Quali sono oggi le principali sfide con cui deve confrontarsi il Responsabile della sicurezza informatica, e come sta evolvendo il suo ruolo, con l’obiettivo di favorire la strategia di digitalizzazione scelta dalla sua azienda? Ne abbiamo parlato con chi vive quotidianamente queste problematiche e che può quindi indicare la direzione giusta da intraprendere, ossia, direttamente con Francesco Di Maio, Head Security Department, ENAV e parte dell’Advisory Board del Programma 2018 sulla Cybersecurity di The Innovation Group.
TIG. Quali sono oggi le problematiche più avvertite dai Chief Information Security Officer?
Francesco Di Maio. Il principale tema con cui deve confrontarsi oggi un Responsabile della sicurezza informatica è l’aspetto culturale, la necessità di diffondere maggiore consapevolezza su questi rischi. Sappiamo infatti che la principale debolezza di un’architettura di sicurezza rimane l’elemento umano: è quindi necessario far crescere l’awareness e avere una maggiore cultura. I modi per farlo sono diversi, e alcuni risultano essere più efficaci della formazione tradizionale, introducendo ad esempio aspetti legati alla gamification.
Secondo problema: riuscire a collegare l’intera supply chain sui temi della cybersecurity. Tutti i fornitori di beni e servizi esterni devono possibilmente adeguarsi al modello interno di gestione: bisogna avere un modello di sicurezza basato sul trust, sulla fiducia da parte di tutti delle capacità altrui. Essendo l’ENAV un’infrastruttura critica, ci aspettiamo da tutti i nostri fornitori un’elevata professionalità nell’erogazione dei rispettivi servizi. Anche i produttori di software dovrebbe dotarsi di metodologie di sviluppo sicuro, processi di verifica interni, modelli di patching basati su standard internazionali oggettivi e misurabili.
Terza sfida: semplificare. Le organizzazioni sono sempre più complesse. Lo sforzo di tutti i CISO deve quindi essere quello di ridurre i silos, eliminare le complicazioni. Bisogna disporre di una mappatura dei sistemi più critici e di un processo di security governance nella sua interezza, comprensivo di aspetti di Security by design e anche di un approccio sicuro lungo tutto il ciclo di vita dei prodotti/servizi erogati.
TIG. In pratica come assicurare la sicurezza della Supply Chain?
Francesco Di Maio. Si tratta di impostare un “Security through evidence”; essere cioè in grado di dimostrare secondo vari modelli che il codice rilasciato è sicuro, che sono rispettate le linee guida base (come la verifica di processi di routine, il superamento di stress test, la gestione dell’autorizzazione dell’utente). Noi prevediamo nei processi di procurement la fornitura di linee guida base: il cliente deve fornire nei contratti specifiche tecniche e requisiti base. Anche ai nostri provider chiediamo appropriati livelli di sicurezza: sia per quanto riguarda i processi e l’organizzazione, sia garanzie di continuità operativa, misurate sulla base di specifici SLA.
TIG. In molte aziende il Responsabile della Sicurezza lamenta la difficoltà di coinvolgere il Board/Top Management e renderlo partecipe delle criticità della cybersecurity: è anche il vostro caso?
Francesco Di Maio. Non direi: per noi la sicurezza informatica è un elemento critico del business. La nostra azienda è totalmente tecnologica: disponibilità, integrità e riservatezza dei dati sono aspetti assolutamente critici e prioritari, e l’alta direzione dà risposte consistenti. Non avvertiamo questo problema.
TIG. Parliamo di ottimizzazione della Governance della Cybersecurity: quale struttura di governance deve essere scelta da ogni azienda?
Francesco Di Maio. Una struttura ideale non esiste, dipende dalla singola organizzazione e dai suoi scopi. Ognuno deve effettuare una valutazione interna e quindi disegnare la governance partendo dal concetto che tutto deve essere risk based. Da questa analisi iniziale derivano output specifici per ogni singola organizzazione.
Nel mondo dell’aviazione civile abbiamo anche norme specifiche in tal senso, l’EASA (l’agenzia europea per la sicurezza aerea, European Aviation Safety Agency) ha avviato un programma con regolamenti di grande impatto. Inoltre ci sono linee guida comuni per salvaguardare la fear competition tra tutti gli attori, in modo che tutti i provider di servizi di navigazione aerea abbiano misure comparabili.
Oltre alle varie iniziative dell’EASA per rispondere ai rischi di cybersecurity, va ricordato poi l’avvio dell’European Strategic Coordination Platform for cybersecurity, un’iniziativa voluta invece da una serie di attori pubblici, privati e vari rappresentanti dell’aviazione (linee aeree, aeroporti, aviazione commerciale). Si tratta di un modello condiviso e coordinato di risposta, con l’obiettivo di elevare il livello di intelligence e information sharing nell’aviazione. Queste iniziative fanno anche sì che vengano adottate da tutte le parti delle prassi comuni, come la nomina di un CISO, l’analisi del rischio secondo modelli standard, una cybersecurity governance comprensiva degli aspetti di monitoraggio e reporting del rischio.
TIG. Le aziende si confrontano oggi con l’arrivo di numerose innovazioni Disruptive, dal Cloud, all’Internet of Things, all’intelligenza artificiale. Quale impatto avranno queste innovazioni sulla Cybersecurity aziendale?
