Il difficile lavoro del Chief Information Security Officer – Parte 3
Nella prima parte del nostro excursus sul ruolo del Chief Information Security Officer abbiamo visto come il suo sia un lavoro complesso, forse a volte ben retribuito, ma visto sempre e comunque dagli altri componenti della élite dei manager (la C-suite, fatta da CEO, CFO, CRO, CIO, ecc.) come un’attività tecnica spesso di intralcio al core business dell’azienda.
Il gruppo inglese TalkTalk ha affermato nei giorni scorsi che ha stimato un costo una tantum di 53 milioni di dollari per il recente attacco cyber con perdita di dati per 156.959 clienti. Si tratterebbe delle spese legate alla perdita di fatturato di ecommerce (il sito della società è rimasto down per 3 settimane), costi aggiuntivi per IT e tecnologie, maggiori chiamate al call center, costi legati all’Incident Response. Per evitare il churn dei clienti, TalkTalk ha prontamente offerto un upgrade gratuito di vari servizi ai suoi clienti: contenuti TV free, una SIM mobile con free text, dati e chiamate, chiamate fisso e mobile illimitate in UK, “health checkup” gratuito del servizio internet a banda larga[1].
Il difficile lavoro del Chief Information Security Officer – Parte 1
Uno dei tanti aforismi, che riguardano la cybersecurity e le sempre più frequenti violazioni e furti di dati, recita: “oggi non è importante stabilire se la nostra Azienda è sotto attacco: ciò che importa sapere è se ce ne siamo già accorti (ed in che modo ce ne siamo accorti!)”. In queste parole è racchiuso il difficile compito riservato ai Chief Information Security Officer (CISO) che oggi occupano uno dei posti più scomodi tra quelli occupati dai vari manager: un data breach può costare il licenziamento se si lavora in un’azienda USA!
Lo scenario internazionale delle minacce Cyber è stato caratterizzato negli ultimi anni da una trasformazione importante delle motivazioni che portano agli attacchi. Singoli hacker che operavano in autonomia con vari scopi, dimostrativi o legati ad attivismo sociale e politico, hanno ceduto il campo a vere e proprie organizzazioni criminali, strutturate ed efficienti, il cui scopo è prettamente economico.
In questi giorni, sul sito dell’Agenzia per l’Italia Digitale sono stati pubblicati 2 nuovi documenti, rilevanti sia per gli aspetti di sviluppo strategico dell’Italia Digitale, che per il ruolo della cybersecurity in questo sviluppo.
Come funzionerà lo SPID – il nuovo Sistema Pubblico per la gestione dell’Identità Digitale divenuto attivo in Italia a partire dal 2014?
Quale sarà il contributo dello SPID al tema della sicurezza in Internet?
Quali nuovi Business Model potranno nascere e come interagirà con altri sistemi Europei, oltre che con Anagrafi, Carta nazionale dei servizi, CRS, ecc.?
L’IT delle aziende europee non è pronto per il regolamento europeo sulla Privacy, la General Data Protection Regulation (GDPR) in via di adozione che unificherà nei 28 Paesi dell’EU gli aspetti relativi agli obblighi, rafforzando le sanzioni ed estendendo le precedenti norme a più ambiti (notifiche su data breaches, right to be forgotten, data portability, ecc.).
Abbiamo intervistato Danilo Cattaneo, Direttore Generale di InfoCert, azienda leader nel mercato dei sistemi di posta elettronica certificata, firma digitale e fatturazione elettronica, su SPID, il Sistema Pubblico per l’Identità Digitale di cittadini ed imprese, ed eIDAS, il sistema di interoperabilità a livello EU per l’identificazione digitale e la firma elettronica.