Attualità

Security Summit: cosa comprendere per cambiare gli scenari cyber futuri

Tre giorni di confronti, tra tavole rotonde, seminari e atelier per capire attraverso i dati e l’esperienza di esperti e vendor, l’evoluzione delle minacce informatiche ed essere consapevoli dei rischi cyber. La sintesi della recente edizione del Security Summit streaming edition.

Pubblicato il 25 Mar 2022

Security Summit 2022

Negli anni abbiamo imparato a familiarizzare con molti termini legati al cybercrime ma ancora poco ci interroghiamo sul perché i criminali informatici riescano a concludere sempre più frequentemente attacchi a danno di persone e organizzazioni. Il Security Summit nasce proprio dall’esigenza di approfondire i temi della sicurezza cyber, cogliere trend ed informazioni utili con l’aiuto di relatori ed esperti.

Come di consueto e partendo dai dati, ad aprire questa edizione di marzo è stata la presentazione dell’ultimo Rapporto Clusit, l’associazione italiana della sicurezza informatica. L’analisi dei principali attacchi cyber a livello globale e in Italia presentata, ha mostrato un fenomeno in aumento sempre più sofisticato e criminale. Mentre il ransomware rimane una delle principali minacce, gli attacchi sono sempre più diretti verso infrastrutture critiche e obiettivi specifici. Oltre al Finance/Insurance e alla Pubblica Amministrazione, il settore dell’Industria rappresenta l’aumento più significativo per cyber attacchi.

Ma cosa devono e possono fare le organizzazioni per affrontare questo scenario così allarmante? Ciò che è emerso durante le tre giornate del Security Summit è la convinzione che la sicurezza informatica sia sempre più un mix di tecnologie, asset, strategie e persone che non devono prescindere l’una dall’altra ma convergere.

Cloud security: come mantenere il controllo

L’adozione del cloud è stata molto veloce, ma anche inadeguata dal punto di vista della sicurezza informatica. La migrazione delle risorse al multi cloud ibrido e l’adozione di modelli di lavoro da remoto hanno portato a utilizzare strumenti di sicurezza poco integrati in più ambienti. Il rischio è quello di non riuscire a garantire piena visibilità e controllo su infrastrutture e applicazioni nel cloud. Ma allora cosa fare?

Il primo istinto, spiegano gli esperti, deve essere quello di fermarsi per avere la consapevolezza e il controllo dei propri strumenti. L’approccio che ne segue deve basarsi sul consolidare le scelte delle soluzioni adottate e ridurre la complessità, a partire dal numero degli interlocutori. La riduzione della complessità può legarsi anche a un approccio di tipo mesh già individuato da Gartner, come un insieme coeso e resistente creato attorno all’architettura dell’azienda visto il superamento del perimetro aziendale.

Resilienza e robustezza operativa

Oggi sappiamo che non esiste più un “se” i pirati informatici attaccheranno, ma solo un “quando” e se continuità e sicurezza del dato possono essere garantite. Un approccio resiliente può aiutare a prevenire un attacco ransomware, per esempio, analizzando le attività anomale, proteggendo i backup, automatizzando i recuperi e semplificando le indagini informatiche. Ma anche ad avere una risposta agli eventi proattiva e basata su capacità di comprensione dei rischi e di governance.

Un security assessment può fornire una comprensione profonda di processi e procedure di sicurezza all’interno dell’organizzazione. Può aiutare ad avere una visione chiara della strategia di sicurezza per il futuro anche in contesti diversi: pensiamo all’ambito industriale (OT) e all’IoT, dove è necessaria una uguale sensibilità sulla sicurezza e maggiore vicinanza al mondo IT.

Oltre la prevenzione: il security by design

Lo scenario attuale, così come delineato dal Rapporto Clusit, è estremamente grave. Gli attacchi contro le infrastrutture critiche aumentano in modo esponenziale e mettono a rischio i settori economici. Quello che emerge dalle parole di esperti e vendor è la necessità di un approccio sinergico e in ottica di security by design.