Francesco Di Maio. Viviamo un momento notevole di trasformazione: la nostra vita sta diventando via via sempre più digitale, con qualche problema di privacy in più. Le nuove tecnologie offrono livelli più elevati di condivisione e una disponibilità immediata dei dati, ma spesso sono fornite con scarsa capacità di sicurezza, come si è visto nel 2017 con l’attacco Denial of service tramite la botnet Mirai che sfruttava appunto le vulnerabilità dell’IoT. Si rende quindi necessario indirizzare principi più generali e comuni di sicurezza: ciascuno deve cioè partecipare aggiungendo un proprio layer di sicurezza.
TIG. Quali saranno quindi i problemi di cybersecurity che le aziende dovranno affrontare il prossimo anno? In quale direzione bisognerà puntare nel 2018 per ridurre i rischi?
Francesco Di Maio. Bisogna passare da una gestione generica delle minacce a una fortemente incentrata sulle proprie vulnerabilità. Essere in grado di capire al momento se una minaccia in corso può avere conseguenze dirette sulla propria organizzazione. Si tratta principalmente di applicare il principio “Conosci te stesso”, che nel nuovo mondo delle minacce cyber riguarda tutti, le grandi organizzazioni ma anche i singoli individui, perché oggi i rischi sono collegati ai vari utilizzi non consapevoli degli strumenti digitali. Il fattore della responsabilità deve coinvolgere innanzi tutto un’analisi delle vulnerabilità.
TIG. Quale sarà quindi in futuro, sempre di più, il ruolo del CISO?
Francesco Di Maio. La security sarà sempre di più uno dei principali driver del business. Per chi vive di digitalizzazione, valori come l’integrità, la disponibilità e la riservatezza dei dati stanno diventando importantissimi, non solo per la difesa dell’azienda, della sua continuità operativa e della sua reputazione, ma, nel caso di aziende produttrici, anche per quanto riguarda la qualità dei propri prodotti, che devono avere sempre di più caratteristiche intrinseche di sicurezza digitale. Il CISO quindi non sarà più in futuro soltanto chi protegge gli asset critici dell’azienda, come le informazioni critiche contenute nei sistemi, ma dovrà dotarsi di skill e capacità per rendersi proattivo nei confronti della security del prodotto o servizio erogato. Per ENAV lo sbarco in Borsa nel 2016 ha significato impegnarsi ancora di più, adottando un approccio olistico per cui i rischi cyber sono compresi in una visione completa su tutti i rischi, e puntando a valori etici con il fine ultimo della salvaguardia delle dinamiche produttive ma anche dell’impegno nei confronti degli investitori.
INTERVISTA A:
FRANCESCO DI MAIO, Head Security Department, ENAV
A cura di: Elena Vaciago
Associate Research Manager, The Innovation Group
————-
Precedenti Interviste sul tema delle trasformazioni del Cyber Risk Management e del ruolo del Responsabile della Sicurezza e del Risk Management:
Le aziende sono sempre più interessate alle opportunità offerte dalle innovazioni Disruptive, dal Cloud, all’Internet of Things, all’intelligenza artificiale. Quale impatto avranno queste sulla Cybersecurity aziendale? Quali diventano le principali problematiche per il CISO e quali sono quindi le priorità da mettere in Agenda per il 2018? Ne abbiamo parlato con Corradino Corradi, Head of ICT Security, Privacy & Fraud Management di Vodafone Italia.
DYNAMIC CYBER RISK MANAGEMENT NELLA PROSPETTIVA ERM NEL GRUPPO HERA
Le priorità di integrazione e omogeneizzazione della gestione dei rischi (Enterprise Risk Management, ERM) si devono confrontare oggi con uno scenario sempre più dinamico e complesso per quanto riguarda la risposta alle minacce cyber. Come rendere quindi il processo di allineamento e integrazione il più possibile dinamico, coerente con una fotografia dello stato di security che è in continua trasformazione? ne abbiamo parlato in questa intervista con Stefano Scoccianti, Enterprise Risk Manager di Gruppo Hera, che ci indica la strada corretta da seguire per ottenere i risultati sostenibili nel tempo.
IOT SECURITY E CONSAPEVOLEZZA DELLE PERSONE LE PRINCIPALI SFIDE DEL CISO NEL 2018
Il ruolo del CISO è in rapida evoluzione: in futuro dovrà far fronte a maggiori rischi informatici e rispondere a molteplici responsabilità, sia per l’accresciuta complessità delle infrastrutture da tenere sotto controllo, sia per l’aggravarsi delle norme, sia per una quantità molto superiore di dati sensibili da gestire come conseguenza della diffusione dell’IoT. Data la rilevanza del tema, ne abbiamo parlato con Mauro Azzini, IT Manager di Guber.
CYBERSECURITY, UNA FUNZIONE IN RAPIDA TRASFORMAZIONE
Difficoltà nel far percepire al Board/Top Management le criticità della cybersecurity per il business. Far comprendere che in termini di innovazione, la sicurezza ha oggi un ruolo abilitante, non frenante, può fornire un valore competitivo a patto di averne allineato gli obiettivi con quelli del business. Complessità di gestione ma soprattutto necessità di focalizzarsi maggiormente sul controllo dei comportamenti delle persone. Sono molti i problemi che i CISO si trovano ad affrontare oggi, e in prospettiva, non sembra che diminuiranno. Piuttosto, se ne aggiungeranno di nuovi. Ne abbiamo parlato in questa intervista con Gianpiero Acerbi, Esperto di cybersecurity in un’importante banca europea.
