La cyber security e l’enterprise risk management: intervista a Gerardo Costabile
La sicurezza informatica è ormai diventata un importante fattore di rischio che ogni azienda deve considerare all’interno del proprio piano di risk management, e non a caso proprio alla cyber security è dedicata una importante sessione del Global Risk Forum, in programma a Milano per il prossimo mercoledì 29 marzo.
A parlare di “Rischi informatici, cyber crime, cybersecurity risk management– programmi e attività di RM a supporto della sicurezza di dati e informazioni sensibili” sarà Gerardo Costabile, Senior Cyber Risk Advisor e Professore di Sicurezza Aziendale all’Università San Raffaele di Roma, che abbiamo avuto la possibilità di intervistare.
Computerworld: Con la sempre maggiore dipendenza delle aziende dal digitale, la sicurezza informatica è passata da preoccupazione specifica della funzione IT a fattore di rischio strategico, che può compromettere pesantemente gli utili e la continuità stessa dell’azienda. A suo avviso, questa percezione è condivisa dai vertici aziendali?
Gerardo Costabile: Negli ultimi tempi gli argomenti cyber risk e cyber security sono spesso presenti sui media e pervadono ormai le comunicazioni ed i meeting a tutti i livelli: strategici, tattici, operativi.
Di contro, l’approccio spesso allarmistico e pregno di statistiche e numerosità di casi – anche sovranazionali – può portare alla sfiducia sulla “tenuta” dei sistemi ICT rispetto alle minacce emergenti oltre che ad una non corretta valutazione sulle soluzioni per la mitigazione dei relativi rischi.
CWI: Come dovrebbe essere inquadrata la cyber security nel piano di risk management?
GC: Un giusto approccio alla cyber security è di tipo “duale”: da un lato le aziende devono fare una strategia cyber risk oriented, ovvero fornire in modalità top/down le linee guida, misurare e mitigare i rischi in ambito Enterprise Risk Management e definire i relativi investimenti; dall’altro, con una modalità bottom/up, trovare le migliori metodologie, competenze interne ed esterne, far evolvere i processi e le tecnologie.
Tutto ciò introducendo nuovi framework più “tecnici” e ampliando la partecipazione ai network di settore per lo scambio di competenze ed informazioni. L’obiettivo finale è quello di evitare una difformità tra la percezione del top management, talvolta rassicurato da acquisti tecnologici o da audit e certificazioni di processo e l’efficacia della sicurezza sul campo.
CWI: Tra le tendenze trainanti della trasformazione digitale c’è la centralità del cliente, il cui rovescio della medaglia è la gestione di una grande mole di dati personali per tracciare le sue attività. Quali sono i rischi di una gestione non corretta di questi dati, specialmente in un contesto normativo in costante evoluzione, per esempio nel caso del GDPR?
GC: Alcune normative possono aiutare anziché rallentare il processo di sicurezza dei clienti e degli asset aziendali. Pensiamo anche alla direttiva NIS oltre che al citato GDPR. Tali approcci, se applicati correttamente e non come mera compliance, possono spingere ad una nuova visione “security by design” e “security by default”.
CWI: Ciminalità organizzata e strutturata con risorse ingenti, hacking da strutture governative straniere, cyberattivismo… Come questi nuovi attori stanno modificando i piani di cyber security e risk management delle aziende? Quali strumenti o pratiche nuove è necessario mettere in campo?
GC: Al fine di contrastare al meglio le nuove minacce, oltre quanto già detto, bisognerà anche pensare ad una rivisitazione organizzativa interna. Con l’industria 4.0 e Internet of things (o everything come si dice ultimamente), anche le aziende apparentemente meno digital dovranno rivalutare le loro competenze interne, facendo evolvere le funzioni di Security tradizionali troppo spesso poco tecnologiche (una sorta di digital trasformation della corporate security).
Secondo i migliori studi internazionali, infine, i “Security Operation Center” delle aziende dovranno nel 2017 ragionare in ottica di evoluzione “intelligence driven”: questo vuol dire che non si può solo attendere un allarme per rispondere efficacemente ad un eventuale incidente, ma si dovrà essere più proattivi ed integrare i processi di cyber threat intelligence nelle attività a tutela degli asset aziendali.