Costruire in azienda una cyber security ad hoc

La cyber security si conferma, anche oggi, una delle principali sfide che le imprese di tutti i settori e di ogni dimensione devono affrontare. La crescita delle minacce e la necessità di rispondere agli attacchi in tempi adeguati impone alle aziende un salto di qualità verso l’integrazione della sicurezza IT nei processi aziendali, soprattutto quelli di business.

Dopo tre anni nei quali la crescita delle problematiche di sicurezza, anche a causa della pandemia e dell’aumento del lavoro in mobilità, è stata notevole, WithSecure, realtà specializzata nella cyber security aziendale, in collaborazione con Soiel International, ha organizzato una tavola rotonda con l’obiettivo di aprire una riflessione su modelli e best practice che possono essere adottati per impostare la strategia di security più adatta alla propria realtà.

L’incontro, moderato da Paolo Morati, giornalista di Office Automation, rivolto a CISO, CIO, responsabili IT e della sicurezza IT, ha visto il coinvolgimento di quattro aziende attive in diversi settori.

Queste le domande che hanno fatto da spunto alle riflessioni:

1.Negli ultimi tre anni come è cambiato lo scenario della cybersecurity per la vostra realtà?

2. Alla luce delle esperienze fatte, state immaginando, state adottando o vorreste mettere in atto una strategia basata sul concetto di ‘security by design’?

3.Come sta cambiando la sensibilità del management aziendale sul tema sicurezza e come può crescere il rapporto tra IT security e i vertici dell’impresa?

Alessandro Manfredini

Direttore Group Security & Cyber Defence del Gruppo A2A e Presidente dell’Associazione Italiana Professionisti Security Aziendale (AIPSA)

Il Gruppo A2A è una multiutility che da qualche tempo ha cercato di cambiare pelle, per affermarsi come una Life Company. Ci occupiamo di energia, acqua, ambiente. Siamo quotati in Borsa e, nonostante la crisi energetica, abbiamo concluso il 2022 con numeri abbastanza importanti che ci rendono fieri di appartenere a questo Gruppo.

Mi occupo di Security a 360 gradi per tutte le società del Gruppo. Negli ultimi tre anni nei settori energy e multiutility il tema della cybersecurity è diventato fondamentale. Oggi la cybersecurity non si riferisce solo alla sicurezza del dato, del trattamento dei dati, come avveniva fino a qualche anno fa. Per noi le operational technology (conosciute anche con la sigla OT, ndr) rappresentano un bene molto rilevante da dover proteggere. Compromettere un sistema informatico come il CRM, perdere alcuni dati, non consentire alla clientela di accedere alle proprie fatture, rappresentano sicuramente un problema e un disagio per la nostra clientela, ma lo sarebbe sicuramente di più se fosse compromesso il servizio essenziale – per esempio dell’erogazione dell’energia elettrica – considerato di pubblica utilità. Non c’è paragone tra la perdita di qualche dato e il mancato funzionamento di un dispositivo che potrebbe addirittura causare il buio in un intero quartiere di una città provocando danni alle strutture ospedaliere, ai sistemi finanziari e in molti altri contesti.

Il servizio essenziale di pubblica utilità non passa solo per i sistemi informatici gestionali tradizionali poiché è dipendente dai sistemi di automazione industriali. La sfida della cyber security richiede un approccio sicuramente tecnologico, ma è importante anche considerare gli aspetti organizzativi e i comportamenti delle persone. Come primo fattore occorre verificare l’esposizione dei nostri sistemi a eventuali vulnerabilità di tipo tecnologico. Se disponiamo di infrastrutture e applicazioni vulnerabili non possiamo fare tutto il necessario per garantire una piena sicurezza.

La sicurezza è comunque un tema di processo, di responsabilità, di ruoli. In un’azienda medio-grande è strategico separare i ruoli tra chi implementa le soluzioni di sicurezza e chi svolge attività di monitoraggio, o tra chi garantisce la governance, sia per evitare conflitti di interesse sia perché ogni ruolo ha obiettivi diversi da raggiungere. Una maggiore sensibilità nei confronti del tema della sicurezza attualmente deriva anche dalla presenza di una grande quantità di norme da rispettare, una per tutte la direttiva NIS, e prospetticamente la NIS2.

