Cybersicurezza, come fare un salto di qualità?

Molti sono i problemi che i CISO (Chief Information Security Officer) devono oggi affrontare lavorando all’interno di imprese di ogni settore e dimensione. L’aumento di attacchi e minacce, la scarsità di risorse adeguatamente preparate oggi disponibili sul mercato, la qualità di un’offerta di servizi e soluzioni compromessa dall’arrivo di nuovi fornitori non sempre adeguati alle aspettative, la necessità di pensare a una logica di sicurezza che guardi al proprio ecosistema di business e non solo a quanto si ha in casa, sono solo alcune delle problematiche da affrontare.

Per approfondire l’argomento Cybersecurity e individuare le modalità necessarie per fare un salto di qualità che permetta una gestione del processo di cybersicurezza più vicino alle esigenze di ciascuno, la rivista Office Automation ha organizzato una tavola rotonda insieme a WindTre (operatore multiservizio che mette a disposizione connessioni, energia e prodotti assicurativi. In particolare, WindTre Business è la divisione del Gruppo che supporta imprese, professionisti e amministrazioni nella sfida della trasformazione digitale e sostenibile) .

L’incontro, svoltosi a Milano e moderato dal giornalista Ruggero Vota, ha visto la partecipazione di aziende appartenenti a diversi settori.

Queste sono le domande che hanno fatto da spunto al dibattito:

Come è cambiata la gestione della sicurezza nella vostra organizzazione negli ultimi due anni? Utilizzate dei partner esterni?

Quali sono le sfide e le criticità interne che incontrate affrontando il vostro piano della sicurezza? E quali sono invece i limiti che vedete nell’offerta del mercato?

Quali progetti avete per rafforzare la sicurezza della vostra realtà ed eventualmente del vostro ecosistema nei prossimi tempi?

Matteo Corsi, Global IT Security Manager di Bomi Group

Con quartier generale a Spino d’Adda (Cremona), Bomi Group è una realtà internazionale che opera nella logistica del freddo e nella gestione di prodotti ad alta tecnologia per la tutela della salute. Nel novembre 2022 è entrata a far parte del Gruppo UPS Healthcare Logistic Division. Quando ho iniziato a lavorare in ambito aziendale, una ventina di anni fa, la definizione di sicurezza informatica era quasi inesistente; si parlava di ‘general computer controls’. Quindi comparvero le prime normative che cercavano di indirizzare i rischi di incidenti informatici. Si iniziò a parlare di resilienza informativa e di business continuity, temi prima diffusi nelle grandi multinazionali anglosassoni e in seguito arrivati anche in Europa e in Italia. Solo in un secondo tempo il tema della sicurezza informatica si è diffuso progressivamente anche nelle aziende medio-piccole caratterizzanti il tessuto produttivo nazionale.

Inizialmente gli incidenti di cui giungeva notizia si verificavano di fatto solo nelle grandi imprese nordamericane.  L’atteggiamento, nelle PMI italiane, era: “siamo una realtà piccola, con una tecnologia tradizionale, non siamo esposti al rischio”. Successivamente si è verificata una seconda ondata, che ha colpito, in particolare, le realtà del Nord Est; quando le imprese italiane hanno cominciato a sperimentare attacchi ransomware, o ne hanno sentito parlare in relazione ad aziende simili e vicine alla propria, hanno preso consapevolezza di quanto la sicurezza informatica fosse qualcosa di concreto. Ora siamo nella terza fase, quella in cui le aziende hanno capito che un approccio reattivo o compensativo non è più adeguato.

Le normative (Legge 231/01, GDPR, NIS, e altre di settore) le hanno portate ad affrontare il tema della security in modo progressivamente più attento. Si è capito che per avere un approccio più strutturato alla sicurezza sono necessarie tecnologie, processi e governance e che questa orchestrazione richiede una figura professionale dedicata. La tappa finale del percorso è quella della maturazione. L’azienda si rende conto che la sicurezza non è più un costo di opportunità, ma un attributo imprescindibile della tecnologia digitale, senza il quale un mercato sempre più esigente la esclude progressivamente. In una fase iniziale – quando un’organizzazione non possiede tutte le competenze necessarie alla gestione dei componenti della sicurezza servono soluzioni e competenze specializzate esterne. Altrettanto importante è il tema della formazione del personale interno.

