“Cosa ci aspetta domani?”. È con questa domanda che Francesco Tusino, It & Infrastructure Manager di Cnp Assurances si rivolge ai propri colleghi Cio, Ciso, manager It e della sicurezza informatica in azienda aprendo i lavori del primo appuntamento dei webinar della serie ‘Cio Online Meeting’, dedicato al tema della ‘nuova enterprise security’.
Riuscire a dare una risposta ad una domanda così aleatoria non è certo cosa semplice, bisogna innanzitutto capire lo scenario attuale all’interno del quale si stanno muovendo le imprese. Tusino ne offre una breve panoramica citando il Report 2015 del World Economic Forum sui Global Risks dal quale emergono 28 rischi globali che desteranno grande preoccupazione per i prossimi 10 anni, il più impattante dei quali è dato dai cyber attacks (ancora più degli attacchi terroristici).
A questo punto è evidente che l’approccio all’enterprise security deve cambiare in maniera radicale ed adattarsi al nuovo preoccupante contesto. “Il problema non è più ‘se’ saremo vittime di un attacco, nessuno è immune e può ritenersi al sicuro – sottolinea Tusino -; è una questione di tempo, è il ‘quando’ che deve destare preoccupazione o, meglio, che deve spingere le aziende fin d’ora a rivedere le proprie politiche di protezione in una logica olistica e proattiva/predittiva”.
Un framework per la gestione del rischio
“Bisogna sviluppare una visione olistica della sicurezza che permetta di spostare l’attenzione dal problema contingente alla visione complessiva”, spiega a tal proposito Tusino. “Benché il termine ‘olistico’ sia ormai abusato, è proprio quello che meglio esprime il concetto di visione globale della sicurezza che prevede, in primis, la definizione di una strategia ‘corporate’ che tenga conto della mitigazione del rischio”.
Strategia che non può rimanere confinata nel reparto It, puntualizza Tusino rispondendo alle domande pervenute via chat dagli utenti collegati, “ma deve essere conosciuta e condivisa dal board, perché è solo con un approccio integrato e trasversale lungo tutta l’azienda che si riesce a far permeare la sicurezza in ogni ambito”.
Secondo l’esperienza e la testimonianza riportate da Tusino, la strategia deve tenere conto di diversi fattori: contesto di riferimento aziendale, area territoriale di riferimento, core business ed eventuali strategie di espansione dell’impresa. Tutti elementi che, apparentemente, potrebbero avere poco a che fare con l’It ma che in realtà contribuiscono in maniera determinante alla definizione di un framework di gestione del rischio veramente ‘tailor made’ per la propria azienda che tenga conto dei propri asset (informazioni, persone, cultura, ecc.). “Nel contesto italiano, Cnp Assurances si sta muovendo in quest'ottica anche se il cambiamento non è affatto banale”, dettaglia durante il suo intervento Tusino. “Questo approccio vede la sicurezza ‘salire di livello’ ed i cambiamenti da apportare e le azioni da intraprendere sono molteplici. Se da un lato è necessario agire nell'ottica descritta, con una visione d’insieme, è altrettanto importante tenere alto il livello di attenzione con una serie di azioni concrete e pratiche”.
Ed è attraverso queste azioni che si snoda, di fatto, il framework metodologico descritto da Tusino, i cui cardini sono: formazione continua delle persone, collaborazione attiva e proficua fra It e utenti aziendali, policy e controlli (anche sui fornitori), relazioni di mutua responsabilità e partnership con i vendor ed i consulenti, crescita delle competenze It interne.
Consapevolezza come prima difesa
Francesco Tusino, It & Infrastructure Manager di Cnp Assurances
La difesa perimetrale con focalizzazione massima solo sugli aspetti tecnologici non è più un approccio efficace, le aziende vanno difese dall’interno: in ogni situazione minata da un rischio, la prima arma utile per la protezione e la difesa è rappresentata dalla consapevolezza. Questa la ragione che ha spinto Tusino a lavorare parallelamente sia sugli aspetti puramente tecnologici della security, sia su quelli di natura ‘culturale’: “spesso si focalizza l’attenzione sui presidi tecnologici, i più avanzati dei quali sono basati su forme di intelligenza artificiale, ma in azienda abbiamo a disposizione intelligenza reale: gli utenti”, lancia la sfida il manager, “correttamente formati e messi al corrente dei pericoli, possono diventare una delle risorse fondamentali della strategia di difesa”.
Il come si riesca a raggiungere obiettivi simili Tusino lo spiega a più riprese rispondendo ai colleghi; qui ne sintetizziamo alcuni concetti:
– calare il problema security nell’ambito privato dell’utente (parlare dei device personali e non di quelli aziendali);
– aumentare la percezione del valore del dato (parlare di foto e documenti personali, non di database e report per il Cda);
– aumentare la percezione del rischio a cui siamo esposti (oggi abbiamo a che fare con criminali informatici il cui scopo è guadagnare denaro, anche attaccando le singole persone).
Verso la security intelligence
Sul piano tecnologico “ciò che a mio avviso non andrebbero mai dimenticati sono i controlli ed i processi di miglioramento continui”, sostiene Tusino. “Nel nostro caso, per esempio, abbiamo adottato una politica di auto-assessment ricorrente, penetration test e vulnerability scan e stiamo cercando di dotarci di sistemi di intelligence che ci aiutino a gestire la sicurezza con un approccio predittivo”.
Anche su questi aspetti l’interesse degli utenti collegati ha generato svariate domande, soprattutto sugli aspetti di assessment e penetration test. “Nonostante l’estrema e repentina variabilità del perimetro aziendale, è strategico impostare una politica ricorrente di controllo che consenta di valutare nel continuo come cambia l’esposizione ai rischi e quali sono le azioni prioritarie da intraprendere”, ha sottolineato in chiusura Tusino. “Tutti questi concetti, declinati in chiave tecnologica, portano inevitabilmente alla necessità di verificare la maturità delle soluzioni adottate, anche i penetration test devono quindi essere gestiti in una logica di controllo periodico, a mio avviso almeno annuale”.
