La sicurezza è un valore che va perseguito con un qualificato gioco di squadra. Intervista VIP a Luca Giusti
“Associso è una realtà che nel ventaglio delle diverse attività istituzionali, riserva un posto di primo piano al dialogo e al confronto professionale e conoscitivo con tutti gli stakeholders di una filiera articolata e complessa come quella della sicurezza cibernetica. Farne parte in questa fase di profondo mutamento è di fondamentale importanza per la definizione del ruolo del CISO, che ha la possibilità di maturare un’esperienza associativa qualificata che si riflette all’interno delle singole realtà organizzative, con indubbi benefici per tutti gli attori della catena del valore”. Luca Aldo Giusti, Ciso & Head of Infrastructure@integra document management (IDM), delinea con nettezza l’importanza di associarsi per maturare una consapevolezza e una cultura del rischio adeguata alla complessità tecnologica entro cui si muove il manager della security.
Dott. Giusti, partiamo dall’importanza di associarsi e di agire in squadra, un aspetto che lei sottolinea con molta forza in ogni occasione. In Associso ha trovato quella dimensione collaborativa che cercava?
La mia riposta è assolutamente positiva. La sicurezza è un valore che si può perseguire solo agendo in squadra. Fare parte di una realtà che ha nel dialogo aperto e nello scambio di know-how il suo fondamento significa, di fatto, essere messi nelle condizioni di poter sfruttare una grande opportunità per valutare le proprie strategie, scelte e posizioni, confrontandole con quelle di altri professionisti del settore. Questo crea valore aggiunto, oltre a dare la possibilità di esplorare valutazioni e prospettive che provengono da realtà diverse dalla propria, che arricchiscono il background del singolo, mettendo a fattor comune expertise ed esperienza e creando un risultato che va oltre quanto un singolo operatore, per quanto qualificato, potrebbe produrre.
Conoscere è proteggere
Sicurezza del cyberspazio: un tema che, nella società del rischio, ha assunto una valenza strategica. Quali competenze bisogna mettere in campo?
È una domanda molto complessa, che meriterebbe un trattato approfondito. Cercando di sintetizzare raggrupperei le competenze in tre grandi macroaree: competenza tecnica, competenza strategica e competenza trasversale. La prima, la più ovvia, mette in campo conoscenze specifiche, tecniche e tecnologiche, che permettono ad un soggetto di avere pieno controllo e governance sugli strumenti, sulle infrastrutture e sulle tecnologie che sceglie di utilizzare. Nell’ambito della competenza strategica ricade, in particolare, il ruolo del Ciso, con la capacità di delineare, scegliere e modificare laddove necessario, la strategia che garantisca all’azienda il risultato più adatto, efficace ed efficiente a fronte dell’analisi dei rischi approfondita e dettagliata, che è e resta la base da cui partire. La competenza strategica include anche l’area, sempre più importante, della governance e della compliance, che permetta di definire le metriche utili ad avere il polso dell’andamento del processo di security, ma anche di conoscere, applicare e interpretare le normative e legislazioni che possono impattare il settore in cui si opera o migliorare la security posture dell’azienda.
Veniamo alla terza tipologia prima ricordata. Quando parla di competenza trasversale, termine più sfuggente, a cosa allude?
Alludo alle soft skill: doti come la capacità di comunicazione, molto importante per relazionarsi con gli stakeholder in modo assertivo, senza inutili tecnicismi; la capacità di problem solving, basilare sia per l’analisi che per il management di un incident; e la capacità di adattamento, che permette di muoversi con confidenza in un mondo in divenire e che richiede una capacità di reazione immediata.
I dati, asset prezioso per una sicurezza “by design”
I dati sono divenuti un asset prezioso, il “nuovo petrolio”, come molti studiosi lo definiscono. Quali strategie è necessario adottare per tutelare le informazioni?
I dati, intesi come informazioni strutturate, sono il fulcro del concetto stesso di cybersecurity. È fondamentale considerare il dato in tutto il suo ciclo vitale, ricordando che può cambiare media e forma durante la sua esistenza. Il concetto di sicurezza, declinato negli attributi di riservatezza, integrità e disponibilità, deve quindi seguire il dato in tutti i suoi passaggi. Gli strumenti sono – e devono essere variegati – ad esempio gestire un’informazione che nasce cartacea, diventa poi digitale e viene infine tramesso ad una altra entità. Una falla di sicurezza in uno qualsiasi di questi passaggi compromette l’intero ciclo vitale che mira alla tutela di informazioni preziose, vanificando di fatto il processo. Occorre pertanto scegliere gli strumenti più appropriati per ogni passaggio o cambio di stato del dato, e al contempo formare il personale che ne accompagna la vita: producendo, elaborando, trasmettendo o utilizzando le informazioni.
È fondamentale fornire agli utenti la consapevolezza di cosa significhino gli attributi che rendono un dato sicuro e quale sia il loro ruolo nel ciclo di vita, senza dimenticare i rischi che possono correre o generare mentre il dato è sotto la loro responsabilità (si pensi, ad esempio, a informazioni stampate e dimenticate o a dati discussi verbalmente in presenza di persone non autorizzate). Solo così si può minimizzare il rischio di perdita, furto o compromissione delle informazioni.
