INTERVISTA di Elena Vaciago, Associate Research Manager, The Innovation Group a Genséric Cantournet, capo della Divisione Security e Safety, RAI.

Non ha più senso parlare di sicurezza informatica, così come non ha senso parlare della sicurezza di un singolo componente di un servizio, ma solo della fornitura sicura dello stesso nel suo complesso. Vale più l’integrità del servizio che l’erogazione stessa del medesimo.
E’ quanto afferma Genséric Cantournet, da 1 anno a capo della Divisione Security e Safety di RAI, dopo 8 anni come Security Vice President in Telecom Italia a seguito di una carriera nelle Istituzioni militari e diplomatiche, membro dell’Advisory Board del Programma Cybersecurity e Risk Management 2017 di TIG e Deloitte.

Qual è oggi l’approccio più corretto da seguire nella gestione della cybersecurity?
“La riduzione dei costi di accesso alla rete e lo sviluppo della banda larga comportano una notevole espansione del cyberspace, rendendolo un fattore sempre più cruciale per la crescita economica e sociale. La rete e i sistemi che formano il cyberspace sono progettati e realizzati pensando a criteri di usabilità senza tenere a debito conto fin dall’inizio aspetti di sicurezza – spiega Genséric Cantournet – Queste vulnerabilità sono sfruttate anche da singoli per commettere azioni dannose (come il furto di dati sensibili all’interno delle aziende). Non basta, quindi, la messa a punto di adeguate misure di contrasto, ma anche azioni di sensibilizzazione e di controllo. In questo modo è possibile alzare il livello delle difese delle infrastrutture ritenute vitali, delle aziende e dei singoli cittadini”.

Un cambiamento in gran parte indotto dalla trasformazione digitale in corso che abbraccia tutto e tutti, un cambiamento importante, inevitabile, che in molti stanno sposando per non rimanere indietro. Come fare però a tenere sotto controllo i nuovi rischi della cybersecurity?

“Bisogna dotarsi internamente di un processo endogeno che permetta di continuare a lavorare sfruttando le nuove opportunità che via via si presentano, ma tenendo sotto controllo o eliminando del tutto le conseguenze negative – aggiunge Genséric Cantournet –. In RAI la Direzione Security & Safety comprende al suo interno la gestione della sicurezza classica, quindi la tutela delle informazioni del business intesa in modo tradizionale, ma contemporaneamente anche la safety sul lavoro, quindi la tutela delle persone, dei rischi ambientali e sanitari. Accentrando i vari aspetti si ha una visione unitaria, olistica, su tutti i rischi. Oggi ad esempio non è più realistico, e neanche possibile, separare sicurezza fisica e logica. Le componenti digitali sono diventate pervasive, si osserva una continua convergenza dei diversi aspetti. L’importante è che la funzione di Security Governance abbia una visione unitaria sui diversi rischi per il business, dall’accesso al tornello fino alla violazione della reputazione online. Chi si occupa di sicurezza deve innanzi tutto analizzare il rischio, comprenderlo, pesarlo e gestirlo nel modo più opportuno”.
Negli organigrammi delle aziende italiane spesso manca la figura del Risk Officer e anche quando c’è, non si occupa di Enterprise Risk Management a tutto tondo ma piuttosto di rischio finanziario, di rischi trasferibili. La vostra situazione è avanzata rispetto alla media delle aziende italiane: quali vantaggi si ottengono? “In RAI il risk management ha oggi un ruolo centrale nella gestione della sicurezza – risponde Cantournet – Ci siamo mossi tra i primi in questo senso e altri seguiranno. Il vantaggio è che possiamo così affrontare tematiche molto nuove, ad esempio quella degli oggetti connessi in rete, che è già una realtà oggi. Si tratta di oggetti che hanno utilizzi molto diversificati. Alcuni, i wearable, sono pensati per il benessere personale, ma hanno molti limiti sul fronte della gestione sicura dei dati. Ad esempio permettono di geoposizionare le persone: alcuni condividono la propria presenza addirittura su Facebook. Può essere un’opportunità ma in alcuni casi anche un rischio: ad esempio, è possibile che un giornalista in questo modo faccia sapere a tutti dove si sta trovando, un’informazione che può essere utile alla concorrenza”.
E visto che la RAI sta diventando una Digital Media company, con una vocazione sempre più spinta sul fronte della sperimentazione delle nuove tecnologie, è chiaro che i rischi crescono. “La RAI oggi crede molto nell’evoluzione digitale, e del resto non ci sono altre scelte” è il commento di Cantournet.