Si parla di tecnologie, processi e persone ma fino a pochi anni fa il tema della sicurezza dei comportamenti umani non rientrava nell’albo delle competenze di nessuno. Il CISO, di solito, ha una formazione tecnologica e delega comunicazione e formazione del personale ad altre funzioni. E il mercato, negli ultimi anni, propone soluzioni economiche efficaci, misurabili, semplici da usare, che consentono di semplificare l’attività lavorativa sicura delle persone. Tipicamente l’area risorse umane ha l’esigenza di adeguare le proprie competenze per gestire professionalità nuove ed emergenti. Anche molte società di selezione del personale, pur essendo preparate nella selezione delle professioni tradizionali, faticano a tenere il passo su quanto necessario per questi nuovi ruoli.

Inoltre, spesso il CISO entra in azienda ma non ha un ruolo e uno staff dedicato, dovendo far leva sulle risorse disponibili sul mercato o internamente. Tipicamente si avvale delle risorse IT, ma deve nel contempo acquisire linguaggi e sensibilità diversi, capire profondamente le logiche e i processi del business e sviluppare doti di mediazione. Nelle aziende mature, l’amministratore delegato affida al CISO la responsabilità sui compiti da svolgere in materia di sicurezza; gli mette a disposizione le risorse affinché possa interpretare con efficacia il proprio ruolo risolvendo e soprattutto prevenendo problemi di portata e natura nuove.

Anche nel settore logistico, per rafforzare la sicurezza di tutte le operazioni, è necessario coinvolgere la totalità della catena logistica di magazzinieri e trasportatori, adeguando processi, strumenti tecnologici e formazione. L’introduzione del GDPR è stata forse un’occasione mancata in quanto interpretata al ribasso. In molte organizzazioni non ne è stata colta in pieno la potenzialità (per esempio per introdurre tecnologie a supporto del tracciamento continuo dei dati, e dell’analisi automatica del rischio). Il Regolamento ha contribuito però al miglioramento dell’approccio alla sicurezza delle informazioni da parte di moltissime organizzazioni.

Gianrico Forlini, PMO & IT manager di Oleificio Zucchi

Oleificio Zucchi è una realtà situata nell’area di Cremona, che dal 1810 produce e raffina l’olio, lo imbottiglia e lo confeziona per i mercati GDO, retail, distribuzione. È una tipica PMI italiana in cui lavorano 170 dipendenti. Dal punto di vista organizzativo la sicurezza informatica è affidata all’IT manager, per cui mi occupo di essa così come dell’IT. Sono attivo in oleificio da pochi mesi avendo in precedenza lavorato per vent’anni per una multinazionale inglese. Ho apprezzato questa nuova sfida; Oleificio Zucchi è un’azienda che sta cambiando e crescendo sotto tutti gli aspetti, sia produttivi sia informatici.

La direzione ha capito l’importanza della sicurezza informatica e crede nel progetto di evoluzione in corso, che probabilmente richiederà alcuni anni. Finora questo tema era legato all’antivirus, al firewall, a qualche VPN strutturata a segmentazione delle varie reti, anche nel sito produttivo. Al momento non è previsto un CISO, anche se sto comunque portando la mia esperienza precedente. Probabilmente cercheremo un partner che possa aiutarci nel percorso di crescita in area sicurezza e  che sia in grado di seguirci a 360 gradi. Attualmente questo tema è gestito da una società di consulenza sistemistica che lo segue fronte Reti.

In questo momento sto cercando di trasmettere una visione che guardi alla sicurezza informatica non come un problema legato semplicemente al computer che si blocca per una giornata. Consideriamo, per esempio, un sistema di produzione. Qualora dovesse essere infettato da un virus, la produzione si fermerebbe causando perdite di milioni di euro che a fine anno pesano sul fatturato. Stiamo facendo leva su questo argomento e la direzione ha iniziato a comprendere le problematiche connesse all’attività produttiva. Abbiamo inoltre iniziato a  operare una selezione sui partner e disponiamo di un monitoraggio attivo 24 ore su 24; alcuni di essi monitorano principalmente i servizi di produzione e gli ERP e ne selezioneremo un ulteriore che ci seguirà per la sicurezza informatica.

In oleificio ho lavorato anche per introdurre attività di formazione. Quando gli utenti non sono formati, a volte compiono scelte con leggerezza. Abbiamo messo in atto corsi sulla sicurezza informatica partendo dalla base, dal classico link, dall’e-mail, dall’SMS ricevuto: tutto questo sta dando frutti e rende più consapevoli le persone. Nelle piccole realtà, spesso, manca la formazione IT ed è necessario proporre una panoramica generale sulla sicurezza informatica. Non sempre – tuttavia – è presente una vera dedizione alla formazione sul tema e sull’utilizzo degli strumenti, informatici e non, in uso.

