I blog riportano opinioni degli autori e non necessariamente notizie, in ossequio al pluralismo che caratterizza la nostra Testata.
A- A+
Compliance café
Un caffè con…Bernardino Grignaffini Gregorio

Oggi abbiamo il piacere di prendere il nostro caffè, discutendo di compliance insieme a Bernardino Grignaffini Gregorio, amministratore delegato di Certego, società specializzata nei servizi di cyber security, al quale chiediamo:

Data breach, ransomware, furti di identità, condotte scorrette dal punto di vista concorrenziale. L’elenco delle minacce gravanti sul patrimonio di informazioni delle imprese sarebbe ancora molto lungo e a quanto pare, in costante aggiornamento. Qual è l’approccio giusto per ridurre al minimo i rischi connessi a tali minacce?

«Buongiorno e un saluto ai lettori di Compliance café. Credo che il termine che ha usato sia assolutamente appropriato. Non esiste una soluzione definitiva in grado di ridurre al minino il rischio Cyber ma è certamente possibile parlare di approccio corretto al problema. Con il termine approccio mi riferisco alla necessità di affrontare il problema della sicurezza informatica in modo strutturato, prendendo in considerazione non solo gli aspetti tecnologici (che sono certamente importanti, ma che da soli non possono mai risolvere il problema) ma anche i processi ed i controlli che sono alla base di ogni sistema di protezione. Un approccio “giusto” al problema della sicurezza deve necessariamente partire dalla valutazione degli impatti associati ad un attacco. Anche se si tratta di pensieri tutt’altro che “piacevoli” e anche se reputo questi eventi come improbabili, devo chiedermi quanto la mia attività ed i miei processi di business possano essere impattati dalla perdita di riservatezza, disponibilità o integrità delle informazioni. Cosa potrebbe accadere se qualcuno minacciasse di pubblicare integralmente la mia corrispondenza personale degli ultimi 4-5 anni? Quali conseguenze potrebbero esserci se i dati del mio server venissero cifrati in modo irrecuperabile insieme ai miei backup? Dobbiamo innanzitutto prendere coscienza di quanto le nostre attività siano sempre più dipendenti dai dati e dalle infrastrutture digitali. Una volta compreso il livello di rischio a cui siamo esposti, più semplice a dirsi che a farsi…la capacità di stimare correttamente il rischio non è tra le migliori caratteristiche della razza umana, è necessario entrare nell’ordine di idee che questo tipo di circostanze avverse può realmente verificarsi e dobbiamo pertanto avere sempre un piano B che ci permetta di  contenere i danni e ripristinare il prima possibile l’operatività. Spesso è utile ragionare in termini di Prevenzione, Rilevamento e Risposta nel senso che ogni possibile evento avverso deve essere: (1) reso meno probabile attraverso controlli di tipo preventivo, (2) deve essere rilevato rapidamente per evitare che possa causare ulteriori danni e (3) deve essere mitigato e neutralizzato attraverso una risposta altrettanto rapida ed efficace. Purtroppo la maggior parte degli incidenti di cui sentiamo così spesso parlare è causata proprio da una risposta incompleta al problema in quanto limitata alla sola fase di prevenzione senza considerare minimamente la possibilità che i sistemi di protezione possano essere superati dal nostro avversario».

L’emergenza sanitaria ha inciso profondamente in alcune realtà aziendali, obbligando ad un forzato e massiccio smart working e ad una gestione in alcuni casi comprensibilmente disordinata dei dati aziendali. Potrebbe darci qualche esempio di rischi che, magari nella fretta, le imprese potrebbero non aver preso adeguatamente in considerazione?

