Trend Micro: la Compliance non garantisce la sicurezza
Il patrimonio di dati, infrastrutture e device tradizionali, tascabili o IoT, è messo continuamente sotto pressione dall’avvento di nuove tecnologie e dalla creatività degli attaccanti. Ciò che viene divulgato dai media è notoriamente solo una piccola parte, spesso fuori fuoco, del totale degli avvenimenti reali. Trend Micro ha dedicato all’informazione l’edizione 2018 della sua Cyber Conference, nelle edizioni di Milano e Roma.
L’informazione primaria deve partire da fatti d’impatto misurabile, alcuni dei quali sono stati riportati da Martin Roesler, Senior Director Threat Research in Trend Micro. “Una fabbrica del settore automotive ha subito un attacco ransomware ed ha deciso di pagare alla fine del primo giorno, ma i costi sono triplicati in quanto il piano di disaster recovery non prevedeva un pagamento in bitcoin: il reperimento della criptovaluta ha richiesto altri due giorni”, portando il danno a svariati milioni di dollari.
Mediaticamente parlando, però, due sono le spinte forti di questo momento, il Gdpr e il lato oscuro dei social. Certamente l’affaire Cambridge Analytica sta facendo molto rumore, ovviamente in senso negativo e con particolare attenzione ai 24 Paesi nei quali a fine 2018 saranno state tenute elezioni politiche, comprese l’Italia, la Russia e gli Stati Uniti.
Cambi di paradigma
Diversa è l’armonizzazione in profondità proposta dalla General Protection Data Regulation: si tratta di un nodo normativo, poco amato in Italia sia per abitudine, sia per dispersione dei budget in una miriade di piccole aziende. Ecco perché è particolarmente vero che molte “aziende compiranno azioni definitive a riguardo del GDPR solo dopo che sarà stata avanzata la prima azione legale”, come recitano i “Cambi di Paradigma” proposti dalla Trend Micro. Il percorso di adozione si preannuncia quindi ritardato quanto più possibile e tutto volto ad un frettoloso make-up esterno, senza comprensione dei processi. L’offerta sembra preparata ad affrontare la complessità odierna, si tratti della sfida dei dispositivi mobili o delle insidie di figure come il Dop, il data protection officer, che fin dall’inizio dovrebbe essere un ufficio con svariate competenze e quindi non va sottovalutato in nessuna fase, nelle parole di Germano Matteuzzi di Leonardo.
GDPR e Piano Triennale
E alla nuova normativa si aggiunge una svolta italiana. “La digital transformation per la PA è un driver epocale” nelle parole di Andrea Boggio (Fastweb), che sottolinea l’importanza del Piano Triennale per l’informatica nella PA gestito dal Team per la Trasformazione digitale guidato da Diego Piacentini. GDPR e Piano Triennale spingeranno fortemente entrambi i settori, pubblico e privato, spingendo al cambiamento via via anche le realtà più piccole.
Fare esempi ed osservazioni arricchisce un quadro di riferimento, ma non è abbastanza: serve un’attenzione quotidiana. Il GDPR tabella una strada verso l’aderenza alle carte, ma “compliance non vuol dire sicurezza, che è un processo continuo”, ha sottolineato Gastone Nencini, Country manager italiano di Trend Micro, ispirando il cambio di strategia che sarebbe auspicabile nella sicurezza nostrana.