NEWSLETTER - IL CAFFE' DIGITALE
La sfida della Trasformazione Digitale per il nuovo CISO

N.  Marzo 2018
        

a cura di Elena Vaciago 
Associate Research Manager, The Innovation Group

 

Intervista a Francesco Di Maio, Head Security Department, ENAV.

Quali sono oggi le principali sfide con cui deve confrontarsi il Responsabile della sicurezza informatica, e come sta evolvendo il suo ruolo, con l’obiettivo di favorire la strategia di digitalizzazione scelta dalla sua azienda? Ne abbiamo parlato con chi vive quotidianamente queste problematiche e che può quindi indicare la direzione giusta da intraprendere, ossia, direttamente con Francesco Di Maio, Head Security Department, ENAV e parte dell’Advisory Board del Programma 2018 sulla Cybersecurity di The Innovation Group.

 

Quali sono oggi le problematiche più avvertite dai Chief Information Security Officer?

Il principale tema con cui deve confrontarsi oggi un Responsabile della sicurezza informatica è l’aspetto culturale, la necessità di diffondere maggiore consapevolezza su questi rischi. Sappiamo infatti che la principale debolezza di un’architettura di sicurezza rimane l’elemento umano: è quindi necessario far crescere l’awareness e avere una maggiore cultura. I modi per farlo sono diversi, e alcuni risultano essere più efficaci della formazione tradizionale, introducendo ad esempio aspetti legati alla gamification.

Secondo problema: riuscire a collegare l’intera supply chain sui temi della cybersecurity. Tutti i fornitori di beni e servizi esterni devono possibilmente adeguarsi al modello interno di gestione: bisogna avere un modello di sicurezza basato sul trust, sulla fiducia da parte di tutti delle capacità altrui. Essendo l’ENAV un’infrastruttura critica, ci aspettiamo da tutti i nostri fornitori un’elevata professionalità nell’erogazione dei rispettivi servizi. Anche i produttori di software dovrebbe ro dotarsi di metodologie di sviluppo sicuro, processi di verifica interni, modelli di patching basati su standard internazionali oggettivi e misurabili.

Terza sfida: semplificare. Le organizzazioni sono sempre più complesse. Lo sforzo di tutti i CISO deve quindi essere quello di ridurre i silos, eliminare le complicazioni. Bisogna disporre di una mappatura dei sistemi più critici e di un processo di security governance nella sua interezza, comprensivo di aspetti di Security by design e anche di un approccio sicuro lungo tutto il ciclo di vita dei prodotti/servizi erogati.

 

In pratica come assicurare la sicurezza della Supply Chain?

Si tratta di impostare un “Security through evidence” ed  essere così in grado di dimostrare secondo vari modelli che il codice rilasciato è sicuro, che sono rispettate le linee guida base (come la verifica di processi di routine, il superamento di stress test, la gestione dell’autorizzazione dell’utente). Noi prevediamo nei processi di procurement la fornitura di linee guida base: il cliente deve fornire nei contratti specifiche tecniche e requisiti base. Anche ai nostri provider chiediamo appropriati livelli di sicurezza: sia per quanto riguarda i processi e l’organizzazione, sia garanzie di continuità operativa, misurate sulla base di specifici SLA.

 

In molte aziende il Responsabile della Sicurezza lamenta la difficoltà di coinvolgere il Board/Top Management e renderlo partecipe delle criticità della cybersecurity: è anche il vostro caso?

Non direi: per noi la sicurezza informatica è un elemento critico del business. La nostra azienda è totalmente tecnologica: disponibilità, integrità e riservatezza dei dati sono aspetti assolutamente critici e prioritari, e l’alta direzione dà risposte consistenti. Non avvertiamo questo problema.

 

Parliamo di ottimizzazione della Governance della Cybersecurity: quale struttura di governance deve essere scelta da ogni azienda?

Una struttura ideale non esiste, dipende dalla singola organizzazione e dai suoi scopi. Ognuno deve effettuare una valutazione interna e quindi disegnare la governance partendo dal concetto che tutto deve essere risk based. Da questa analisi iniziale derivano output specifici per ogni singola organizzazione.