Si parla spesso di sicurezza by design e di “postura” per indicare il livello di attenzione e di capacità di prevenire gli attacchi da parte di aziende e istituzioni. Ma, in concreto, cosa significano questi concetti?
La sicurezza dipende da diversi fattori, tra cui il livello di esposizione, la capacità di accettare un rischio e la tipologia di settore in cui si opera. Per una strategia di sicurezza efficace è fondamentale che la direzione abbia ben chiari i rischi a cui è esposta e definisca la soglia di accettazione, il cosiddetto risk appetite. Il ruolo del CISO è guidare la direzione verso scelte consapevoli e coerenti con il contesto, soprattutto alla luce dei recenti sviluppi normativi, come NIS2 e DORA, che impongono standard non negoziabili e da applicare nel modo più appropriato alla singola realtà. In questo scenario, un’analisi continua consente di definire la postura attuale rispetto a quella desiderata, un indicatore chiave (KPI) fondamentale per la strategia di sicurezza. La postura di sicurezza di un’azienda, una volta definita a livello strategico, può essere raggiunta attraverso diversi strumenti tecnici che, per quanto importanti, restano mezzi e variano in funzione del settore, del livello tecnologico e del rischio a cui si è esposti. La rapidissima evoluzione del panorama richiede inoltre la capacità di adattarsi, modificando la scelta e l’implementazione di tali strumenti in modo tempestivo.
Quando si parla di regole, entra sempre in gioco il fattore umano che, secondo le statistiche più accreditate, è coinvolto nell’80% degli incidenti informatici e delle minacce gravi alle organizzazioni produttive. Quale risposta è necessario individuare?
Il fattore umano è il fulcro di ogni strategia di sicurezza: nessuno strumento può essere davvero efficace senza che le persone acquisiscano una solida cultura della sicurezza. Come ricordato nella domanda, la percentuale di attacchi riusciti a causa di errori umani è in costante crescita e il dipendente – bersaglio preferenziale, soprattutto per i sempre più sofisticati metodi di phishing e derivati – rappresenta il punto più vulnerabile. È quindi fondamentale formare le persone, insegnare loro il valore che la sicurezza riveste in tutte le fasi del ciclo di vita delle informazioni e monitorare il livello di consapevolezza raggiunto. Programmi di formazione, iniziative di awareness e simulazioni (ad esempio campagne di phishing) sono, a mio giudizio, imprescindibili per ridurre il rischio e monitorare lo stato di vulnerabilità.
La cybersecurity è ormai entrata a pieno titolo nelle dinamiche geopolitiche. Esiste un fitto intreccio tra tecnologia e potere che sta ridefinendo gli equilibri globali, mettendo a rischio la democrazia. Questo comporta una responsabilità aggiuntiva per i manager della sicurezza, chiamati a guardare oltre il perimetro aziendale, assumendo il peso di implicazioni fino a ieri inimmaginabili?
La cosiddetta guerra “ibrida”, che si svolge sia sul piano fisico – noto da secoli – sia su quello dei cyber attacchi, è una realtà consolidata da molti anni e, per sua natura, difficile da identificare e controllare. Basti pensare al caso Stuxnet del 2010. Ad oggi qualunque potenza sul piano geopolitico è dotata ed è di conseguenza capace di attuare sistemi di attacco ibrido, di cui è difficile capire la provenienza. Le conseguenze di azioni così mirate e sofisticate generano danni diretti e danni, per così dire, di “ritorno”, impersonando un diverso attore per fini politici. Il rischio di trovarsi, dunque, in situazioni di “fuoco incrociato” è sempre più alto. Come operatori del settore, e considerando che le realtà, sia governative che private, operanti in settori critici sono sempre più oggetto di attacchi che in alcuni casi appaiono, sia per la qualità che le risorse, state sponsored, ciò che possiamo fare è cercare il più possibile di limitare la superficie esposta ed essere pronti a identificare e contenere le potenziali minacce.
Cosa di certo non semplice se consideriamo che è scomparso ogni perimetro, e che siamo nell’epoca della interconnessione e della interdipendenza. Cosa pensa al riguardo?
Bisogna alzare sempre di più la soglia di attenzione. Su questo punto è importante considerare che il blocco geografico, pur essendo consigliato, non è più una garanzia di risultato, poiché il numero di proxy – leciti o meno – è in costante crescita. Da notare che spesso i proxy leciti non applicano le stesse restrizioni raccomandate dai bersagli finali. Ridurre il perimetro, identificare asset sacrificabili ai fini della mitigazione dell’impatto e della raccolta di intelligence è sempre più cruciale, perché le risorse dell’attaccante sono in aumento e non devono rispettare i processi di approvazione, implementazione e gestione che vincolano i potenziali bersagli. Chi attacca è più veloce, senza regole e spesso dispone di maggiori risorse rispetto a chi difende. Ne consegue che la strategia della pura resistenza su tutto il perimetro comincia a vacillare: diventa necessario creare aree a basso impatto che possano essere utilizzate per disperdere almeno in parte le risorse dell’attaccante e massimizzare la resistenza. Avere tempo per organizzare la strategia migliore mette l’attaccante nella condizione di perdere il momentum, esaurendo il vantaggio iniziale e risultando decisivo.
Autore: Luca Giusti