Da una parte sono gli stessi produttori a sostenere la necessità di far dialogare tra loro le diverse tecnologie per un servizio di sicurezza a 360; dall’altra, il GDPR ha spostato l’attenzione della disciplina del trattamento dei dati a un sistema di responsabilità e tutela basato anche sulla capacità di prevenire gli errori.

Ed è qui che entra in gioco la security by design, i cui principi sono necessari per programmare processi di trattamento dei dati personali che possano tutelarsi fin dalla fase di progettazione. Ogni scelta viene presa in ottica di cyber security e prevede l’inserimento di controlli, verifiche e audit di sicurezza durante le fasi di progettazione di un servizio o di un prodotto.

L’importanza della formazione tra consapevolezza e addestramento

La mancanza di personale qualificato in cybersecurity è un tema che ha toccato tavoli e sessioni del Security Summit. Ripercorrendo le tre giornate, è emersa in modo univoco la necessità di aumentare il livello di consapevolezza nelle persone sia all’interno delle diverse unit, sia nella gestione dei processi. Ciò che serve, prima di tutto, è una cyber awareness che porti, attraverso una formazione adeguata, a capire il rischio per poi mitigarlo e colmare il gap esistente.

Troppo spesso le organizzazioni aziendali lavorano “a silos” con interlocutori e linguaggi diversi, rendendo difficile la gestione e prevenzione coordinata degli incidenti. Da qui l’importanza di creare una strategia integrata che avvicini la cybersecurity al business con un linguaggio unico e accessibile a tutti.

Altro tema emerso, legato alla consapevolezza del rischio, è la necessità di un approccio pubblico-privato più completo a sostegno degli investimenti in sicurezza. Istruzione e politiche di investimenti ad oggi hanno faticato a preparare talenti. Durante l’evento c’è stato anche chi ha lanciato un invito pubblico a creare tavoli congiunti, lamentando una scollatura tra chi detta le regole e le aziende private.

Anche la trasformazione dei comportamenti sbagliati è un punto chiave nelle questioni legate al fattore umano, sia attraverso una formazione “andragogica”, sia attraverso l’uso di piattaforme di addestramento basate su tecniche di apprendimento in grado di incidere efficacemente sui comportamenti.

Autorità Garante e protezione dei dati personali: i casi Plenitude e TIM

La sessione conclusiva del Summit ha visto l’intervento dell’Autorità Garante in merito alle ispezioni e sanzioni sulla protezione dei dati personali nei confronti di Plenitude (Eni gas e luce) e TIM. Un confronto che si è rivelato utile soprattutto in un’ottica spesso trascurata, quella cioè della funzione “correttiva” (e non solo sanzionatoria) degli interventi dell’autority. In particolare, l’intervento si è focalizzato infatti sulle procedure e gli strumenti digitali a tutela dei dati personali che sono stati successivamente adottati dalle aziende.

Plenitude, dopo aver subito una sanzione legata all’attività di teleselling senza esplicito consenso e a contratti non richiesti, è intervenuta nel miglioramento dei processi di acquisizione e gestione dei clienti e nella prevenzione. Per il teleselling ha realizzato una filiera organizzativa con verifica di acquisizioni e di contestazioni e verifica dell’identità del cliente e della conferma della volontà contrattuale. Sono state adottate logiche antifrode e analisi dei dati.

Riccardo Acciai – Dipartimento reti telematiche e marketing, Garante per la protezione dei dati personali

Anche TIM ha subito sanzioni per teleselling senza consenso, poi estese ad alcuni partner commerciali. L’azienda in seguito alla sanzione, ha attivato un controllo di filiera e inserito strumenti digitali per acquisire e tracciare le informazioni scambiate con i partner: liste di contatti autorizzati, evidenze dei contratti gestiti da partner, lead nei sistemi di CRM di gestione vendite ed informazioni di controllo.

Ha attivato un sistema di monitoraggio per incrociare informazioni e individuare anomalie e attivato il controllo dei log dei sistemi telefonici di contact management per effettuare le verifiche. Riccardo Acciai, che ha rappresentato il Garante, ha voluto sottolineare come l’errore è stato quello di applicare il principio dell’accountability a livello centrale senza avere la piena consapevolezza del risultato finale, mentre occorre presidiare l’intera filiera di trattamento dei dati.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4