Un ulteriore tema importante per la security è la gestione della supply chain.

Ogni partner, ogni fornitore deve essere valutato tenendo conto di particolari parametri di ‘robustezza’ cyber.

Più in generale un altro tema fondamentale riguarda la governance: soprattutto chi governa un’azienda, dall’imprenditore (di una piccola o media realtà) ai membri di un Consiglio di Amministrazione (di una più complessa realtà industriale), devono avere la sensibilità per comprendere che la cyber security li riguarda in prima persona: non è un’attività totalmente delegabile o di cui è possibile non occuparsi. Nella nostra azienda c’è grande attenzione al riguardo.

Il security by design è un elemento determinante in un’organizzazione complessa come la nostra: la buona regola generale è che non si mette nulla in produzione che non abbia seguito un processo di analisi ispirato ai principi e alle regole della security by design.

Esiste infatti un’unità organizzativa che si occupa di security by design: ogni progetto, ogni necessità che ha come soluzione un applicativo o una nuova architettura infrastrutturale, deve passare dall’analisi dei requisiti di security da essa stabiliti. In funzione dell’obiettivo da raggiungere esiste una fase di affinamento del requisito concordata con i colleghi e le colleghe dell’IT.

Essendo una società quotata in Borsa, abbiamo un Comitato di Controllo Rischi. Il rischio cyber è considerato tra i rischi strategici aziendali; riferiamo periodicamente al CdA tramite, appunto, questo Comitato.

Francesco Cantoni

IT Manager di Arco Spedizioni

Arco Spedizioni è un player italiano attivo nell’area dei trasporti, che si occupa di trasporto nazionale, internazionale e logistica integrata. Fattura 320 milioni di euro all’anno e gestisce mediamente sei milioni di spedizioni.

Da circa un anno abbiamo intrapreso una strada ben decisa riguardo all’aumento della sicurezza sia internamente sia esternamente, in rapporto ai servizi che rendiamo disponibili.

La cybersecurity deve essere vista a 360 gradi, quasi come una catena composta da tanti anelli, basta un solo anello debole per compromettere il tutto. Questo aspetto deve coinvolgere sia la dimensione tecnologica, sia quella non tecnologica.

La parte tecnologica ha avuto un’evoluzione clamorosa, basti pensare a machine learning e intelligenza artificiale, che oggi danno soluzioni a supporto un tempo impensabili. La parte non tecnologica, principalmente legata alla componente umana, è rimasta più indietro e spesso è tralasciata e non considerata con la giusta importanza.

Se da un lato la tecnologia di sicurezza è migliorata, dall’altro sono aumentati gli attacchi ransomware e phishing. Talvolta, nelle aziende, si punta sul miglior prodotto di sicurezza in circolazione ma la componente umana è appunto messa da parte; in realtà sono proprio le persone a costituire il primo punto d’ingresso di malware e attacchi. Per questo in Arco Spedizioni stiamo portando una cultura di security che coinvolge le tecnologie ma soprattutto il lato umano, perché le persone rappresentano il primo bastione di controllo in rapporto all’ingresso di malware.

Grazie al GDPR è aumentata la consapevolezza sul tema della privacy. Anche prima di questa normativa le aziende pensavano a strategie che consideravano il concetto di ‘security by design’, ma la parte legislativa funge da driver in rapporto alla sicurezza nelle aziende. I vincoli imposti dal GDPR influiscono sulla strategia.

Il security by design deve essere un elemento ben presente in tutto il time to market, dall’ideazione e sviluppo di un prodotto o servizio fino alla sua commercializzazione. Di conseguenza la formazione in materia di sicurezza è particolarmente importante.

Perché il rapporto tra IT security e vertici dell’impresa possa crescere è fondamentale adoperare e semplificare aspetti tecnici talora complessi. Talvolta non è possibile utilizzare con tutti gli interlocutori un lessico tecnico, importante è usare un linguaggio che faccia leva sugli aspetti rilevanti e faccia soprattutto passare i concetti chiave per avere l’engagement da parte dei vertici. Quando si parla con l’imprenditore è importante fargli capire quali sono i rischi a cui va incontro l’azienda e quali investimenti devono essere fatti.