Nel mondo dell’aviazione civile abbiamo anche norme specifiche in tal senso, l’EASA (l’agenzia europea per la sicurezza aerea, European Aviation Safety Agency) ha avviato un programma con regolamenti di grande impatto. Inoltre ci sono linee guida comuni per salvaguardare la fear competition tra tutti gli attori, in modo che tutti i provider di servizi di navigazione aerea abbiano misure comparabili.

Oltre alle varie iniziative dell’EASA per rispondere ai rischi di cybersecurity, va ricordato poi l’avvio dell’European Strategic Coordination Platform for cybersecurity, un’iniziativa voluta invece da una serie di attori pubblici, privati e vari rappresentanti dell’aviazione (linee aeree, aeroporti, aviazione commerciale). Si tratta di un modello condiviso e coordinato di risposta, con l’obiettivo di elevare il livello di intelligence e information sharing nell’aviazione. Queste iniziative fanno anche sì che vengano adottate da tutte le parti delle prassi comuni, come la nomina di un CISO, l’analisi del rischio secondo modelli standard, una cybersecurity governance comprensiva degli aspetti di monitoraggio e reporting del rischio.

 

Le aziende si confrontano oggi con l’arrivo di numerose innovazioni Disruptive, dal Cloud, all’Internet of Things, all’intelligenza artificiale. Quale impatto avranno queste innovazioni sulla Cybersecurity aziendale?

Viviamo un momento notevole di trasformazione: la nostra vita sta diventando via via sempre più digitale, con qualche problema di privacy in più. Le nuove tecnologie offrono livelli più elevati di condivisione e una disponibilità immediata dei dati, ma spesso sono fornite con scarsa capacità di sicurezza, come si è visto nel 2017 con l’attacco Denial of service tramite la botnet Mirai che sfruttava appunto le vulnerabilità dell’IoT. Si rende quindi necessario indirizzare principi più generali e comuni di sicurezza: ciascuno deve cioè partecipare aggiungendo un proprio layer di sicurezza.

 

Quali saranno quindi i problemi di cybersecurity che le aziende dovranno affrontare il prossimo anno? In quale direzione bisognerà puntare nel 2018 per ridurre i rischi?

Bisogna passare da una gestione generica delle minacce a una fortemente incentrata sulle proprie vulnerabilità. Essere in grado di capire al momento se una minaccia in corso può avere conseguenze dirette sulla propria organizzazione. Si tratta principalmente di applicare il principio “Conosci te stesso”, che nel nuovo mondo delle minacce cyber riguarda tutti, le grandi organizzazioni ma anche i singoli individui, perché oggi i rischi sono collegati ai vari utilizzi non consapevoli degli strumenti digitali. Il fattore della responsabilità deve coinvolgere innanzi tutto un’analisi delle vulnerabilità.

 

Quale sarà quindi in futuro, sempre di più, il ruolo del CISO?

La security sarà sempre di più uno dei principali driver del business. Per chi vive di digitalizzazione, valori come l’integrità, la disponibilità e la riservatezza dei dati stanno diventando importantissimi, non solo per la difesa dell’azienda, della sua continuità operativa e della sua reputazione, ma, nel caso di aziende produttrici, anche per quanto riguarda la qualità dei propri prodotti, che devono avere sempre di più caratteristiche intrinseche di sicurezza digitale. Il CISO quindi non sarà più in futuro soltanto chi protegge gli asset critici dell’azienda, come le informazioni critiche contenute nei sistemi, ma dovrà dotarsi di skill e capacità per rendersi proattivo nei confronti della security del prodotto o servizio erogato. Per ENAV lo sbarco in Borsa nel 2016 ha significato impegnarsi ancora di più, adottando un approccio olistico per cui i rischi cyber sono compresi in una visione completa su tutti i rischi, e puntando a valori etici con il fine ultimo della salvaguardia delle dinamiche produttive ma anche dell’impegno nei confronti degli investitori.

 

ULTIMO NUMERO
ARCHIVIO
LE RUBRICHE
COME NASCE IL CAFFÈ DIGITALE
REGISTRATI
Iscriviti alla Newsletter mensile!
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!