Manager Room | Parliamo di sicurezza con Alessandro Manfredini
Non vuoi leggerlo? Ascoltalo!
Direttore Group Security & Cyber Defence del Gruppo A2A e Presidente dell’Associazione Italiana Professionisti Security Aziendale – AIPSA ETS, la prima in Italia a rappresentare nella sua globalità i professionisti della sicurezza aziendale.
—
La Cyber Threat Intelligence è fondamentale nella prevenzione degli attacchi informatici, sia nel settore pubblico che privato. Come presidente di AIPSA descriva l’attuale scenario delle imprese italiane, industria e servizi, che sono le più preparate ad affrontare attori di minacce sempre più sofisticati.
Attualmente nel panorama delle aziende italiane riscontriamo un approccio sostanzialmente convergente su due cluster ben differenti: da una parte le grandi aziende, che normalmente erogano anche servizi essenziali di pubblica utilità e rappresentano le infrastrutture critiche del Paese e dall’altra parte le piccole e medie imprese che – ad eccezione di qualche azienda particolarmente innovativa – non hanno ancora raggiunto livelli di maturità delle prime rispetto alle tematiche di CTI.
Un ruolo di primo piano è la formazione degli operatori del CTI, così come attuare linee guida, best practice e standard quali ISO/IEC 27001:2013. Ritiene che tutto questo garantisca una strategia di sicurezza inattaccabile?
La gestione della CTI è sicuramente un processo e come tale deve essere strutturato. Le norme tecniche, gli standard aiutano sicuramente a regolarizzare le attività, nel caso dell’intelligence ad esempio la norma UNI ISO 56006:2022 “Gestione dell’innovazione – Strumenti e metodi per la gestione dell’intelligence strategica – Guida” rappresenta sicuramente una best practies del settore. La formazione degli analisti, come in tutti i settori, è fondamentale, unita anche ad attività addestrative.
Più in generale ritengo che la strategia di sicurezza possa essere sicuramente solida – se affrontata in modo professionale e manageriale – ma definire la “sicurezza” inattaccabile è un’utopia. La sicurezza al 100% non è sostenibile e dunque dobbiamo organizzare le nostre Aziende in modo che siano pronte a fronteggiare gli eventi destabilizzanti in modo da mitigare gli effetti negativi sull’operatività del business.
In questi ultimi anni si è parlato molto di “cultura della sicurezza” all’interno dell’azienda e del ruolo che il middle management può svolgere per rendere immediata la conoscenza delle procedure di security. Questo “anello di congiunzione” dovrà, a sua volta, essere formato. I middle manager italiani sono all’altezza?
Il middle management rappresenta, più in generale, una sfida importante per le aziende perché normalmente abbiamo a che fare con persone che non si sono ancora del tutto “spogliate” delle loro competenze tecniche e specialistiche, senza aver ancora piena padronanza degli strumenti manageriali necessari a governare la complessità dei processi di cui sono responsabili. In ambito sicurezza il fenomeno potrebbe essere amplificato soprattutto in quelle organizzazione dove anche il top management non abbia la giusta consapevolezza rispetto ai rischi (di cyber sicurezza ad esempio) cui è esposta la sua Azienda. Occorre dunque prevedere occasioni di awareness per il senior management e percorsi di formazione per tutti i livelli manageriali e operativi. IN termini di sicurezza informatica e di transizione digitale, abbiamo un gap culturale enorme da dover colmare: nelle nostre aziende convivono 3 generazioni differenti (in taluni casi comincia ad affacciarsi anche la Generazione Z) con culture differenti e approcci all’utilizzo degli strumenti digitali sicuramente non omogenei. Occorre “normalizzare” una base di conoscenza comune a tutti in modo da stimolare sempre comportamenti consapevoli e responsabili: è questa formazione oggi è in parte sostenuta proprio dalle nostre Aziende che devono investire molto in corsi ed esercitazioni pratiche.