La formazione dovrebbe essere vista come un’attività che porti a un ritorno dell’investimento ma talvolta le aziende danno per scontato che le persone e gli utenti siano già in grado di utilizzare gli strumenti informatici. Forse questo avviene perché il board e la direzione non hanno una vera conoscenza delle problematiche e dei pericoli che si possono incontrare tutti i giorni, anche quando miriadi di fornitori entrano in azienda e intervengono sull’automazione, in ambito produttivo, sulle raffinerie.

A volte i problemi di sicurezza non sono accettati; ci si nasconde un po’, si cerca di ‘mettere lo sporco sotto il letto’, si dice che saranno affrontati in futuro, ma che attualmente non ci sono soldi; investire in sicurezza è percepito come meno importante del farlo in produzione. Le soluzioni tecnologiche funzionano, ma siamo alla ricerca di un partner che gestisca la sicurezza, che aiuti l’IT a portate avanti questo compito. Il cambiamento che sto cercando di introdurre prevede la sensibilizzazione di tutto il management attorno a questo tema. L’offerta è ampia, i partner sono tanti, alcuni molto validi, ma la scelta deve essere fatta considerando la realtà in cui si opera.

Giampiero Aldo Zanvettor, CISO di ACI Global Servizi

Spesso, nel parlare di sicurezza, si accostano innovazione e resilienza, dimenticando che la seconda è un processo di reazione che tende a riportare il sistema allo stato originale. Rilevato un problema di sicurezza o subito un attacco informatico, l’obiettivo è uscirne migliorati e consolidati rispetto al passato. Parlando di resilienza, invece, ci si riferisce a uno stato precedente sistemico, di mero ripristino, che non contribuisce all’innovazione in azienda.

Oggi con il termine CISO si indica il responsabile della sicurezza delle informazioni; si tratta di capire quali siano le competenze e le conoscenze che questo professionista deve possedere nell’organizzazione e nei processi aziendali. Dalla fine degli anni ‘80 esperto d’informatica al Politecnico di Milano, a lungo sono stato imprenditore. Oltre a essere a capo di aziende del settore, ho guidato e diretto le operazioni di primari studi legali (e non solo) su ICT e sicurezza. Quando, intorno al 2007, è iniziata la corsa alla delocalizzazione verso il Far East, in primis verso la Cina, ho aggiornato la mia formazione per applicare le migliori misure da adottare in contesti critici e diversi per le aziende europee. Nel novembre 2019 è iniziata la mia collaborazione a supporto del DPO di ACI Global Servizi per sviluppare e applicare il remediation plan GDPR. A gennaio 2020, l’azienda, sposando la proposta di certificazione ISO 27001, mi ha inserito come CISO nell’organizzazione per il raggiungimento della stessa in tempi rapidi, cosa che è avvenuta a maggio 2020.

ACI Global Servizi s.p.a. (AGSE) è una società del Gruppo ACI, leader nel settore dei servizi per la mobilità rivolti al mercato e alle aziende (B2B) fornendo assistenza qualificata grazie alla continua innovazione tecnologica e operativa: da ottobre 2018 rappresenta in Italia un riferimento per l’assistenza stradale – come partner consolidato di Costruttori Auto e Moto, società di noleggio, compagnie di assicurazioni e altre aziende, ereditando la mission e le attività riferibili a realtà note come “ACI116”, “ACI Global Soccorso Stradale 803.116” e “ACI Global” da cui si è scissa; attività svolte sempre al fianco di cittadini e automobilisti, anche se in contesto di mercato B2B, in cui il core business rimane l’assistenza tecnica ai veicoli e l’assistenza sanitaria alla persona, gestite tramite la centrale operativa, attiva 24 ore su 24, 365 giorni all’anno.

Negli ultimi due anni in AGSE abbiamo consolidato la consapevolezza interna, traguardando la finalizzazione della separazione ICT con ACI Global che si concluderà entro marzo. Stiamo ricercando partner e figure utili all’azienda per condurre in autonomia e competenza le attività svolte originariamente dal CIO. Fondamentale, per un CISO, è il livello in cui entra in un’impresa e la sua autonomia decisionale. Per questo, riporto direttamente al presidente.