«L’adozione massiccia del telelavoro causata dal Covid-19 rappresenta sicuramente una sfida complessa dal punto di vista della cybersecurity perchè rende ancora più permeabile il perimetro aziendale che già negli ultimi anni era diventato sempre più indefinito. Il telelavoro e la ricerca di informazioni sulla pandemia stanno rimodulando i rischi per le organizzazione favorendo gli attacchi che sfruttano l’ingegneria sociale e l’utilizzo di terminali non adeguatamente protetti. Il mio suggerimento in tal senso è quello di agire su due fronti: quello della Security Awareness, ovvero della capacità dei dipendenti di diventare parte attiva nel contrasto agli attacchi informatici attraverso una appropriata formazione, e quello della verifica dell’integrità dei terminali che si collegano tramite VPN. Dal un lato stiamo infatti assistendo allo sfruttamento, da parte della criminalità informatica, dell’interesse generale del pubblico verso la pandemia che sta rendendo più efficaci gli attacchi di phishing. Dall’altro la necessità di consentire il collegamento da remoto al maggior numero di risorse impone alle aziende di consentire l’accesso anche a terminali esterni che non appartengono all'organizzazione».  

Le imprese orientano la produttività sempre più decisamente verso soluzioni cloud. Quali sono le implicazioni in termini di sicurezza? Cloud è sinonimo di sicurezza?

«L’utilizzo delle soluzioni Cloud è un processo ormai consolidato e in grado di accelerare in modo significativo l’adozione delle tecnologie digitali. Dal punto di vista della sicurezza tuttavia non credo che sia corretto parlare di Cloud sicuro o di Cloud insicuro. Evidentemente la scelta di un Cloud Provider rispetto ad un altro deve comprendere anche considerazioni in termini di sicurezza informatica ma queste valutazioni sono valide anche nella scelta del software. L’adozione consapevole del Cloud, sia esso di tipo IaaS (Infrastructure as a Service) o SaaS (Software as a Service), deve comunque prevedere una adeguata analisi del rischio. Tale analisi deve comprendere, oltre ad una chiara e corretta attribuzione di responsabilità tra cliente e fornitore, la valutazione di come implementare controlli efficaci degli accessi al servizio (i.e. il servizio prevede l’adozione di meccanismi di autenticazione a due fattori, è possibile acquisire in modo semplice e rapido i tracciati di accesso, etc) e alle console di amministrazione. Spesso infatti, questi servizi consentono di personalizzare i livelli di sicurezza in base alle esigenze del cliente».   

Grazie a Bernardino Grignafini Gregorio primo ospite di "un caffè con…" ed arrivederci al prossimo appuntamento.

Loading...
Commenti
    Tags:
    cyber securityintervista
    Loading...
    i più visti
    

    Zurich Connect

    Zurich Connect ti permette di risparmiare sull'assicurazione auto senza compromessi sulla qualità del servizio. Scopri la polizza auto e fai un preventivo

    casa, immobiliare
    motori
    Inizia la prevendita di Enyaq IV, il primo suv elettrico di Skoda

    Inizia la prevendita di Enyaq IV, il primo suv elettrico di Skoda


    RICHIEDI ONLINE IL TUO MUTUO
    Finalità del mutuo
    Importo del mutuo
    Euro
    Durata del mutuo
    anni
    in collaborazione con
    logo MutuiOnline.it
    Testata giornalistica registrata - Direttore responsabile Angelo Maria Perrino - Reg. Trib. di Milano n° 210 dell'11 aprile 1996 - P.I. 11321290154

    © 1996 - 2021 Uomini & Affari S.r.l. Tutti i diritti sono riservati

    Per la tua pubblicità sul sito: Clicca qui

    Contatti

    Cookie Policy Privacy Policy

    Affaritaliani, prima di pubblicare foto, video o testi da internet, compie tutte le opportune verifiche al fine di accertarne il libero regime di circolazione e non violare i diritti di autore o altri diritti esclusivi di terzi. Per segnalare alla redazione eventuali errori nell'uso del materiale riservato, scriveteci a segnalafoto@affaritaliani.it: provvederemo prontamente alla rimozione del materiale lesivo di diritti di terzi.