45
maggio 2017
VALUE POINT - Il ruolo del canale
1.
La pervasività dei sistemi e delle applicazioni informatiche, nonché la possibilità di usu-
fruirne nella quotidianità aziendale anche in mobilità, hanno portato la sicurezza IT, o cyber
security, e la data privacy ad essere asset aziendali irrinunciabili. Oltre alle esigenze quoti-
diane i concetti di sicurezza informatica sono sempre più attuali anche a seguito dell’e-
manazione del nuovo GDPR che il legislatore ha ritenuto opportuno emanare al fine di
armonizzare le regole della tutela della privacy in tutti i paesi europei. Le numerose
novità introdotte, quali la nomina di un Data Protection Ocer (DPO), i concetti di
‘Privacy by Design’ e ‘Privacy by Default’, nonché le modalità di valutazione dei rischi,
l’impatto delle stesse sui dati e le misure di sicurezza da implementare, rappresentano
una vera sfida per le aziende.
2.
Dal nostro punto di vista e dalle richieste del mercato, si può notare che le aziende
hanno una maggior consapevolezza dei rischi legati alla sicurezza informatica, ma poche
hanno figure ad hoc, vision di lungo periodo e approcci tecnologici idonei a sostenere le
prossime sfide. L’attenzione delle aziende è attualmente concentrata su ambiti specifici come
network security, business continuity e non su tecnologie emergenti quali IoT, mobile e cloud. Per
poter cogliere le opportunità che la digitalizzazione o re, è fondamentale per le aziende dotarsi di figure con responsa-
bilità manageriale, quale il Chief Information Security Ocer (CISO), anché le strategie di information security possano
essere modulate ed implementate in tempi consoni alle esigenze. In ambito di tecnologie emergenti, il cloud, canale tipi-
co delle comunicazioni per l’IoT, e i servizi in cloud rappresentano per le aziende un’ottima opportunità di innovazione e
velocizzazione dei propri modelli di business. Al contempo, dal punto di vista della sicurezza IT e privacy, possono essere
però di non facile gestione, soprattutto se si dispone di provider e data center geograficamente distribuiti in paesi con
di erenti legislazioni. Ulteriore esigenza è dunque la definizione di responsabilità, regole, modalità di conservazione delle
informazioni in cloud nonché l’individuazione, la valutazione e gestione adeguata dei relativi rischi.
3.
Per gestire in modo adeguato la sicurezza IT, soprattutto in caso di implementazione di nuove tecnologie quali digi-
talizzazione, IoT, big data, cloud, virtualizzazione, mobile, intelligenza artificiale, ChatBOT e robotica, le aziende devono
introdurre competenze specialistiche e nuove figure professionali. Un nuovo approccio alla sicurezza dovrà comunque
essere economicamente sostenibile, per cui potrebbe risultare opportuno demandare a un outsourcer tutta la gestione
del tema privacy e sicurezza. Tra le risorse di maggior valore evidenziamo: DPO, Data Protection Ocer, CISO, Chief Infor-
mation Security Ocer, Risk manager in ambito sicurezza IT e data privacy, SOC, Gruppo Operativo di Sicurezza, tecnici
che svolgono attività di monitoraggio e di gestione degli apparati di sicurezza attraverso cui possono attivare procedure
idonee a fronteggiare le minacce rilevate.
Ferruccio Radici, Direttore Tecnico, Asystel Italia
1.
Si, il crescente utilizzo dei servizi digitali comporta una maggiore esposizione a rischi, come
abbiamo visto soprattutto negli ultimi anni attraverso Cryptolocker, ransomware, o le sem-
pre crescenti campagne di phishing. Questi attacchi, che puntano su quei ‘pochi’ soggetti
che si lasciano ingannare, hanno di per sé una percentuale di successo molto bassa, ma
sono comunque estremamente ecaci se in abbinamento con massicce campagne di
infezione. Un simile attacco ha un costo estremamente ridotto rispetto ad uno mirato,
data la bassa ingegnerizzazione necessaria, ed è accessibile anche a criminali con una
bassa alfabetizzazione informatica. Un aspetto ancora più importante è la versatilità
di questo tipo di attacchi: non solo questi sono spesso platform-indipendent, ovvero
validi per i più di usi browser o sistemi operativi, ma possono colpire una moltitudine
di bersagli. Per quanto riguarda il GDPR vale la pena sottolineare che è stato emanato
sotto forma di Regolamento, per cui non necessita di essere recepito dagli stati membri
dell’UE. Il nuovo regolamento europeo è fondamentale perché interviene sull’armonizzazio-
ne delle regole sul trattamento dei dati personali.
2.
Le aziende devono far fronte a nuovi rischi informatici, alla violazione di dati e privacy, al furto
di proprietà intellettuale, a guasti tecnici, a cyber-estorsioni, alla perdita di informazioni confidenziali e soprattutto all’in-
terruzione delle attività. Hanno come obiettivo primario quello di aumentare la redditività, ottimizzare i costi di esercizio e
migliorare la sicurezza dei dati e dei processi e per questo stanno sempre più aancando alle tecnologie esistenti servizi
gestiti in outsourcing, esternalizzando i servizi che hanno necessità di formazione e miglioramenti continui ma soprattutto
di un costante monitoraggio e una tempestiva velocità di intervento.
3.
Per garantire la sicurezza è fondamentale approcciarla in modo olistico sapendo individuare le migliori tecnologie dei
vendor internazionali. Noi forniamo servizi di consulenza come ad esempio la verifica e l’adeguamento delle politiche e
procedure aziendali agli obblighi legislativi, la misurazione e gestione del rischio informatico e attività di Ethical Hacking
per analizzare le vulnerabilità. È un approccio molto ampio, che comprende la progettazione, il supporto, la gestione e la
manutenzione, con SLA h24, delle soluzioni per la sicurezza perimetrale, la protezione delle informazioni e la gestione delle
identità degli utenti. Sicurezza informatica non è solo questione di tecnologia ma implica anche interventi organizzativi e
di gestione del personale. Sono aspetti di un progetto di cui Business-e si fa carico con servizi di consulenza organizzativa
e metodologica. Gli strumenti per fornire alle aziende un adeguato supporto sono vari e cambiano a seconda del business
del cliente e dell’infrastruttura esistente, ciò che conta sono le competenze che devono essere in grado di mitigare il rischio,
attraverso un’analisi attenta e tempestiva, investigare sull’origine degli attacchi e ripristinare l’operatività. Recentemente
abbiamo lanciato sul mercato Cerbero Cyber Security Services, una piattaforma di sicurezza gestita in outsourcing che
consente di monitorare, grazie ad unico pannello di controllo, lo stato della sicurezza informatica delle aziende.
Lucilla Mancini, Chief Consulting Ocer, Business-e