Un problema da smarcare al più presto è che, nella separazione definitiva IT tra le due società, la parte infrastrutturale è rimasta in carico alla vecchia azienda, mentre la parte di sviluppo software è al nostro interno. Di conseguenza abbiamo un IT ancora un po’ incompleto ed è necessaria la presenza e il coinvolgimento di partner esterni. È un tema che stiamo affrontando anche a livello organizzativo; da un’infrastruttura focalizzata sull’on premise, si sta virando verso il cloud.

Nell’attuale contesto, la cybersecurity è una parte produttiva importante, ma la sicurezza dell’informatica deve essere governata a 360°, in modo olistico. Il CISO non si deve occupare solo di applicazione della tecnologia in materia di sicurezza o aggiornamenti in tema di cybersecurity, ma deve rispondere all’organizzazione ed entrare nei processi, abbattendo il rischio aziendale. Fare cultura sulla sicurezza in azienda è determinante; a volte ci sono persone che in privato prestano attenzione alla sicurezza, ma sul lavoro non rispettano le regole. Il cambiamento culturale importante è passare da una sicurezza informatica obbligatoria, perché richiesta dal mercato, a una sicurezza pervasiva, parte della cultura aziendale.

Davide Barbarini, Group Chief Information Security Officer di PRG Retail Group

PRG Retail Group è il primo Kids & Family Hub nel settore dell’infanzia e del giocattolo con 957 negozi in 9 Paesi e un organico di 6.701 persone. È una realtà che comprende le insegne Prénatal, Bimbostore, Toys Center, King Jouet ed è titolare delle licenze esclusive di FAO Schwarz e, nella penisola Iberica, di Toys”R”Us. Il mio ruolo è quello di CISO, dopo aver vissuto molte altre esperienze in diverse multinazionali. In quella operativa nell’area dei servizi finanziari, l’aspetto normativo e di compliance esercitava di fatto la spinta sul tema della sicurezza. Del resto, a mio giudizio, sono stati proprio finanza e bancario, insieme all’assicurativo, i segmenti che hanno fatto da pionieri in tema di cyber security e continuità operativa.

Uscito dal finanziario e passato all’energy (azienda puramente commerciale, senza impianti di produzione e reti di distribuzione) sono emersi altri elementi. Il GDPR ha in tal senso fornito un contributo insieme alle tematiche di privacy, portando alla diffusione del concetto di security by design. Il retail è invece partito un po’ più tardi rispetto a quelli citati in precedenza. Il GDPR, ancora una volta, ha dato la spinta, ma c’è ancora molto lavoro da fare. In un settore come il nostro (catene retail, giocattoli, abbigliamento per future mamme e bambini, prodotti di puericultura…) la sicurezza va ben oltre il solo sistema antivirus; è necessario predisporre un approccio basato sulla maturità che si intende raggiungere fronte sicurezza, tenendo anche conto del rischio che si è disposti ad assumersi. Si parte dalla consapevolezza di dover inserire figure e competenze nuove, a dimostrazione della volontà di creare un percorso di crescita. Nel mondo retail, creare gruppi completi di competenze verticali interni all’impresa è un processo complesso e non sempre facile da portare avanti, e questo anche per realtà con caratteristiche diverse dalla nostra. Relativamente alla gestione della sicurezza, siamo in sostanza passati da una sicurezza tecnologica, basata solo sul prodotto, a una sicurezza più ampia, che abbraccia tematiche di governance dei rischi, gestione del dato e che prevede una forte coesione con quelle più propriamente di continuità operativa.

Negli ultimi tempi, nelle imprese sono aumentati l’interesse e la consapevolezza verso la figura del CISO, che a volte può essere una persona interna all’azienda oppure un servizio esterno. Mi piace immaginare e paragonare il CISO a un direttore d’orchestra, che sa leggere la musica, ma non suona tutti gli strumenti. Quindi seleziona i talenti più esperti, per poter offrire al pubblico il miglior spettacolo possibile. Tuttavia, se il ‘teatro’ sarà vuoto, il lavoro dei musicisti non verrà apprezzato. Bisogna portare la gente a ‘teatro’, che in termini di azienda si traduce nel creare connessione tra i dipartimenti di business e la sicurezza, e viceversa. La domanda è quindi: “chi porta il pubblico a teatro?”. Ecco che tornando ai ruoli, è necessario che il CISO individui degli sponsor – il board, il CEO, il CIO – che facilitino questa operazione e diffondano il modello di cooperazione all’interno dell’azienda.

