Questo mese abbiamo fatto colazione con: Alessio Pomasan, CIO di Banca Mediolanum

Lo scenario della cybersecurity si fa sempre più complesso, per il concorso di fattori che spaziano dalla regolare scoperta di nuove vulnerabilità in apparati e applicazioni all’affermarsi dell’era della employee mobility, con l’aumento degli accessi remoti e delle applicazioni cloud-based che fanno crescere il numero di dispositivi, dati e flussi da proteggere.

Abbiamo pertanto analizzato il tema, attraverso l’esperienza diretta di Banca Mediolanum, raccontata dal CIO Alessio Pomasan.

La stratificazione storica delle infrastrutture di cybersecurity porta con sé una certa dispersione dei potenziali punti di penetrazione può rappresentare un problema nella capacità di individuare le minacce effettivamente pericolose. Come avete affrontato questa problematica?

Per gestire al meglio questa situazione, occorre, come nel nostro caso, disporre a monte di un disegno robusto dell’architettura di sicurezza complessiva, in modo da evitare di trovarsi con sovrapposizioni o punti oscuri e i relativi impatti sui costi e sullo sforzo di gestione. Naturalmente, anche noi partiamo dall’evoluzione delle minacce, ma ci siamo ormai orientati verso un approccio di security by design. Ogni nuovo progetto che parte implica già nella fase di demand l’analisi di tutti i rischi di sicurezza collegati, per fare in modo che siano già integrate le misure di mitigazione necessarie.

Qual è il livello di automazione nella trattazione delle minacce, soprattutto quelle più comuni e apparentemente più semplici da contrastare?

Abbiamo fatto notevoli passi avanti, in diverse direzioni, arrivando in alcuni casi a integrare anche strumenti che impiegano l’intelligenza artificiale per contrastare la costante evoluzione dello scenario delle minacce. Anche alla luce del contesto pandemico che ha visto una crescita esponenziale di alcune tipologie di attacco, abbiamo accelerato l’implementazione della roadmap volta ad evolvere il livello di maturità dei presidi di difesa. A mero titolo di esempio nel corso del el 2020 circa l’80% delle email ricevute dal nostro sistema di posta elettronica aziendale era spam : Ancora più importante è la velocità di risposta a fronte della rilevazione di ransomware/malware sugli asset aziendali, con l’isolamento della risorsa attaccata: questo dà l’idea di quanto sia necessario disporre di automatismi sia per la  trattazione di volumi importanti, sia per la velocità di risposta al fine di contenere possibili impatti all’Azienda.. L’automazione della gestione degli eventi di sicurezza ci ha consentito di poter focalizzare gli impegni delle risorse a disposizione su temi più strategici e complessi, come ad esempio la threat intelligence e la prevenzione delle frodi verso i clienti. Infine, a tutto ciò si aggiunge il notevole sforzo dedicato al potenziamento delle competenze interne

Quali sono le categorie di minacce che catalizzano maggiormente la vostra attenzione?

Probabilmente, la categoria di attacchi che richiede maggiore concentrazione è rappresentata dal social engineering, dove il livello di raffinatezza è diventato particolarmente elevato e la capacità di individuazione si è fatta più complessa. Il nostro obiettivo è cercare il più possibile di arrivare a rilevazioni in tempo reale e addirittura di anticipare le mosse degli attaccanti; in questo senso, troviamo particolarmente utile poter far leva sulla threat intelligence, che porta a scandagliare anche il dark e deep Web.

Come avete affrontato il problema della cronica carenza di skill nel mondo della cybersecurity?

Da alcuni anni abbiamo ripensato tutta la strategia di sicurezza aziendale sia in termini di governance che di operations. Questo ha implicato anche un potenziamento della squadra in tutte e due le direzioni. Il reperimento degli skill è certamente complesso di questi tempi, soprattutto per la difficoltà di individuare figure in grado di riconoscere i pattern sui quali occorre maggior attenzione e competenza. Per tenere il passo, abbiamo deciso di investire molto anche sulle competenze interne.

Come evolverà la vostra strategia nel prossimo futuro?

Esaminando il nostro percorso negli anni, possiamo dire di essere partiti con un approccio strettamente reattivo anche se fin da subito abbiamo realizzato che l’approccio di maggior valore per l’Azienda è quello preventivo: da qui la definizione e la realizzazione di una roadmap ben definita capace di far incrementare il nostro livello di maturità verso la cosiddetta Sicurezza Adattiva o “Full Stack” più adeguato a rispondere alle evoluzioni della nuova superfice di attacco, sempre più “liquida”, e della complessità degli attacchi, andandone a considerare ed intercettare la strategia complessiva: a fronte di una minaccia, si connetteranno e correleranno le relazioni su tutto l’ambiente informatico dell’Azienda, analizzandone il significato globale per meglio rispondere alla minaccia.