Intervista a Genseric Cantournet, Chief Security Officer di RAI
Non ha più senso parlare di sicurezza informatica, così come non ha senso parlare della sicurezza di un singolo componente di un servizio, ma solo della fornitura sicura dello stesso nel suo complesso. Vale più l’integrità del servizio che l’erogazione stessa del medesimo.
E’ quanto afferma Genséric Cantournet, da 1 anno a capo della Divisione Security e Safety di RAI, dopo 8 anni come Security Vice President in Telecom Italia a seguito di una carriera nelle Istituzioni militari e diplomatiche.
Qual è oggi l’approccio più corretto da seguire nella gestione della cybersecurity?
“La riduzione dei costi di accesso alla rete e lo sviluppo della banda larga comportano una notevole espansione del cyberspace, rendendolo un fattore sempre più cruciale per la crescita economica e sociale. La rete e i sistemi che formano il cyberspace sono progettati e realizzati pensando a criteri di usabilità senza tenere a debito conto fin dall’inizio aspetti di sicurezza.
Queste vulnerabilità sono sfruttate anche da singoli per commettere azioni dannose (come il furto di dati sensibili all’interno delle aziende). Non basta, quindi, la messa a punto di adeguate misure di contrasto, ma anche azioni di sensibilizzazione e di controllo. In questo modo è possibile alzare il livello delle difese delle infrastrutture ritenute vitali, delle aziende e dei singoli cittadini.
Un cambiamento in gran parte indotto dalla trasformazione digitale in corso che abbraccia tutto e tutti, un cambiamento importante, inevitabile, che in molti stanno sposando per non rimanere indietro. Come fare però a tenere sotto controllo i nuovi rischi della cybersecurity?
“Bisogna dotarsi internamente di un processo endogeno che permetta di continuare a lavorare sfruttando le nuove opportunità che via via si presentano, ma tenendo sotto controllo o eliminando del tutto le conseguenze negative – aggiunge Genséric Cantournet –. In RAI la Direzione Security & Safety comprende al suo interno la gestione della sicurezza classica, quindi la tutela delle informazioni del business intesa in modo tradizionale, ma contemporaneamente anche la safety sul lavoro, quindi la tutela delle persone, dei rischi ambientali e sanitari. Accentrando i vari aspetti si ha una visione unitaria, olistica, su tutti i rischi. Oggi ad esempio non è più realistico, e neanche possibile, separare sicurezza fisica e logica. Le componenti digitali sono diventate pervasive, si osserva una continua convergenza dei diversi aspetti. L’importante è che la funzione di Security Governance abbia una visione unitaria sui diversi rischi per il business, dall’accesso al tornello fino alla violazione della reputazione online. Chi si occupa di sicurezza deve innanzi tutto analizzare il rischio, comprenderlo, pesarlo e gestirlo nel modo più opportuno”.
Negli organigrammi delle aziende italiane spesso manca la figura del Risk Officer e anche quando c’è, non si occupa di Enterprise Risk Management a tutto tondo ma piuttosto di rischio finanziario, di rischi trasferibili. La vostra situazione è avanzata rispetto alla media delle aziende italiane: quali vantaggi si ottengono? “In RAI il risk management ha oggi un ruolo centrale nella gestione della sicurezza – risponde Cantournet – Ci siamo mossi tra i primi in questo senso e altri seguiranno. Il vantaggio è che possiamo così affrontare tematiche molto nuove, ad esempio quella degli oggetti connessi in rete, che è già una realtà oggi. Si tratta di oggetti che hanno utilizzi molto diversificati. Alcuni, i wearable, sono pensati per il benessere personale, ma hanno molti limiti sul fronte della gestione sicura dei dati. Ad esempio permettono di geoposizionare le persone: alcuni condividono la propria presenza addirittura su Facebook. Può essere un’opportunità ma in alcuni casi anche un rischio: ad esempio, è possibile che un giornalista in questo modo faccia sapere a tutti dove si sta trovando, un’informazione che può essere utile alla concorrenza”.
E visto che la RAI sta diventando una Digital Media company, con una vocazione sempre più spinta sul fronte della sperimentazione delle nuove tecnologie, è chiaro che i rischi crescono. “La RAI oggi crede molto nell’evoluzione digitale, e del resto non ci sono altre scelte” è il commento di Cantournet.
Tornando alla cybersecurity, quali devono essere oggi le scelte prioritarie per essere al passo con l’evoluzione delle minacce? “Al primo posto va un maggiore scambio di informazioni – dice Cantournet – che deve essere attivato con altre aziende di settori anche diversi, visto che gli attaccanti non fanno distinzione, oltre naturalmente alle controparti del settore pubblico e delle forze dell’ordine. Secondo aspetto, avere tutte le misure e le architetture tecniche per fronteggiare le minacce attuali: infrastrutture di monitoraggio, di intelligence, di ottimizzazione delle operation della sicurezza. Terzo, ma non ultimo, lo sforzo costante sul fronte dell’awareness delle persone, che si traduce, nell’ordine, in: conoscenza, formazione, training on-the-job e test. Oggi gran parte del problema risiede proprio nella mancanza di conoscenza delle persone: mentre per altri ambiti è ancora possibile intervenire proteggendo parzialmente, tramite recinzioni o barriere, sul fronte digitale oggi non si riesce più a creare una barriera che impedisca alle persone di essere vittime di un attacco cyber. Chiunque in un attimo può condividere una foto online portando dati rilevanti dell’azienda all’esterno: non c’è più alcuna distanza, siamo tutti esposti. Bisogna affrontare la situazione per quello che è: se non partiamo da questa premessa, commetteremo per forza degli errori”.
A cura di:
Elena Vaciago, The Innovation Group