Office Automation maggio 2017

maggio 2017

VALUE POINT - Il ruolo del canale

La pervasività dei sistemi e delle applicazioni informatiche, nonché la possibilità di usu-

fruirne nella quotidianità aziendale anche in mobilità, hanno portato la sicurezza IT, o cyber

security, e la data privacy ad essere asset aziendali irrinunciabili. Oltre alle esigenze quoti-

diane i concetti di sicurezza informatica sono sempre più attuali anche a seguito dell’e-

manazione del nuovo GDPR che il legislatore ha ritenuto opportuno emanare al fine di

armonizzare le regole della tutela della privacy in tutti i paesi europei. Le numerose

novità introdotte, quali la nomina di un Data Protection Ocer (DPO), i concetti di

‘Privacy by Design’ e ‘Privacy by Default’, nonché le modalità di valutazione dei rischi,

l’impatto delle stesse sui dati e le misure di sicurezza da implementare, rappresentano

una vera sfida per le aziende.

Dal nostro punto di vista e dalle richieste del mercato, si può notare che le aziende

hanno una maggior consapevolezza dei rischi legati alla sicurezza informatica, ma poche

hanno figure ad hoc, vision di lungo periodo e approcci tecnologici idonei a sostenere le

prossime sfide. L’attenzione delle aziende è attualmente concentrata su ambiti specifici come

network security, business continuity e non su tecnologie emergenti quali IoT, mobile e cloud. Per

poter cogliere le opportunità che la digitalizzazione o re, è fondamentale per le aziende dotarsi di figure con responsa-

bilità manageriale, quale il Chief Information Security Ocer (CISO), anché le strategie di information security possano

essere modulate ed implementate in tempi consoni alle esigenze. In ambito di tecnologie emergenti, il cloud, canale tipi-

co delle comunicazioni per l’IoT, e i servizi in cloud rappresentano per le aziende un’ottima opportunità di innovazione e

velocizzazione dei propri modelli di business. Al contempo, dal punto di vista della sicurezza IT e privacy, possono essere

però di non facile gestione, soprattutto se si dispone di provider e data center geograficamente distribuiti in paesi con

di erenti legislazioni. Ulteriore esigenza è dunque la definizione di responsabilità, regole, modalità di conservazione delle

informazioni in cloud nonché l’individuazione, la valutazione e gestione adeguata dei relativi rischi.

Per gestire in modo adeguato la sicurezza IT, soprattutto in caso di implementazione di nuove tecnologie quali digi-

talizzazione, IoT, big data, cloud, virtualizzazione, mobile, intelligenza artificiale, ChatBOT e robotica, le aziende devono

introdurre competenze specialistiche e nuove figure professionali. Un nuovo approccio alla sicurezza dovrà comunque

essere economicamente sostenibile, per cui potrebbe risultare opportuno demandare a un outsourcer tutta la gestione

del tema privacy e sicurezza. Tra le risorse di maggior valore evidenziamo: DPO, Data Protection Ocer, CISO, Chief Infor-

mation Security Ocer, Risk manager in ambito sicurezza IT e data privacy, SOC, Gruppo Operativo di Sicurezza, tecnici

che svolgono attività di monitoraggio e di gestione degli apparati di sicurezza attraverso cui possono attivare procedure

idonee a fronteggiare le minacce rilevate.

Ferruccio Radici, Direttore Tecnico, Asystel Italia

Si, il crescente utilizzo dei servizi digitali comporta una maggiore esposizione a rischi, come

abbiamo visto soprattutto negli ultimi anni attraverso Cryptolocker, ransomware, o le sem-

pre crescenti campagne di phishing. Questi attacchi, che puntano su quei ‘pochi’ soggetti

che si lasciano ingannare, hanno di per sé una percentuale di successo molto bassa, ma

sono comunque estremamente ecaci se in abbinamento con massicce campagne di

infezione. Un simile attacco ha un costo estremamente ridotto rispetto ad uno mirato,

data la bassa ingegnerizzazione necessaria, ed è accessibile anche a criminali con una

bassa alfabetizzazione informatica. Un aspetto ancora più importante è la versatilità

di questo tipo di attacchi: non solo questi sono spesso platform-indipendent, ovvero

validi per i più di usi browser o sistemi operativi, ma possono colpire una moltitudine

di bersagli. Per quanto riguarda il GDPR vale la pena sottolineare che è stato emanato

sotto forma di Regolamento, per cui non necessita di essere recepito dagli stati membri

dell’UE. Il nuovo regolamento europeo è fondamentale perché interviene sull’armonizzazio-

ne delle regole sul trattamento dei dati personali.

Le aziende devono far fronte a nuovi rischi informatici, alla violazione di dati e privacy, al furto

di proprietà intellettuale, a guasti tecnici, a cyber-estorsioni, alla perdita di informazioni confidenziali e soprattutto all’in-

terruzione delle attività. Hanno come obiettivo primario quello di aumentare la redditività, ottimizzare i costi di esercizio e

migliorare la sicurezza dei dati e dei processi e per questo stanno sempre più aancando alle tecnologie esistenti servizi

gestiti in outsourcing, esternalizzando i servizi che hanno necessità di formazione e miglioramenti continui ma soprattutto

di un costante monitoraggio e una tempestiva velocità di intervento.

Per garantire la sicurezza è fondamentale approcciarla in modo olistico sapendo individuare le migliori tecnologie dei

vendor internazionali. Noi forniamo servizi di consulenza come ad esempio la verifica e l’adeguamento delle politiche e

procedure aziendali agli obblighi legislativi, la misurazione e gestione del rischio informatico e attività di Ethical Hacking

per analizzare le vulnerabilità. È un approccio molto ampio, che comprende la progettazione, il supporto, la gestione e la

manutenzione, con SLA h24, delle soluzioni per la sicurezza perimetrale, la protezione delle informazioni e la gestione delle

identità degli utenti. Sicurezza informatica non è solo questione di tecnologia ma implica anche interventi organizzativi e

di gestione del personale. Sono aspetti di un progetto di cui Business-e si fa carico con servizi di consulenza organizzativa

e metodologica. Gli strumenti per fornire alle aziende un adeguato supporto sono vari e cambiano a seconda del business

del cliente e dell’infrastruttura esistente, ciò che conta sono le competenze che devono essere in grado di mitigare il rischio,

attraverso un’analisi attenta e tempestiva, investigare sull’origine degli attacchi e ripristinare l’operatività. Recentemente

abbiamo lanciato sul mercato Cerbero Cyber Security Services, una piattaforma di sicurezza gestita in outsourcing che

consente di monitorare, grazie ad unico pannello di controllo, lo stato della sicurezza informatica delle aziende.

Lucilla Mancini, Chief Consulting Ocer, Business-e