marzo 2012
office automation
7
coinvolte nei processi, proprio in termini di capacità
analitica e mansioni più numerose e ampie; di pari im-
portanza poi la formazione dei non addetti, il personale
tutto e gli utenti, interni ed esterni, che costituiscono
‘l’anello più debole’ della catena sicurezza, da dotare di
quel minimo grado di conoscenza basato sull’abitudine
alla prudenza, sul riconosci-
mento degli interlocutori, dei
file ecc., come i più tipici punti
di ingresso dell’attacco.
Verso una security
‘embedded’
Alfredo Gatti
, managing direc-
tor di Nextvalue, ha sintetizzato
l’ultimo report (gennaio 2012)
dedicato all’information security management sul
mercato italiano, distribuito a tutti i presenti. La ri-
cerca è stata realizzata in collaborazione con CIONet,
il primo network europeo di aziende top (circa 3.000)
appartenenti a ogni segmento di mercato. Alla ricerca
hanno partecipato 214 delle 400 aziende italiane
iscritte (40 i grandi enti della PA), e a queste il docu-
mento fa riferimento. Come
premessa, alcune notazioni:
Gatti ha subito trasformato la
domanda “Se ci attaccheranno”
in una certezza, a cui far seguire
i più interessanti quesiti: “per-
ché dovrebbero?” e “come lo
faranno?”. Lo scenario d’attacco
è il mondo ‘borderless’ in cui
siamo immersi, un mondo ben
più complesso, che vive cam-
biamenti regolamentali a livello
europeo, con minacce emergenti da sempre nuove si-
tuazioni e occasioni di affari per organizzazioni crimi-
nali ormai strutturate, che agiscono in base a precisi
parametri di investimento, in rapporto con l’atteso ri-
torno.
Immediatamente percepibile la necessità di una vi-
sione di ‘security embedded’, e quindi: intelligence
come arma di difesa; network con i competitor per
iniziative condivise e sistemi di scambio basati su
standard; commitment del management; infine, cul-
tura diffusa, nella consapevolezza del passaggio dal
rischio IT a quello di business, dalla tattica alla stra-
tegia, da problema IT a problema di management.
Una delle evoluzioni emerse dalla ricerca ha riguardato
quindi proprio le figure di management che oggi si oc-
cupano del tema in azienda: CSO (chief security offi-
cer) e Ciso (chief information security officer) ormai
rispondono delle problematiche in piena autonomia,
almeno per i casi di eccellenza tra le aziende coinvolte.
A queste si sono affiancate da tempo altre due figure
più specializzate: il risk e il
compliance officer, (CRO e
CCO) esperti nella gestione
del rischio e della corrispon-
denza e coerenza ai processi,
procedure e prassi. Figure che
ormai sono presenti nella
quasi totalità delle aziende del
comparto finanza (rispettiva-
mente 91% e 86%), ma che si
stanno diffondendo anche in
tutti gli altri settori. In gene-
rale il panel degli intervistati registra la presenza del
CRO nel 50% del campione e del CCO nel 33%.
L’impatto della sicurezza in azienda è considerato ri-
levante dal 64% del campione e ciò giustifica la
priorità assegnata negli investimenti al tema, soprat-
tutto in ambiente bancario, che si attestano su un 5%
di media del budget IT complessivo, in una forbice
che va dal 2% al 15%. Rela-
tivamente agli ostacoli, al
primo posto sicuramente il
costo, seguito dalla perce-
zione della necessità, da una
certa mancanza di cultura
aziendale e dalla complessità
delle procedure.
L’intervento è terminato foca-
lizzando le maggiori criticità,
individuate nel Saas, nel
cloud, nella mobility e nei
social media che porta alla necessità di operare le più
puntuali valutazioni nella scelta dei relativi partner.
Non lasciare spazi vuoti
Giovanni Napoli
, pre-sales manager per Emea South
Region di RSA ha iniziato illustrando la guerra senza
quartiere portata avanti tra i due maggiori trojan ‘sul
mercato’. Due malware che hanno aperto tra di loro
una impressionante ‘potenza di fuoco’ senza esclu-
sione di colpi, pur di affermare la propria... leadership
rispetto al declino e alla sconfitta dell’avversario nel
mondo del cyber crimine.
Si è profondamente evoluta
la motivazione principale
delle attività criminali,
oggi sempre più orientata
al perseguimento di profitti
significativi, qualitativamente
e quantitativamente
“
“
Almeno fino a oggi, l’errore
storico è stato quello di aver
agito, nel tempo, costantemente
con logica ‘verticale’, a silos:
policy, applicazioni, data center,
con conseguente rigidità dei
sistemi e ripetizione di costi
“
“
