Il Cybersecurity Summit 2016 di Milano, organizzato da The Innovation Group lo scorso 24 Maggio, è stato l’occasione per comprendere quali sono i trend più recenti con riferimento all’evoluzione del cyber crime, alle nuove vulnerabilità oltre che ai modi per sfruttarle; per conoscere come far evolvere la Cybersecurity ed affrontare gli attacchi mirati; per dotarsi delle più efficaci misure proposte dall’industria.
La giornata, che ha visto grande partecipazione di pubblico, si è aperta con lo speech di Ezio Viola, Amministratore Delegato di The Innovation Group, e di Stefano Buschi, Cyber Risk Services Leader, Partner di Deloitte, che hanno commentato i risultati di una Survey condotta insieme nel 2015 su I trend del Cyber Risk Management in Italia, da cui sono emersi i temi più critici con riferimento alla gestione del rischio cyber: un approccio ancora troppo compliance-based, la necessità di un maggiore riporto alla direzione, l’urgenza di un allineamento della gestione del rischio con le criticità maggiori sentite dalla singola realtà.
A seguire, nella tavola rotonda La Security a supporto della trasformazione digitale delle imprese del Cybersecurity Summit, l’intervento di Francesca Bonora, Head of ICT Security Governance and Fraud Prevention di UniCredit. Elio Molteni, Senior Solution Strategist di CA Technologies, ha sottolineato che nel trade off tra user experience e IAM, le persone devono continuare a svolgere un ruolo fondamentale. Miguel Suarez, Presales manager Italy&Iberia di Symantec, ha sottolineato l’importanza di focalizzarsi sulle risorse e sui dati più critici da proteggere, mentre Gastone Nencini, Country Manager di Trend Micro, ha ricordato che la protezione dei dati deve avvenire in tutti i momenti del loro lifecycle, ricordando anche la priorità di elevare l’awareness in azienda su questi aspetti.
La sessione successiva è stata dedicata al tema della quantificazione del Rischio Cyber e dell’integrazione tra Cybersecurity e Risk Management, oltre che della Cyber Insurance, con il coinvolgimento di alcuni Chief Risk Officer (CRO) di aziende in cui la gestione del rischio cyber è già oggi approdata ai livelli più alti dell’Enterprise Risk Management (ERM). Alessandro De Felice, Chief Risk Officer, Prysmian e Presidente ANRA, ha descritto come è cambiato il ruolo del CRO e quali sono oggi le diverse tipologie di Cyber Insurance presenti sul mercato, sottolineando anche i limiti di una copertura di questo tipo, sia per gli importi in gioco, sia per la difficoltà di adattarla al singolo contesto. A seguire Michele Colajanni, Professore, Università di Modena e Reggio Emilia, Stefano Scoccianti, Enterprise Risk Manager, Hera e Mauro Torri, CRO, Italcementi Group, hanno discusso quali sono oggi gli aspetti critici nell’impostazione di una Risk-based cybersecurity, con integrazione tra cyber risk management e ERM, e coinvolgimento del Board sulle queste tematiche.
Raoul Brenna, Responsabile della Practice Information Security and Infrastructures, CEFRIEL – Politecnico di Milano, ha quindi spiegato come i nuovi device Internet connected possono diventare il ponte per sferrare attacchi cyber a risorse critiche. “Gli oggetti dell’IoT sono soggetti a numerose vulnerabilità, accessi non autenticati, trasmissioni non cifrate, canali non sicuri – ha spiegato Raoul Brenna durante il Cybersecurity Summit – una soluzione potrebbe essere quella dell’utilizzo di framework comprensivi di API per un security-by-design, una sicurezza nativa per gli oggetti intelligenti di prossima generazione”. A seguire, sono intervenuti alla Tavola Rotonda focalizzata sulla nuova frontiera delle minacce cyber (Apt, Ransomware, Attacchi DDoS) Giovanni Signorelli, Responsabile della Sicurezza informatica e compliance di Snam, Massimo Argenti, Team Lead Enterprise, Forcepoint e Rodolfo Rotondo, Business Solution Strategist, VMware.
Nel pomeriggio Luca Allodi, Research Fellow, Università di Trento ha dimostrato come un approccio Risk-based può risultare molto più efficace e cost-effective rispetto a quello tradizionale rule o compliance-based, con il quale, a fronte di molto più lavoro, i risultati non sono necessariamente quelli ottimali per un’azienda. A seguire l’intervento “Security Ratings for your Business” con Cesare San Martino, Responsabile del competence center di Eurosel Moma e Giovanni Signorelli, Responsabile della Sicurezza informatica e compliance di Snam. Paolo Emiliani, ICT Security Manager di Positive Technologies è invece intervenuto sul tema della protezione degli ambienti industriali, sottolineando come troppo spesso manca la visione di quale potrebbe essere l’impatto sul business delle vulnerabilità di questi ambienti, e dell’importanza di una relazione più fruttuosa con i vendor per gli aspetti di patching. A seguire, gli interventi di Giorgio Ancona, Head of Big Data & Security, Head of Strategic Alliances, Innovation & Communication, Atos e Nicola Cavallina, Channel Manager, Radware hanno mostrato come deve evolvere la security, puntando a elevare automazione, capacità di detection e mitigation, risposta adattativa nel tempo. David Gubiani, Security Engineering Manager Italy, Check Point ha invece approfondito come è invece possibile rompere la catena di infezione successiva ad un attacco informatico.
L’ultima sessione del Cybersecurity Summit ha visto come protagoniste alcune aziende israeliane: l’intervento di Zori Kor, Vice President, ASERO Worldwide (former Israeli Security Agency, ISA) ha fornito importanti indicazioni su quali sarebbero le azioni prioritarie a livello nazionale per prevenire attacchi alle infrastrutture critiche, citando l’esperienza di Israele; Erez Braun, Territory Sales Manager, Cynet Security ha spiegato come reagire tempestivamente utilizzando vari indici di rischio e identificando gli attacchi tramite analisi evolute di comportamento; Yaron Oliker, CEO and co-founder, Unbotify ha approfondito quale risposta bisogna dare al rischio crescente rappresentato da Bot; Ran Ohayon, Regional Director di Checkmarx ha approfondito le tecniche più attuali per uno sviluppo sicuro del software.