LET’S TALK & CONNECT

La minaccia cyber deve essere in cima all’agenda di ogni paese industriale che voglia competere sulle scene internazionali, così come la progressiva digitalizzazione. Un punto importante per ottenere questo risultato, oltre all’impegno delle istituzioni, è anche quello della capacità di chi guida le imprese italiane nel comprendere la portata e gli impatti dei rischi di cybersecurity.

Su questi due temi, da un lato, l’evoluzione delle minacce e l’impegno del Paese nel contrastarle, dall’altro lato, le iniziative in seno alle singole organizzazioni e l’impegno sempre maggiore del CISO, il Chief Information Security Officer, nel diffondere il tema in enti pubblici e aziende private, si è svolto l’incontro dello scorso 10 maggio a Roma, durante l’evento di apertura del Cybersecurity Summit 2023 di The Innovation Group.

Il ruolo di Istituzioni, Agenzie, Polizie, nel contrasto alle minacce cyber

“La minaccia cyber è in continua ascesa globale – ha commentato Nunzia Ciardi, Vicedirettore Generale dell’Agenzia per la cybersicurezza nazionale (ACN), aprendo i lavori del Summit -. Negli ultimi 5 anni gli attacchi gravi sono aumentati per oltre il 60%: questo significa che la gravità degli attacchi è sempre maggiore, che i danni prodotti sono sempre maggiori. Abbiamo sia rischi di tipo tecnologico, sia antropologico, legati a comportamenti umani non sempre adeguati: il problema è che non siamo abbastanza preparati, questa rivoluzione digitale è velocissima e noi la subiamo. Quando vedremo all’opera la tecnologia quantistica e un’AI matura, capiremo che finora abbiamo solo giocato”.

Provando a dimensionare il percorso del cyber crime, vediamo che questo evolve continuamente con la digitalizzazione in corso: è uno scenario che osserviamo oramai da 25 anni, che porta a un incremento esponenziale degli attacchi informatici ogni anno, dall’ingresso sulla scena di diversi fenomeni criminali.

“Gli attacchi informatici sottendono eventi diversi, con finalità diverse – ha detto Ivano Gabrielli, Direttore del Servizio, Polizia Postale e delle Comunicazioni -: siamo di fronte a una complessità molto elevata, serve una risposta altrettanto complessa, sia in termini preventivi sia repressivi. Che poi è l’obiettivo di qualsiasi azione di polizia”.

Qual è oggi il valore attribuito dai Vertici di enti pubblici e aziende private al tema della Cybersecurity, come coinvolgere in modo ottimale il Board?

“Il Board inizia oggi ad avere sensibilità sul tema cybersecurity, ma questa non è ancora sufficiente, perché il CISO non è nel CDA, non riesce spesso a portare la propria voce ai livelli più alti – ha commentato Riccardo Barrile, Head of Cyber Security, RFI -. Servirebbero momenti formativi anche per il Board, che non è un “addetto ai lavori”, momenti con le istituzioni, simulazioni che diventano occasioni di valutazione di come il CDA potrebbe gestire un’eventuale crisi. È molto importante quindi elevare la cultura del Board e sensibilizzarlo: oggi la cybersecurity non può più essere considerata un costo, un appesantimento del business”.

Secondo Vittorio Baiocco, Responsabile Sicurezza ICT e Team SOC, Inail, la formazione dei dipendenti è una parte della prevenzione, che nella cybersecurity ha un compito molto importante. “Una formazione che non va fatta solo sullo staff IT, ma su tutti, compreso il Board – ha detto Vittorio Baiocco -. Cosa che in altri campi già avviene: servono processi ben definiti, da far evolvere nel tempo, perché cambiano continuamente la tecnologia e le modalità di attacco”.

Il settore Pubblico è oggi chiamato a trasformarsi rapidamente in chiave digitale e a creare valore per i cittadini. La sicurezza deve accompagnare questo cambiamento, ma di quali leve dispone il CISO? Ne ha parlato Nicla Diomede, Direttore Dipartimento Cybersecurity e Sicurezza, Roma Capitale. “Non tutte le PA hanno oggi strutture dedicate alla cybersecurity, anche la posizione organizzativa è fondamentale. Servirebbe una forte maturazione su questi temi. Il ruolo del CISO va costruito, bisogna superare la visione della sicurezza come vincolo, e far capire che, pur venendo da un mondo tecnico, si riesce a comunicare il valore di questi investimenti”.  Il CISO ha una serie di leve nella parte della comunicazione, far percepire al Board che non è solo una funzione tecnica, quindi deve allinearsi con il business, mettersi accanto, comunicare delle raccomandazioni, far leva su una serie di alleati nel business, essere propositivi, riuscire a mediare, individuare le chiavi giuste per farsi apprezzare.

Un percorso di formazione corretto è fondamentale, ha commentato David Gubiani, Regional Director SE Southern Europe, Check Point Software Technologies. Permette di preparare le persone all’inizio della loro carriera in azienda: nel momento dell’onboarding, anche con mail simulate di phishing, ripetute nel tempo, per preparare le persone a un corretto rapporto con l’informatica. Compito dei vendor è quello di diffondere il più possibile questi temi, anche nelle scuole e nelle università, dove gli studenti di oggi sono i dipendenti di domani.

Quale linguaggio e quali modelli e metriche utilizzare nel comunicare con il Board?

Ne ha parlato Marcello Fausti, Responsabile Cybersecurity, Italiaonline. “Un’azienda resiliente si fa seguendo 3 passaggi: innanzi tutto conoscere bene sé stessi, anche nel minimo dettaglio – ha detto Marcello Fausti -. Quindi, conoscere le minacce, e questo è un problema enorme, tutt’ora aperto. Infine, mettere insieme le due cose per conoscere i propri rischi: quindi, costruire scenari, pochi, molto selezionati, molto attinenti. Questi scenari devono essere il principale strumento di comunicazione nei confronti del Board. Noi viviamo in un mondo enormente complesso, bisogna rendere il tutto più semplice per poter comunicare questi temi al Board. Sottoponendo al Board questi rischi li obblighiamo a prendere posizione: nessuno si rifiuta più di intervenire, perché potrebbe essere perseguibile in sede civile”.