDPR).
A cura di:
Elena Vaciago, The Innovation Group