Cybersecurity Governance: governo dei processi fondamentale

Cybersecurity Governance: governo dei processi fondamentale

Cybersecurity Governance: governo dei processi fondamentale

Cybersecurity Governance: governo dei processi fondamentale per prevenzione e risposta al rischio cyber

Per essere in grado di rispondere meglio a rischi in continua evoluzione e sempre più critici, oltre che per una migliore compliance, sarà prioritario in futuro lavorare in modo più strutturato, con una corretta governance dei processi, con una definizione più chiara dei ruoli e delle procedure da seguire, ottimizzate e condivise a seconda delle situazioni. Abbiamo approfondito l’argomento con Stefano Plantemoli, Security Manager del Ministero dell’Interno – Dipartimento Politiche del Personale Ufficio IV Innovazione Tecnologica.

TIG. Quali evoluzioni ha osservato con riferimento allo scenario della cybersecurity e ai principali eventi del 2016? quali sono le principali problematiche che le aziende si trovano ad affrontare?

Stefano Plantemoli. Il problema oggi più grave è che si ha una scollatura tra quelle che sono le effettive minacce presenti nella rete, e le reali attività di analisi e prevenzione svolte dalle aziende e dalla PA. Con il prossimo anno un elemento Disruptive sarà l’arrivo del Regolamento europeo sulla privacy, o GDPR, che imporrà non tanto delle misure minime da seguire, quanto piuttosto un approccio basato sull’analisi dei rischi reali per la singola organizzazione. Questo porterà le aziende a dover ripensare il proprio approccio e anche la propria definizione di processi e ruoli interni per la gestione dei rischi cyber. La figura del DPO, Data protection officer, introdotta dal regolamento, andrà a rivestire un ruolo importante, ma molto dipenderà da come sarà posizionata nell’organizzazione, se a livello apicale oppure in seno a una struttura più operativa. In particolare sarà interessante capire quanto sarà rispettata la sua autonomia operativa, come previsto dalla normativa.

TIG. Quali sono secondo lei oggi i principali limiti nella gestione del rischio cyber?

Stefano Plantemoli. L’elemento oggi più critico è la mancanza di una reale collaborazione tra le diverse parti, pubbliche e private, per un efficace infosharing, oltre che una complessiva inadeguatezza del governo dei processi per la cybersecurity, che andrebbero invece finalizzati alle aree più critiche ed a una maggiore efficacia. Le risorse finanziarie seppure non adeguate ci sono: in tecnologia si spende, anche nel settore pubblico. Il fatto di avere soluzioni eterogenee tra di loro può essere un elemento vincente, nel momento che uno  strato di intelligence serve poi a metterle tutte a fattore comune. Il problema oggi è la mentalità e la priorità che si attribuisce alla cyber security, la sicurezza è un processo in continua evoluzione, dobbiamo saperci adattare alle nuove minacce e saper diffondere la necessaria cyber awareness. Se non si possiede conoscenza ed organizzazione la tecnologia non è in grado di compensarla, al contrario una tecnologia non perfetta o evoluta può comunque essere utile in una struttura bene organizzata. Con questo presupposto si faciliterebbe la cooperazione tra settore pubblico e privato, come era anche previsto dal Piano Strategico Nazionale per la sicurezza cibernetica. L’infosharing dovrebbe aiutare le organizzazioni a condividere meglio quanto si osserva in termini di attacchi subiti, minacce e vulnerabilità, ad attuare un travaso di esperienza che può servire anche ad altri, con lo scopo di  prevenire attacchi cyber su larga scala. Sempre dall’infosharing potrebbe nascere uno studio condiviso di come ciascuno applica uno specifico modello di difesa, in modo da verificare qual è quello più efficace in contesti simili. Lo scambio di esperienza è importante, andrebbe organizzato in modo da avvenire in modo sistematico, con uno o più incontri nel corso dell’anno, mettendo intorno al tavolo sia le figure tecniche, sia i decisori del business. Incontri sistematici di questo tipo avrebbero anche un effetto di aumentata resilienza e cooperazione durante la gestione degli attacchi Cyber.

TIG. Il nuovo team di Diego Piacentini ha individuato in Gianluca Varisco la figura che si occuperà dei temi della cybersecurity, e nei 12 punti del piano per la digitalizzazione dell’Italia[1], ha indicato come obiettivo definire una policy per cui chi individua una vulnerabilità possa segnalarla in modo adeguato, coinvolgendo in questo anche gli hacker etici. Applicare questo discorso al software applicativo potrebbe aiutare a incrementare la qualità del codice …

Stefano Plantemoli. Questo discorso è molto importante: molte architetture software sviluppate male, o anche aspetti di integrazione in cloud basati su API non sicure, portano a falle e vulnerabilità. Un obiettivo nazionale dovrebbe però anche essere quello di sapere: se sono attaccato da uno Stato estero, come reagisco? Cosa faccio? Quali sono i tempi di reazione ?  Oggi tutto questo non è chiaro, ognuno è lasciato a sé stesso. Nell’ambito dello sviluppo applicativo, si parla molto dei benefici di un approccio non solo DevOps, ma anche DevSecOps, che incorpori aspetti di verifica della sicurezza del codice in modo iterativo e durante un processo condiviso tra sec e ops. Questo è possibile però soltanto se internamente si è organizzati e si ha la cultura giusta per affrontare questo cambiamento operativo. E’ vero che queste metodologie portano a sviluppi più veloci, ma richiedono anche un diverso approccio, molto più orientato a continui test del software, senza i quali il software potrebbe rimanere esposto a bachi: per avviare questo cambiamento è necessario partire da un nuovo approccio da parte degli sviluppatori e da processi disegnati correttamente, non solo dalla tecnologia.

TIG. Sarebbe quindi fondamentale effettuare un vero e proprio salto di qualità perché la cybersecurity possa dirsi efficace nella protezione di dati, processi e in ultima analisi dell’intero business.

Stefano Plantemoli. In futuro sarà prioritario lavorare in modo più strutturato, con una corretta governance dei processi, con una definizione più chiara dei ruoli e delle procedure da seguire, ottimizzate e condivise a seconda delle situazioni. Bisognerà inoltre tener conto dell’impatto di evoluzioni continue, come ad esempio quella del cloud computing e del privacy shield, che comportano nuove responsabilità da parte dei provider, da gestire in modo corretto a livello contrattuale e legale. Tutti aspetti  su cui ci sarebbe moltissimo da lavorare, mentre in Italia si osserva ancora molta inerzia: si lasciano le iniziative alla buona volontà dei singoli, a differenza di quanto avviene in altri Paesi, che invece si stanno già muovendo in modo attivo e coordinato su questi ambiti.

A cura di:

Elena Vaciago, The Innovation Group

[1] Piacentini: “Ecco le mie 12 mosse per fare l’Italia digitale”, 19 Dicembre 2016, http://www.corrierecomunicazioni.it/pa-digitale/44984_piacentini-ecco-le-mie-12-mosse-per-fare-l-italia-digitale.htm