Lei fa anche parte del Group Security & Cyber Defence di A2a, un’azienda per cui la sicurezza – non solo dei dati – è un fatto irrinunciabile. Consideriamo l’utilizzo delle AI e della robotica per agevolare i processi produttivi. Nel settore energetico che lei rappresenta quali sono le tecnologie innovative oggi adottate e quali i rischi da scongiurare nell’adozione di sistemi sempre più sofisticati?
Nelle aziende del comparto energetico e più in generale nelle multiutility, la sfida alla cyber security passa dai sistemi Operational Technologies (OT), ovvero questi sistemi di automazione industriale come gli SCADA e gli ICS, che per loro caratteristica intrinseca hanno particolari peculiarità che li rendono particolarmente vulnerabili agli attacchi cyber. Dunque, oltre al tradizionale perimetro dei sistemi Information Communication Technologies (ICT) orientati verso una migrazione al cloud, la cyber security si deve concentrare anche sistemi molto più legati alla produzione e distribuzione, ad esempio, dell’energia elettrica. Un sistema di sicurezza olistico che governi i processi in modo integrato e convergente IT/OT oggigiorno è fondamentale. La security integrata passa dalla corretta segregazione delle reti, al corretto accesso alle risorse disponibili, alla protezione degli asset da attacchi ad esempio di tipo ransomware. Le best practices di riferimento e gli standard in questo campo sono la ISA 99 e la IEC 62443.
Il prossimo 24 aprile segnerà la data storica per l’approvazione definitiva dell’AI Act che gli ambasciatori dei 27 paesi dell’Unione Europea hanno già votato lo scorso febbraio. Secondo lei, questa legge – prima al mondo – sarà sufficiente a garantire la sicurezza di imprese e semplici utenti?
Nei giorni scorsi il Parlamento EU ha votato il testo finale dell’AI Act: questo regolamento allinea la definizione di sistema di IA distinguendolo da altri sistemi software più semplici. Vengono fissate le prime macro regole: vietati i sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili; la raccolta non mirata di immagini del volto da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale; il riconoscimento delle emozioni sul posto di lavoro e nelle scuole; la classificazione sociale basata sul comportamento sociale o sulle caratteristiche personali; i sistemi di IA che manipolano il comportamento umano per eludere il loro libero arbitrio e che vengono utilizzati per sfruttare le vulnerabilità delle persone. E vengono altresì stabile le relative sanzioni.
L’intento è quello di regolamentare “il meno possibile, ma quanto necessario!” riferisce il commissario al Mercato interno e Digitale Thierry Breton per scongiurare il rischio di eventuali abusi, ma tant’è che i criminali hanno già iniziato ad utilizzare strumenti di intelligenza artificiale per mettere a segno frodi e attacchi informatici: pertanto in materia di contrasto ai crimi informatici ci aspetta una bella sfida. Per contro anche i sistemi di detection ed analisi che sfruttano soluzioni AI potranno aiutare gli uomini e le donne della cyber security a contenere il fenomeno.
I prossimi obiettivi di AIPSA?
In questo momento storico caratterizzato da una forte spinta normativa e da un crescente numero di attacchi a cui sono sottoposte le nostre Aziende, la nostra PA i nostri cittadini, in sintesi l’economia del nostro Paese, è indispensabile lavorare in modo sinergico tra privati e tra pubblico e privato.
Tra i nostri obiettivi c’è, quello di far sentire la voce dei professionisti della security che rappresentano le Aziende del Paese, in modo che venga stimolato un confronto tecnico strutturato con gli attori istituzionali e le imprese. Il tema più urgente è la migrazione dalla Direttiva NIS 1 alla Direttiva NIS 2, che porta i soggetti interessati da un migliaio a decine di migliaia e coinvolgere settori in cui i livelli di maturità sono molto diversi. È poco realistico immaginare che nei tempi indicati si avranno tutte le misure tecniche e organizzative richieste.
Giuliana Gagliardi
DiPLANET.Tech