Se l’imprenditore comprende che non intervenendo sulla sicurezza si rischiano situazioni di criticità tali da fermare il business dell’azienda con perdite economiche ingenti, è più facile che sia disponibile a implementare progetti di sicurezza anche più ampi di quelli previsti inizialmente, portandoli a termine.

Mi piace pensare che, nei confronti del management, gli IT manager possano essere visti come dei maestri in materia di sicurezza, spiegando non tanto gli aspetti tecnici quanto, piuttosto, le funzionalità. Una volta appresi i concetti fondamentali, poco per volta, si potrà entrare in profondità costruendo così una cultura informatica, che, nel tempo, si diffonderà all’interno dell’azienda.

Fondamentale sarà essere in grado di far passare sempre più concetti complicati anche dal punto di vista della business continuity e del disaster recovery, sempre considerando i danni a cui l’azienda va incontro. Importante è capire quanto costa fermare le attività aziendali per un certo periodo ma anche cosa accade a livello d’immagine in caso di attacco. Determinante è anche essere in grado di valutare quanti potenziali clienti si possono perdere optando per una strategia non adeguata. Non tutte le aziende sono in grado di comprenderlo.

Francesco Hemmeler

Chief Information Security Officer (CISO) di Gavazzi

Carlo Gavazzi è un gruppo multinazionale attivo da molti anni nella progettazione, produzione e commercializzazione di componenti elettronici rivolti al mercato globale dell’automazione industriale e del building automation, con stabilimenti produttivi in branch commerciali dall’Asia all’America.

Il contesto nel quale si muove la security della nostra azienda è quello di molte imprese industriali di medie dimensioni, dove la crescita, per molti anni, è avvenuta in base a necessità derivati da normative o da contingenze scaturite da incidenti, i quali, come sappiamo, sono riportati anche a mezzo stampa tutti i giorni. Gli attacchi stanno crescendo e la criminalità organizzata vede il cyber crime come una fonte di redditività. Questa situazione è trainante verso una maggiore maturità, soprattutto tecnologica, ma spesso la chiave di volta è considerare la security come parte della cultura d’impresa e impiegarla come un fattore competitivo sul mercato.

Molte medie imprese industriali sono ancora lontane da questo approccio. La sicurezza è vista come una problematica IT, non come una opportunità o come un asset core. Non è semplice, infatti, far capire che un investimento in security non è solo un costo, ma è da considerare come un potenziale ricavo o una mancata perdita e talvolta, parlare di gestione dei rischi significa guardare a eventi accaduti piuttosto che a quanto potrebbe accadere in futuro. Auspico che un giorno la consapevolezza potrà crescere e le aziende faranno a gara per mostrarsi più sicure della concorrenza.

Non è importante solo un approccio basato sulla cybersecurity, è necessario vedere i rischi in modo olistico. I dati sono importanti ma altrettanto importanti sono le persone e le competenze. La sfida futura dei CISO è abbracciare un concetto di security più ampio, non solo informatico, ma legato a tutti gli aspetti che riguardano l’azienda, senza trascurare nuovi driver, tra i quali la sostenibilità, che vede tra gli elementi essenziali un robusto sistema di sicurezza fisica e logica in grado di prevenire e mitigare incidenti sulla collettività, l’ambiente e gli azionisti.

La security by design è una prerogativa essenziale per una security coerente con i valori e la missione d’impresa, con il suo funzionamento all’interno dei processi e il ruolo di una funzione security in azienda è quello di affiancare questi processi con un ruolo consulenziale. Se la security è progettata bene avrà ricadute positive sul piano operativo e manutentivo del processo, anche se all’inizio potrà sembrare un potenziale elemento di rallentamento, perché è necessario compiere una serie di passi che talvolta è difficile capire, anche per gli addetti ai lavori.

