Si è chiusa l’edizione 2019 della Kermesse Sicurezza Fiera Milano, importante evento organizzato da Business International (Divisione Fiera Milano Media), con il Patrocinio dell’Associazione AIPSA, con focus sulla protezione del business e degli asset aziendali dai nuovi rischi. L’evento molto partecipato, ha visto la presenza autorevole di molti esponenti, attivi a vario titolo, anche istituzionale, nel vasto mondo della security. In particolare, presenti alla Fiera Nunzia Ciardi, Direttore del Servizio di Polizia Postale e delle Comunicazioni, Andrea Chittaro, Presidente, AIPSA – Head of Global Security & Cyber Defence Department, SNAM; Manuel Di Casoli, Chief Security Officer, Fiera Milano; Michele Fabbri, CISO, Saras; Alfio Rapisarda, SVP Security, Eni; Gaetano Sanacore, Group Security & Cyber Defence OT Security Manager, A2A.
Si è dibattuto sul progressivo aumento del cyber crime e dell’aumento di pervasività dei cyberattacchi a fronte di un gap culturale e di consapevolezza ancora troppo significativo e che rappresenta purtroppo il principale fattore di vulnerabilità delle organizzazioni, anche più strutturate. In tale scenario, solo in Italia, i malware hanno prodotto ingenti danni anche attraverso l’ingegneria sociale. Si è registrato infatti nel nostro paese un aumento del 170% delle perdite economiche causate da ransomware. I cyberattacchi riguardano tutti i settori “critici” o essenziali e determinano spesso impatti molti significativi in termini di operatività dei processi aziendali primari con seri rischi per la sopravvivenza nel business di riferimento. La Polizia Postale ha potenziato i rapporti con gli stakeholders nell’ambito della sicurezza informatica, instaurando collaborazioni e partenariati sia con soggetti privati che pubblici come, del resto, auspicato dalla Direttiva Europea
Il dark web e la continua evoluzione del digital payment hanno favorito la crescita globale dei traffici criminali
Per dare una pronta risposta sul piano della security, è fondamentale creare le condizioni per un giusto equilibrio tra la sicurezza istituzionale e la sicurezza dei privati che sia anche funzionale ad una sempre più efficace protezione degli assets, in uno scenario caratterizzato da connessioni eterogenee di devices dell’internet del tutto, anche tenuto conto della tecnologia abilitante di quinta generazione e della più veloce connettività della banda larga (5G).
Nella tavola rotonda sono stati anche affrontati i temi dell’AI e dei suoi approcci attuativi del Machine Learning e reti neurali e soprattutto della sempre maggiore potenza di calcolo e capacità cognitiva necessarie all’aggregazione di Big Data destrutturati al fine di renderli qualitativi e funzionali a processi di automazione o decisionali.
“Every company is a cyber security company” – è stato detto – in quanto la cyber security non può essere un add-on, ma deve investire l’intera azienda, fino a diventare parte integrante di ogni decisione: non solo gestione del rischio e compliance, ma anche competenza strategica del business.
I vari relatori presenti hanno più volte ribadito che bisogna eliminare i costrutti legacy in cui l’Information Technology (IT) e l’Operational Technology (OT) sono separate: tutto deve essere integrato e tutti devono collaborare in un’ottica di cyber security, focalizzandosi sul training e dispiegando i migliori strumenti, da testare con regolare periodicità per misurarne i risultati e tenere traccia dei progressi in coerenza con i domini dell’information security e dell’efficace strumento di monitoraggio “plan-do-check-act”.
La sfida del sistema-Paese deve tendere ad una cyber security “interfunzionale” in cui, meglio declinando quanto invero già previsto dalla nuova norma sul perimetro di sicurezza cibernetica nazionale, recentemente approvata in sede di conversione in via definitiva, ed ancor prima evidenziato dalla NIS nel concetto di partenariato pubblico/privato, è necessario istituzionalizzare il fondamentale e prioritario ruolo del Security Manager, key person trasversalmente in grado di parlare linguaggi diversi e di comunicare in modo capillare con tutte le funzioni aziendali.
Dunque, il Security Manager 4.0 deve avere una conoscenza a 360° e competenze globali per costruire in sinergia con l’IT Manager modelli di governance dell’information security committed ed allineati al business. Al Security Manager competerà di fornire al senior Management una puntuale valutazione dei rischi che passa dall’asset classification, identificazione delle vulnerabilità, indicazione del capitale umano e delle misure di mitigazione del rischio e degli impatti per stabilire il risk appetite aziendale, ovvero la soglia di rischio che un’organizzazione è disposta ad accettare.
Solo in questo modo si può creare una struttura robusta per la governance dell’information security, in esso compreso la valutazione e mitigazione del rischio informatico e l’incident management preordinato ad una efficace resilienza operativa attraverso il pronto ripristino dei processi primari aziendali e, in ogni caso, in tempi prefissati, dei livelli minimi di servizio.