ITALIA 4.0

33 ITALIA 4.0 2022 che ad aziende e privati, considera la que- stione della sicurezza informatica partico- larmente delicata. “Come software house”, ci conferma, “per noi generare un prodotto sicuro è un aspetto direi vitale e fondamen- tale per rimanere sul mercato, ma soprat- tutto per rendere un servizio efficace ed efficiente. Sviluppare prodotti “ragionevol- mente” sicuri, considerato che la sicurezza assoluta non esiste, porta sicuramente dei risparmi nella linea di prodotto, semplifi- cando l’eventuale fase correttiva finale di patching, precedente al lancio del prodotto e alla sua gestione operativa”. Per Castel- lano è importante avere dei framework di riferimento, delle linee guida che permet- tano di affrontare sia la relazione con le dimensioni apicali all’interno di un’azienda -‘con il board’ - sia nel concreto con chi pro- duce un determinato prodotto. “Per quanto ci riguarda - specifica -, abbiamo introdotto delle funzioni chiamate Security Champions all’interno di tutte le linee di prodotto in ogni momento della fase di sviluppo. Lo ab- biamo fatto con gli strumenti di controllo, ma soprattutto diffondendo una cultura”. La cultura, perché la difficoltà che oggi s’in- contra è che di “sviluppatori se ne trovano a iosa sul mercato, ma sviluppatori che abbia- no fatto propria anche una sensibilità sulla sicurezza è sicuramente più complicato”. Far crescere consapevolezza A proposito di cultura e sensibilità in te- ma di cyber sicurezza, il direttore generale di Netgroup, Gaetano Di Dio osserva: “La tecnologia per noi è il punto di partenza, quello che è veramente fondamentale è far crescere la consapevolezza e il senso di re- sponsabilità nelle persone perché sappiano così riconoscere il rischio e combatterlo”. La sua azienda in questo contesto ha messo a punto il framework Humans for Cybersecu- rity, basato proprio sulla centralità dell’uo- mo, lo sviluppo della cultura sulla cyber sicu- rezza e l’acquisizione della consapevolezza del rischio. Inoltre, dice: “Abbiamo creato anche un nostro ‘Osservatorio Netgroup sul- la cyber security’, il cui scopo è monitorare, analizzare e soprattutto divulgare le princi- pali tendenze del cyber crime. È fondamen- tale puntare su aziende, tecnologie e pro- fessionalità Made in Italy per accrescere la cyber security awareness del sistema Paese”. Dato che non è possibile fare sicurezza sen- za gestire il rischio e non si può gestire il ri- schio senza tenere conto delle terze parti, è possibile basare questa gestione su open data, dati condivisi ed eventualmente una quantificazione finanziaria? “Ormai è un assioma: non si può fare sicurezza senza mi- surare il rischio. Partendo dal presupposto che non esiste il 100% di sicurezza, occorre dotarsi degli strumenti che permettano di capire qual è la propria postura di sicurez- za, qual è il rischio, ma soprattutto, una volta determinato il livello di rischio in ba- se a dati oggettivi, che siano inconfutabili, occorre capire quanto rischio si è disposti ad accettare, dove ci si vuole fermare, quali so- no gli investimenti che si vogliono mettere in campo. Per fare tutto questo è necessario partire da dati oggettivi, verificabili e atten- dibili - spiega Renato Bloise, COO di Cyber- sel -. A questo punto è chiaro che occorre fare un altro passo avanti e questo è rap- presentato dalla quantificazione finanziaria del rischio. Non basta dire se la situazione è buona o cattiva, ma bisogna capire quanto vale in termini economici il rischio che sto correndo”. Ecco come l’offerta di cyber si- curezza si sta evolvendo verso questo tema, vale a dire verso strumenti che possono an- che fornire, oltre a una valutazione, a una misurazione oggettiva - un ‘mantra’ secon- do Renato Bloise - dei rischi, anche la loro quantificazione finanziaria. Il cyber risk, secondo Maddalena Pellegrini, South Europe Director di Netwitness, oggi “deve sedere al tavolo dei grandi”, dev’esse- re all’attenzione dei board e degli stake hol- der, non può essere uno dei tanti punti di una checklist da verificare una volta all’an- no. “Non tutte le aziende sono virtuose - en- tra più nello specifico -, ci sono realtà in cui il risk e la security non si parlano, sono due elementi che procedono in maniera paralle- la e forse a volte inciampano l’uno nell’al- tro. Si tratta di un aspetto che le tecnologie non possono risolvere, è un problema cultu- rale. Lo verifico quando m’incontro con al- cuni clienti: all’interno della stessa security ci sono delle segregazioni, dei silos per com- petenza tecnologica, per competenza di da- ta center di servizio. Quindi si, la superficie d’attacco si amplia non solo perché abbiamo servizi cloud, di remote working, ma anche perché all’interno dell’organizzazione non si comunica e non si collabora per un obiet- tivo finale, che è quello di offrire i servizi al meglio mitigando al massimo i rischi”.