Disporre dei migliori strumenti di cyber security non è sufficiente per proteggere i processi aziendali dalle minacce esterne. Occorre una forte componente di
prodotti secure by design e un'intensa
attività di formazione. Sono stati questi gli argomenti centrali dell'intervento di
Alessandro Manfredini, Chief Security Officer e Vice Presidente di AIPSA, al
SecSolutionForum 2021.
Il presupposto di partenza è ormai noto: stiamo uscendo da
un'emergenza globale che ci ha posto di fronte a una serie di sfide, in cui
una delle protagoniste è la resilienza, ossia la necessità di saper approcciare ai temi della tecnologia e della trasformazione digitale attraverso la sistematicizzazione dei nostri processi.
Manfredini sottolinea che i security manager hanno compreso che
la sicurezza al 100% è materialmente impossibile. Questo tuttavia "
non è un alibi per non fare le cose nel modo giusto. Ci sono best practice e standard di riferimento da applicare sul campo in modo professionale".
Quello che dev'essere chiaro a tutti è che la sicurezza non è più il
paradigma del castello medievale: non basta ùalzare il ponte levatoio per mettere al sicuro tutti coloro che si trovano all'interno delle mura. Mette al sicuro è oggi una
logica che implica capacità di reazione a un evento, che si tratti di un guasto, di un cyber attacco, o altro. Per questo è importante progettare i processi affinché abbiano una capacità reattiva molto forte e veloce. "
Dobbiamo imparare a mantenere la nostra produttività anche nel cosiddetto ambiente degradato".
In questo scenario
le tecnologie diventano uno strumento, ma l'uomo ci deve mettere tanta testa, a cominciare dalla progettazione di soluzioni che nascono da una security by default o security by design. Manfredini è convinto che sia precisa responsabilità dei produttori immettere sul mercato soluzioni con la sicurezza nativamente integrata. È un tassello fondamentale per vincere la sfida dell'iper connettività, con il crescente numero di oggetti IoT e IIoT, altrimenti rischiamo di aprire vulnerabilità in servizi e processi.
La formazione e il ruolo del CISO
Oltre a questo primo tassello, ne occorre un secondo altrettanto importante: la formazione. Nella gestione dei processi l'uomo è l'anello debole della catena. Si possono avere a disposizione tutti gli strumenti di protezione, ma
di fronte al clic compulsivo del collaboratore nulla sui può fare. Per questo occorre tanta formazione al personale, perché è l'unica strada per aumentare la capacità di intercettare le minacce di security.
La resilienza quindi sta anche nel coinvolgere di più le persone. Il concetto fondamentale da apprendere è che la security non è solo un problema del CISO o del CSO, è qualcosa che dev'essere nel DNA di tutti, sia nella vita privata sia in quella professionale. In quest'ottica, il responsabile della security deve stabilire chiare regole comportamentali da dover seguire all'interno dell'azienda e una chiara suddivisione dei compiti, che si apprendono mediante strumenti per aumentare la consapevolezza.
In questo paradigma, il ruolo del professionista della sicurezza è quello di
fare la regia e governare in maniera olistica, ossia con la capacità di gestire i rischi a tutto tondo, da quello fisico a quello logico o cyber. Un punto da tenere sempre presente, infatti, è che "
le minacce di tipo cibernetico hanno conseguenze sul mondo fisico che possono essere devastanti".