Nel 2018, quando ho iniziato a occuparmi di sicurezza in Gavazzi, il primo passo è stato fare un assessment sui rischi. Avevamo usato un cyber security framework semplificato, derivante dal NIST SP 800 e fu fatta un’analisi per capire il livello di maturità aziendale e i rischi futuri che l’azienda avrebbe potuto incontrare. Sulla base dei risultati di questo assessment abbiamo costruito un piano evolutivo fatto di interventi tecnici e organizzativi, prevendendo anche alcune dismissioni di tecnologie superflue o sostituzioni di prodotti più idonei ai reali rischi dell’azienda, considerando piani di sicurezza che hanno coinvolto l’intera supply chain, dai fornitori, al vendor, fino ad arrivare all’utente finale.

Italo Candusso

IT Manager di Chiapparoli Logistica

La sicurezza è un elemento fondamentale per Chiapparoli Logistica, realtà che si occupa da anni di logistica nel settore farmaceutico. Insieme a quello alimentare, il settore farmaceutico è tra le aree industriali maggiormente soggette a normative. Di conseguenza siamo molto attenti alla sicurezza, tematica su cui stiamo rafforzando ancora di più l’attenzione, dando spazio a una visione più olistica del tema della cybersecurity.

L’IT deve essere parte integrante dell’azienda nel prendere decisioni. La condivisione e comprensione di tematiche legate alla sicurezza è fondamentale a tutti i livelli. In Chiapparoli Logistica questo argomento è fortemente sentito e condiviso. Da sempre esistono resistenze sui costi degli investimenti. Non basta fare i conti sul ritorno dell’investimento, non basta spendere per avere a disposizione l’ultima tecnologia disponibile. Tutto questo deve essere accompagnato da attività di formazione, dalla comprensione dei processi e dei possibili problemi, anche delle particolarità.

Nel nostro caso, lavorando nel settore farmaceutico, ci occupiamo anche di farmaci salvavita. Di conseguenza siamo soggetti a policy molto stringenti, a continui audit; dobbiamo continuamente dimostrare di essere in grado di sopperire alle necessità degli operatori attivi nel settore farmaceutico, di farmacisti, medici e pazienti.

Per soddisfare queste esigenze abbiamo già messo in atto una serie di attività, come Pen Test realizzati quattro volte l’anno, security assessment, valutazione dei rischi. Abbiamo in corso molti progetti attivati a stretto contatto con l’area qualità, con i valutatori esterni. Abbiamo ottenuto diverse certificazioni e continuiamo a migliorarci; stiamo attivando un progetto per ottenere la certificazione ISO 27001, ma i risultati raggiunti devono essere periodicamente rivisti e riconvalidati. Molte delle nostre attività sono affidate a un provider esterno, altre sono gestite in casa, ma periodicamente ogni attività deve essere ricontrollata.

La situazione è complessa, molte sono le attività che devono essere gestite, qualsiasi richiesta o cambiamento deve essere documentato. Stiamo digitalizzando molti processi, in precedenza gestiti in modalità cartacea, per ottenere più velocità, maggiore integrità del dato e disponibilità delle informazioni. Tutto questo deve essere visto non come un costo ma come un investimento. Non superare un audit significa ottenere danni d’immagine e perdere clienti.

Anche la supply chain deve essere gestita nella massima sicurezza. La merce deve arrivare a destinazione entro determinate tempistiche, in condizione ottimali. Se deve essere conservata a temperatura controllata, questa temperatura deve essere mantenuta e documentata durante tutto il percorso. Tutto deve funzionare al meglio, nel pieno rispetto di normative sempre più stringenti.

Il lavoro non è indifferente, ma consente di acquisire consapevolezza sui rischi e sul modo di affrontarli.

Anche se siamo una realtà di dimensioni contenute, rispetto a grandi multinazionali, puntiamo molto sulla formazione perché ognuno conosca le risorse informatiche disponibili e le criticità e possa svolgere le proprie attività in modo più proficuo e sicuro per l’impresa.

Il tema security by design è sempre più sentito in azienda; coinvolge sia il lato software sia l’infrastruttura hardware. In questo periodo stiamo sviluppando internamente delle applicazioni che utilizzano l’RFID, da adoperare su tutta la filiera, sia nei nostri depositi sia presso i partner logistici, corrieri, grossisti, farmacisti. Abbiamo pensato di introdurre anche test preventivi, password cifrate cercando di costruire applicazioni in grado di rispondere alle richieste di sicurezza.

