Nonostante le aziende siano sempre più attente e preparate in tema di gestione dei rischi cyber, i Responsabili della Sicurezza ICT devono confrontarsi con uno scenario ogni anno più complesso. Quali priorità assegnare oggi alle scelte strategiche per la protezione del business e degli asset critici? ne parliamo in questa intervista con Fabio Ugoste, Information Security Officer di Intesa Sanpaolo.
TIG. Facciamo il punto su quelle che potrebbero essere, nel corso del 2019, le sfide principali in tema di cyber risk management. Secondo Lei cosa le aziende italiane dovrebbero mettere a piano per contrastare questi rischi? Quali sono oggi azioni prioritarie su cui focalizzare gli sforzi?
Fabio Ugoste. È complesso oggi individuare una priorità unica in quanto gli attacchi sono sempre più ad ampio spettro. E’ quindi fondamentale tenere sotto controllo tutto l’insieme degli elementi. Noi puntiamo ad essere sempre più bravi, anzi, ad eccellere, per quanto riguarda le misure di protezione fondamentali. Lavoriamo per ottimizzare alcune attività che oggi vengono date quasi per scontate, come il patch management, il mantenere hardware e software costantemente aggiornati e fare in modo che tutti gestiscano al meglio le proprie credenziali di accesso ai sistemi. Questo costituisce l’ABC della sicurezza e deve essere portato a livelli di eccellenza, perché è proprio su questo fronte che viene indirizzato il 95% degli attacchi massivi massivi (come malware, ransomware, ecc.) che nel complesso possono causare danni importanti.
Fondamentale è anche il tema legato alle nuove tecnologie, alle soluzioni innovative che aiutano a farci diventare sempre più preparati nell’intercettare eventi anomali. Oggi la sfida è essere in grado di verificare enormi quantità di dati, usando al meglio tutte le nuove tecnologie disponibili quali Machine Learning, AI, Anomaly Detection, ecc. Queste soluzioni aiutano anche nella prevenzione da Advanced Persistent Threat (APT), gli attacchi avanzati e mirati su singoli target, che risultano essere una piccola percentuale sul totale, ma possono essere molto dannosi.
Infine, il terzo fondamentale aspetto da considerare, trasversale ad entrambe le attività, è il tema della diffusione della cultura della cybersecurity non solo all’interno dell’azienda. Ad oggi infatti l’anello debole della catena continua a essere il fattore umano, e non parlo solo dei dipendenti, ma considero tutti i soggetti che entrano a far parte del perimetro aziendale, come i fornitori e i clienti.
TIG. Come vede la situazione con riferimento all’attuale cultura sulla sicurezza digitale?
Fabio Ugoste. E’ indispensabile continuare a far crescere l’awareness delle persone: è un problema che noi, con la nostra presenza diffusa in tutto il mondo, riscontriamo praticamente ovunque, anche se nel passaggio da USA a Europa a Italia il problema si aggrava. In futuro mi aspetto che il tema diventerà ancora più complesso da gestire, perché la tendenza in atto è quella di una sempre maggiore interconnessione e condivisione tra le persone di dati digitali, senza particolari remore e precauzioni nell’utilizzo dei social.
TIG. Quali sono oggi le azioni prioritarie per incrementare una cultura generale per la sicurezza?
Fabio Ugoste. Bisogna educare le persone a rispettare alcune prassi fondamentali, a non condividere le password, ad utilizzare schemi di password diversi sui diversi ambiti di utilizzo. Le persone devono comprendere che ogni volta che autorizzano un provider a usare i propri dati, la proprietà delle informazioni viene sostanzialmente ceduta a terzi. In Intesa Sanpaolo abbiamo intrapreso un percorso di progressiva eliminazione delle password: come già fatto con i clienti, anche per i dipendenti avremo presto una multi factor authentication. Non è però sufficiente individuare un processo sicuro, perché, nella nostra esperienza, se questo risulta troppo complesso, diventa difficile riuscire a farlo utilizzare. Abbiamo quindi studiato una user experience applicata alla sicurezza e continuamente la verifichiamo per ogni nuova soluzione. E’ necessario quindi che questa sia al tempo stesso molto semplice da usare ed anche molto sicura.
TIG. Diffondere cultura di sicurezza vi sta portando quindi a svolgere un ruolo sociale, laddove le istituzioni e la scuola in primis non stanno facendo abbastanza per educare maggiormente le persone su questi temi …
Fabio Ugoste. Nella nostra area di lavoro, puntiamo ad eccellere nei fondamentali e ad aumentare la capacità di intercettare i segnali deboli, mentre per quanto riguarda i dipendenti del Gruppo, ma anche fornitori e clienti, l’obiettivo è quello di diffondere cultura e awareness. Oggi considerare i rischi che provengono da terzi è fondamentale: basti pensare che quasi tutte le frodi avvengono perché i clienti cedono, in buona fede, le proprie credenziali, nella convinzione di stare operando con la propria banca.
Anche negli incontri con grandi aziende internazionali vediamo che queste affrontano lo stesso problema: far crescere il livello di sicurezza lungo tutta la catena. Parlando di cultura della cybersecurity diventa inevitabile pensare a quanto potrebbe fare la scuola di base oltre che i percorsi formativi universitari. C’è ritardo nella risposta ad un problema concreto: mancano figure professionali con competenze specifiche sulla cybersecurity, mentre, se pensiamo ad esempio al mondo anglosassone, le lauree con specializzazione di questo tipo esistono da molto più tempo. Su questo punto noi stiamo cercando di fare la nostra parte avendo avviato importanti collaborazioni con le principali Università italiane.
TIG. Oggi si parla molto di automazione e Intelligenza Artificiale come una possibile risposta al tema dell’accresciuta complessità di gestione della cybersecurity: potrebbe essere una soluzione alla mancanza di persone e competenze?
Fabio Ugoste. Il problema non può essere del tutto risolto con l’Artificial Intelligence (AI): è sicuramente vero che, al momento, con questi strumenti si eliminano alcune attività di tipo più operativo, ma per sviluppare soluzioni di AI e per integrarle nei processi aziendali, servono competenze specialistiche molto difficili da reperire. Oggi appare chiaro che se occorre gestire milioni di allarmi, sarà possibile farlo solo attraverso l’uso di strumenti informatici. Le persone dovranno invece concentrarsi maggiormente su aspetti di indagine ed approfondimento. Con l’A.I. potenzialmente si riduce quindi la domanda di effort operativo, ma sta crescendo la domanda per altre professionalità. Da una prima indagine, effettuata immaginando una serie di possibili use cases per il machine learning, abbiamo verificato che ci sono, ad oggi, veramente poche persone nel mondo in grado di lavorare su questi temi in modo efficace.
INTERVISTA A:
FABIO UGOSTE,
Information Security Officer, Intesa Sanpaolo
A cura di:
Elena Vaciago,
The Innovation Group, @evaciago