Importante è infine armonizzare l’offerta dei partner. Il CISO deve considerare questa offerta, creando coerenza e armonia rispetto all’obiettivo da raggiungere. In una realtà con un modello sbilanciato sui servizi e sull’outsourcing, coinvolgere le terze parti e monitorarle in termini di sicurezza, è fondamentale. È un tema importante che richiede sempre una maggiore sensibilizzazione e adeguate azioni e procedure. Così come la stessa scelta del partner non può prescindere dalla presenza di competenze trasversali all’interno del team security e da una solida governance del fornitore fronte ‘execution’.

Il punto di vista di RAD/WindTre

Andrea Andrenacci, CEO di RAD

Sono Ceo e cofounder di RAD, società che, nella primavera del 2023, è stata acquisita da WindTre. È un’azienda specializzata in area cyber, che propone servizi di consulting e gestiti. L’intenzione è stata quella di portare la nostra competenza trasferendola su una rete di vendita più ampia, con una natura differente, per proporre servizi innovativi. Riguardo alla gestione della sicurezza, negli ultimi anni siamo passati da una security tecnologica basata sul prodotto, a una incentrata sul dato, sul rischio, sulla continuità operativa. Dalla pandemia i temi della sicurezza e della resilienza sono diventati molto sentiti e aziende che in precedenza non disponevano di una figura dedicata hanno iniziato a pensare all’introduzione di un virtual CISO, di un virtual CTO o di un fractional manager per sopperire alla mancanza di persone con le caratteristiche adeguate in azienda.

Non tutte le imprese fanno le stesse scelte. Ci sono realtà che, grazie al virtual CISO, pensano di togliersi un problema, altre invece che preferiscono assegnare il ruolo di CISO a un interno. Quest’ultimo, tuttavia, non sempre ha tutte le competenze necessarie o il tempo di occuparsi di ogni problema a 360°. Nel contempo, anche la figura del virtual CISO dovrebbe essere regolamentata da norme, perché non basta disporne per risolvere tutte le criticità.

Anche la formazione in materia di sicurezza è importante; su questo versante abbiamo collaborato con alcuni atenei che hanno programmi interessanti in materia di sicurezza. Oltre a formare le persone puntiamo anche all’acquisizione di talenti. Non sempre, però, è facile trovare risorse adatte. Le aziende attive nella ricerca del personale spesso non hanno le competenze adeguate e non riescono a valutare correttamente i candidati. Talvolta non riescono a capire che, nel mondo della cyber sicurezza, esistono tanti tipi di professionalità, in continua evoluzione. Sono pochi gli head hunter specializzati e aggiornati; spesso selezionano solo profili di alto livello.

Credo sia determinante abbinare a personale formato internamente persone provenienti dal mercato. Importante è creare cultura, una sensibilizzazione al tema della sicurezza che parte da un alto management consapevole che le battaglie da combattere in ambito cybersecurity non sono ingiustificate. A volte, anche se la produzione non si è fermata, sono stati bloccati dati e informazioni; l’impatto potrebbe essere forte e avere conseguenze nel tempo.

La formazione sulla sicurezza, però, non deve riguardare solo il top management bensì coinvolgere tutto il personale aziendale. Non è solo un problema culturale: quanto è appreso deve essere anche applicato nelle attività svolte quotidianamente. Servono persone attente e consapevoli, non basta la figura del CISO. Fondamentale è anche l’attività dell’area risorse umane. Senza l’impegno delle persone, un ‘CISO as a service’ non serve a dare stabilità a un’azienda. Tante volte ci si trova davanti a ostacoli che possono essere superati lavorando dove c’è più bisogno, trovando il budget, formando il management, portando esempi virtuosi e inserendo persone di valore. Senza cultura, la sola tecnologia non risolve il problema; alla fine le sfide si vincono grazie a persone consapevoli. Questo anche perché l’80% degli incidenti deriva da errore umano. Un’ulteriore difficoltà, talvolta evidente nei dipendenti più giovani, è che la consapevolezza per la cybersecurity esiste ma è applicata solo nella sfera privata. Importante è quindi insegnare l’importanza di rispetto e cura verso i dispositivi da usare in ambito aziendale.

Fondamentale, quando si rendono disponibili servizi di consulenza in area cybersecurity, è infine dimostrare che le soluzioni tecnologiche, da sole, non bastano. È importante dare qualità, fare cultura, far capire come quanto è proposto aiuterà a risolvere i problemi e in quali attività il venditore di servizi sarà al fianco del cliente per superare le difficoltà.