Le aziende incontrano numerose sfide nella gestione dei rischi cyber: secondo Enrico Riccardi, Group Information Security Manager di Chiesi Farmaceutici SpA, è fondamentale dotarsi oggi di un approccio risk based volto a identificare i dati e i processi più critici del business, e intraprendere di conseguenza le misure correttive più efficaci. È del resto questa la direzione indicata anche dalle nuove norme europee, come quella relativa alla data protection (GDPR), o la nuova Direttiva NIS per gli operatori che erogano servizi essenziali.
TIG. Quali sono oggi le sfide che le aziende incontrano nella gestione del rischio informatico?
Enrico Riccardi. Ogni azienda deve strutturare le difese sulla base della propria esposizione ai rischi cyber, considerando tutte le possibilità, dal disservizio dovuto all’indisponibilità di un sistema, alla fuga di informazioni. A seconda del settore in cui opera la singola impresa, alcuni aspetti saranno più critici di altri.
Quello che però si osserva, guardando alle notizie che riportano i giornali, è che in molti casi mancavano addirittura le misure e processi basilari di security. L’analisi dei rischi nel settore industriale porta a considerare anche gli effetti di un’interruzione di un servizio o della riduzione della capacità di produzione. Con l’evoluzione del ransomware si prefigurano situazioni per cui anche le aziende del mondo produttivo potrebbero essere prese di mira, e costrette a pagare riscatti per ripristinare le condizioni degli impianti. In Italia però una cultura della sicurezza informatica per gli ambienti industriali è ancora tutta da sviluppare.
TIG. Oggi anche le nuove norme europee, come quella relativa alla data protection (GDPR), o la nuova Direttiva NIS per gli operatori che erogano servizi essenziali, raccomandano un approccio risk based nella gestione della sicurezza cyber. Quale sarà l’impatto sulle aziende?
Enrico Riccardi. Fino ad oggi l’approccio delle aziende italiane per la sicurezza ICT è stato spesso molto tecnico, con risorse e competenze che sono state sviluppate all’interno dell’area ICT, quindi considerando soprattutto le soluzioni tecnologiche per la sicurezza cyber. Gli standard invece, partendo dall’ISO27001, hanno sempre enfatizzato l’importanza di processi corretti, di un’analisi del rischio, in modo da identificare i dati e i servizi più importanti per il business, e da concentrare su questi misure e risorse che di per sé sono limitate. Le nuove norme, come la GDPR, ristabiliscono l’importanza di questa analisi del rischio, e aiutano ad assegnare priorità identificando dove è necessario intervenire con più urgenza.
TIG. Quali saranno i vostri progetti in ambito cybersecurity nel 2017?
Enrico Riccardi. Stiamo standardizzando la sicurezza a livello di gruppo, sia per quanto riguarda l’infrastruttura, che per la gestione dei processi in tutta l’organizzazione. Andremo inoltre a investire in Security Awareness, in quanto riteniamo che sia fondamentale elevare la consapevolezza di tutte le persone su questi temi: lo faremo con 3 iniziative, 2 dedicate al Top Management e all’ICT, e una invece generica per tutte le persone. Per questa terza stiamo valutando la modalità e-learning, con la possibilità di testare le competenze acquisite tramite test finale.
TIG. Come vedete evolvere l’offerta nel mercato della cybersecurity?
Enrico Riccardi. L’offerta di sicurezza risulta ad oggi ancora molto diversificata, anche se progressivamente tende a consolidarsi attorno alcuni grandi player: ci sono molte startup innovative che offrono soluzioni originali, che tipicamente vengono acquisite in tempi anche brevi. I top player puntano a incorporare sempre più funzionalità nei propri prodotti, ma tuttora su molti aspetti specialistici è meglio ricorrere a soluzioni best-of-breed.
TIG. Qual è per voi l’impatto della Digital Transformation su queste tematiche?
Enrico Riccardi. Il tema della Trasformazione Digitale del business è oggi molto sentito, nella nostra azienda un Comitato Digital promuove queste iniziative, coinvolgendo sia persone del management, sia dell’ICT. In tutti i casi poi in cui partono iniziative innovative in chiave digitale, anche la sicurezza è un elemento importante, che prendiamo in considerazione fin dall’avvio dei progetti.
A cura di:
Elena Vaciago, The Innovation Group