Nelle imprese è sempre più importante la sensibilità del management al tema della sicurezza. Competenza, consapevolezza, condivisione e collaborazione sono temi chiave che devono diventare ancora più fondamentali in azienda. Anche più dialogo tra l’area produttiva e l’area IT, che spesso non si parlano perché sono concentrate su attività differenti, può rivelarsi un vantaggio.

L’opinione di WithSecure

Carmen Palumbo

Country Sales Manager Italy di WithSecure

Andrea Muzzi

Technical Manager di WithSecure Italy

WithSecure è una realtà finlandese nata 35 anni fa in ambito cybersecurity. Nel tempo il nostro posizionamento è cambiato, perché è mutato il mondo della cybersicurezza. Con 1.300 persone attive nel mondo, siamo un vendor a misura d’uomo e ci distinguiamo per la flessibilità. In ogni Paese WithSecure si adatta alle esigenze del mercato locale. Fare cybersecurity in Italia, per esempio, è diverso che farla in Gran Bretagna, la sensibilità è differente, le aziende hanno dimensioni diverse e cambiano anche le normative.

Siamo un vendor europeo, caratteristica che da circa un anno ha assunto una connotazione particolare. Sempre più aziende ci chiedono dove sono i dati, come è gestita la privacy; essere Europei, oggi, è uno dei nostri vantaggi. Proponiamo soluzioni software, non facciamo hardware ma rendiamo disponibili soluzioni che rispondono a 360 gradi alle esigenze di cybersecurity. In Italia il nostro go to market avviene, al 100%, tramite canale. I nostri partner collaborano con noi in tutto il percorso di cybersecurity di un’azienda cliente, anche in fase post vendita.

Dalle osservazioni dei partecipanti è emerso che esiste una vasta offerta in ambito cybersecurity, ma manca la consapevolezza a livello aziendale su cosa serve davvero. La sicurezza è talvolta vista come un costo, per questo c’è molto da fare anche in termini di formazione aziendale. In Italia manca anche una strategia a livello nazionale. La sicurezza, infatti, riguarda tutti i settori dal momento che gli attacchi possono arrivare ovunque. Come vendor possiamo portare avanti un’opera di evangelizzazione per far comprendere che fare cybersicurezza non è soltanto portarsi in casa una soluzione ma è qualcosa di più ampio. Negli ultimi tre anni, anche a causa della pandemia, la consapevolezza è aumentata, ma c’è ancora molto su cui lavorare. A volte gli utenti spendono quasi tutto il budget per proteggere sempre più il perimetro aziendale ma si dimenticano di tutto il resto, oppure acquistano soluzioni troppo complicate per le loro esigenze.

Il security by design è un argomento molto importante. Non sempre però è la scelta migliore, soprattutto se la soluzione realizzata su misura lascia buchi di sicurezza. Per questo, a volte, preferiamo essere conservatori nel creare le nostre soluzioni. Il security by design deve essere accompagnato anche dal buon senso.

In alcuni casi ci siamo accorti che le nostre soluzioni non erano adeguatamente utilizzate dai clienti. Per questo è importante, prima di parlare delle soluzioni di WithSecure, ascoltare almeno per un quarto d’ora il cliente, per capire cosa ha in casa, quali sono le vulnerabilità presenti e decidere cosa è necessario implementare.

Cerchiamo di mettere le nostre competenze a disposizione degli utenti; questo è un compito che non riguarda solo WithSecure, ma che dovrebbe essere svolto da tutti i vendor attivi nel settore della cyber sicurezza. Importante è fare evangelizzazione nelle aziende e rendere disponibili le soluzioni più adatte in base alle caratteristiche particolari di ciascuna realtà. Determinante è non fermarsi solo al prodotto, ma inserirlo all’interno di una strategia vincente per il cliente. Inoltre, precisiamo che le nostre soluzioni non nascono per monitorare gli utenti, ma per garantire una maggiore sicurezza dei vari asset.

Importante è che tra noi e i clienti si crei un rapporto di fiducia reciproca. Se viene a mancare questo aspetto non si può fare molto. Oltre alla formazione aziendale sulla cyber security, sono partite anche iniziative destinate alle scuole, come quella organizzata dall’associazione Women for Security, che coinvolge anche l nostra Carmen Palumbo.