Questo mese abbiamo fatto colazione con: Luigi Iaccarino, Head of Global Cyber Defence and Cybersecurity Italy di Vodafone

Le cifre che accompagnano le analisi sulla cybersecurity sono impietose. La ricerca “Cyber Risk Management 2023 Survey” di The Innovation Group ha rilevato come il 96% delle aziende italiane abbia osservato almeno un attacco informatico nel corso dell’ultimo anno e il phishing sia la minaccia più ricorrente, persino più del ransomware (che ha comunque interessato il 40% del campione analizzato).

Se la cybersecurity viene perseguita da tempo, seppur con diversi livelli di maturità, da gran parte delle aziende, negli ultimi tempi sembra aver preso piede il concetto di cyber resilienza, che punta l’attenzione sulla capacità di ripresa rapida in caso di incidente informatico, si pone come obiettivo la continuità operativa e genera misure e conoscenze che devono coinvolgere necessariamente tutta l’azienda anche in termini reattivi.

Vodafone è un’azienda che, per la propria natura globale e dimensionale, mette la cyber resilienza al centro delle strategie di prevenzione e reazione ai tentativi di attacco. Per comprendere meglio cosa ispira le scelte corporate e locali della società, abbiamo incontrato Luigi Iaccarino, Head of Global Cyber Defence and Cybersecurity Italy.

Come si declina per voi il concetto di cyber resilienza?

Il tema è molto ampio e abbraccia diversi aspetti, ma in sintesi porta ad avere una postura corretta rispetto alle minacce più importanti che ci troviamo ad affrontare. Una strada maestra è rappresentata dalla creazione di misure preventive per rendere l’azienda meno esposta ai rischi cyber. Va tenuto conto che i threat actor sono quasi sempre aziende a loro volta, quindi più si tiene la barra alta e si eleva a il muro difensivo più si rende la vita difficile a chi vuole attaccare e, magari, lo si convince a desistere. Ma questo non basta, perché è impossibile pensare che non accadano incidenti, per cui la cyber resilienza passa anche per un’accurata azione di detection, mettendo poi in atto le azioni che rendono l’impatto minore possibile. Per questo occorre un mix di azioni automatiche – rapide nell’esecuzione ma più soggette a falsi positivi – e analisi che conducono ad azioni un po’ più dilatate nel tempo, ma complessivamente più efficaci. A questo, naturalmente, si aggiunge poi tutto ciò che ha a che fare con l’ecosistema con il quale l’azienda si confronta.

In questo contesto infrastrutturale, la componente di rilevazione & risposta ha un ruolo determinante?

Siamo una grande azienda e per questo ci siamo dotati di un Security Operations Center (SOC) interno, che opera 24h tutti i giornix7 e del quale io sono responsabile su scala globale. A complemento delle regole definite dai technology player nostri fornitori, abbiamo messo a punto la nostra governance. La Cyber Threat Unit verifica costantemente quali attacchi dobbiamo affrontare e le tecniche utilizzate. Disponiamo anche di team di data hunt, che lavora su dati offline e va più in profondità sugli scenari più tipici del comparto Telco nel quale ci collochiamo.

Quali sono gli elementi che più vi preoccupano in questo scenario?

Mentre nell’ambito delle nostre infrastrutture siamo in grado di effettuare in prima persona controlli preventivi e di monitorare direttamente l’evolversi delle minacce, lavoriamo anche con molti fornitori esterni e lì la nostra capacità di controllo si scontra con limiti oggettivi. Per mitigare il rischio,  abbiamo categorizzato i fornitori in base al livello di rischio e al tipo di dati che gestiscono per nostro conto. Questa categorizzazione definisce la tempistica e la metodologia applicata a controlli periodici che effettuiamo per verificare il grado di aderenza ai nostri requisiti, ma riteniamo che l’approccio verso le terze parti debba evolvere in una direzione che renda la riduzione del rischio più sostanziale. Un altro tema rilevante riguarda l’obsolescenza dei sistemi che, su un parco macchine così elevato, è di per sé una sfida. In questo caso le priorità degli interventi sono focalizzate sugli asset più esposti o la cui eventuale compromissione possa comportare conseguenze più gravi. Va da sé che il fattore umano è un altro elemento da tenere presente. Tutte le attività di formazione e consapevolezza che mettiamo in campo vanno nella direzione della minimizzazione dei rischi. Le campagne di test e simulazione su tutta la popolazione aziendale e i conseguenti momenti di approfondimento e feedback con i singoli dipartimenti sono elementi essenziali che mirano a far acquisire a tutti una maggiore consapevolezza sull’importanza del proprio ruolo nella tutela dell’azienda.