1.
Il rapporto Clusit indica il 2016 come il peggior anno per la sicurezza informatica, quando
solo pochi anni fa pensavamo di aver toccato il fondo. In termini relativi indubbiamente il
livello di sensibilità si è alzato di molto, ma è la risultante di una condizione lungamente
sottostimata sia dalle imprese che dal quadro normativo di riferimento. Riguardo l’ado-
zione del nuovo Regolamento Europeo sulla Protezione dei Dati si ha la sensazione che
la compliance normativa non venga percepita come un’imposizione ma venga altresì
recepita in chiave positiva, in considerazione di contenuti sucientemente adeguati
al contesto di riferimento che determinano lo spostamento del peso specifico dagli
aspetti sanzionatori a quelli di indirizzo. È un segnale dell’importante incremento del
livello di maturità nazionale sul tema della sicurezza informatica che già stiamo osser-
vando da più di un anno nelle amministrazioni pubbliche e nel settore privato, e che si
sostanzia in una lungamente attesa convergenza tra aspetti tecnici e impianto normativo,
nel perseguire un comune obiettivo.
2.
Dipende dalle dimensioni aziendali, dal settore merceologico in cui opera, dal modello di
business e dal livello di maturità interno. È tuttavia comune il senso di titubanza di fronte alle tec-
nologie innovative, che implicano da un lato spese importanti sia in termini di costi di acquisto che di costi operativi, e
dall’altro logiche di contrasto la cui ecacia è dicilmente misurabile. A questa pesante asimmetria informativa, che ren-
de più lungo il processo di adozione di tecnologie di contrasto, fa da contraltare un nuovo portafoglio di servizi a valore
aggiunto che spaziano dalla consulenza ai servizi gestiti. Il cloud è un concetto parzialmente sdoganato, impiegato dalla
maggioranza dei produttori per incrementare la qualità dei servizi, e meglio recepito dalle grandi aziende rispetto alla
media impresa, ma è solo questione di tempo.
3.
Esistono tre elementi che devono essere adeguatamente sviluppati per fornire alle aziende un supporto adeguato:
cultura sugli aspetti di governance e compliance, grande esperienza sulle tecnologie e una linea di servizi a valore aggiunto
che possano spaziare dai servizi gestiti ai servizi professionali. Riguardo il primo ambito è determinante essere aggiornati
sulle normative e sui processi di supporto per poter definire le azioni successive. Ogni azione prende poi la forma di uno
o più progetti dove la tecnologia rappresenta uno strumento abilitante, e pertanto in un mercato così ricco di soluzioni
è necessario avere una conoscenza approfondita delle singole capacità di ogni strumento identificato come abilitante. A
corredo di questi elementi c’è poi il confronto quotidiano con le nuove minacce, in quanto solo l’e ettiva comprensione
può determinarne la corretta gestione. La combinazione intelligente di questi tre elementi rappresenta il livello minimo di
competenze necessarie oggi per supportare le aziende nel governo della sicurezza delle informazioni.
Andrea Ferrazzi, Security Executive, Cybermind – Consigliere di Amministrazione, Maticmind
1.
Nel 2016 le aziende hanno investito circa 1 miliardo di Euro sulla voce Information Securi-
ty (+5%, fonte Il Sole24Ore) e, molto probabilmente, il trend sarà altrettanto in crescita nel
2017 anche per motivi di conformità al GDPR. La Sicurezza deve però necessariamente
entrare a far parte di ogni processo aziendale fin dalla genesi, evitando così ritardi ma
proteggendo informazioni e asset strategici con azioni e allocazioni di budget preven-
tive. Investire 1 euro in sicurezza per ogni 66 euro spesi sull’ICT (Rapporto Clusit 2017)
significa, inoltre, non poter assolutamente competere con i trend di crescita delle varie
tipologie di attacco sempre più complesse. Ecco allora la necessità di equilibrare gli in-
vestimenti in tecnologie con opportuni processi di gestione nonché con l’assegnazione
di idonei ruoli e responsabilità (approccio ‘People, Process and Technology’).
2.
Fino a qualche tempo fa la situazione era estremamente eterogenea e fluida. Ora si
assiste a una maggiore consapevolezza sui rischi cyber, avvenuta quasi sempre in concomi-
tanza all’emanazione di direttive e regolamenti e alla pubblicazione di metodi per a rontare
in modo omogeneo la cyber security riducendo il rischio legato alla minaccia (ad esempio il
Framework Nazionale di Cyber Security). La spinta della compliance è, inoltre, quasi indipendente
dalla modalità con cui le organizzazioni usufruiscono di servizi IT tradizionali mediante il proprio data center o legandosi
ai nuovi paradigmi cloud di tipolgia IaaS, PaaS o SaaS. In tal senso il GDPR prevede per la prima volta obblighi di legge e
relative sanzioni anche per i data processor, ruolo ricoperto dalla maggior parte dei fornitori di servizi cloud. Nel caso di
adozione di servizi cloud, risulta fondamentale per mitigare i rischi e garantire i requisiti di conformità, giungere alla de-
finizione di un ‘punto di controllo’ che si interpone tra l’azienda e il cloud service provider assicurando l’applicazione di
opportuni e mutui controlli di sicurezza ai servizi cloud.
3.
Servono indubbiamente competenze multidisciplinari: Sinergy, ad esempio, ha la possibilità di supportare le azien-
de con il team Advisory, mediante servizi strategici basati su metodologie e standard internazionali riconosciuti e con le
competenze dei Professional Services. I servizi o erti partono dalla valutazione del livello di maturità del cliente sui vari
temi di analisi (fase assess) e continuano nell’identificazione e la progettazione di soluzioni tecnologiche e organizzativo-
procedurali più idonee al raggiungimento degli obiettivi di cyber security e compliance (fase design). Gli step successivi
prevedono l’implementazione delle soluzioni e l’attuazione dei processi di governo individuati e progettati nella fase pre-
cedente (fase build) e si completano con l’erogazione di servizi di supporto continuo come, ad esempio, le attività di In-
ternal Audit o i servizi di ‘DPO as a service’ (fase operate).Tutte le fasi sono trattate con le giuste componenti e le diverse
competenze (tecnologiche, organizzative, legali, etc.) che permettono, nell’insieme, di coprire in modo omogeneo e com-
pleto i temi di cyber security e compliance.
Marco Ceccon, Senior Security Advisor, Sinergy
46
maggio 2017
VALUE POINT - Il ruolo del canale