Concordando pienamente con introduzione Dott. Tucci e contributi già espressi, mi sembra di vedere gli stessi passaggi che si stanno affrontando per la digitalizzazione, intesa come sapete nella continua evoluzione di integrazione tra connettività, sistemi, piattaforme, applicativi, device, processi, organizzazione, produzione, logistica, business.

La mia attività presso piccola startup implica un enorme sforzo informativo e di evangelizzazione che debbo necessariamente performare se voglio essere preso in considerazione pur avendo lavorato in grandi corporate (in basso alcuni contributi di cui uno richiesto addirittura da una scuola superiore), ed il più delle volte quando incontro aziende pubbliche o private, risulta tangibile uno scenario di inadeguatezza o approssimazione per infrastrutture, processi, sicurezza, piattaforme. Aziende tra l'altro ulteriormente defocalizzate dalla crisi che considerano la spesa di evoluzione-migrazione tecnologica e sicurezza come un costo e non un investimento.

Mi diceva un partner di Torino che alcune PMI e medium large enterprise neanche riescono più a mantenere i minimi programmi di network assessment, aggiornamento mappatura rete - servizi, business continuity, disaster recovery, reverse engineering, con la speranza che non accada nulla di serio.

Una qualsiasi digitalizzazione x.0 non può più prescindere da una cyber security di nuova generazione considerando tra l'altro una possibile crescita esponenziale dei pop/sensors/devices IoT, ed analogamente alla digitalizzazione, concordo che il problema non è nella tecnologia (in qualsiasi fase storica sempre disponibile rispetto al servizio richiesto e sufficiente se non sovradimensionata) ma nella cultura, nei processi aziendali, nella capacità di investimento.

Fermo restando tutte le certificazioni qualità ISO in alcuni casi ormai molto rilassate, il to-simplify dei consulenti anglosassoni non si è mai riferito ad una diminuzione delle difese immunitarie nei processi di sicurezza, il che tra l'altro non significa avere ad esempio tre cancelli al posto di uno per la connettività WAN di Internet/VPN, Storage, Cloud o ibrido.  

Quante aziende svolgono periodicamente corsi interni dal banale utilizzo della password alla minima igiene per la sicurezza come la pulizia dell'HW o nell'utilizzazione e distinzione confini personal/company - pc/mobile personal/company - home/office, quanti vendors oltre al giusto obiettivo di fatturato HW-SW-Servizi propongono corsi o seminari sulla sicurezza, quanti clienti tengono in considerazione tali proposte.

Già è in atto una migrazione da CIO a CDO - CSO nell'individuazione innanzitutto del Dipt. responsabile per una nuova cultura della digitalizzazione/sicurezza sperando che la focalizzazione sui soli capex IT firewall, programmi, SW specializzati o antivirus comuni, venga nettamente ampliata da capex-opex di competenze trasversali, security certifications, processi, risk-controls-capability assessments, network-web-clientapplications-mobile-wireless-DoS assessments di vulnerabilità, host / firewall policy - configuration review, formazione continua, benchmarking vendors specializzati, evangelizzazione da parte di vendors e/o consulenti.  

Per l'operatività cambiano nel tempo gli acronimi di impostazione actions-to-do e delle swot analysis, ma i piani rimangono alla fine gli stessi se solo venissero implementati : in che situazione siamo, dove vogliamo arrivare, qual'è il budget disponibile (che per la sicurezza dovrebbe ormai essere prioritario), abbiamo risorse/skills interni o dobbiamo affidarci ad un outsourcing MSS Managed Security Services, individuazione delle tecnologie, individuazione di un piano, implementazione roadmap del piano, monitoraggio e verifica.

Spero aver dato mio piccolo contributo, grazie.

Ref

http://www.gordionet.com/doc/GordionetDigitalizzazione.pdf

https://www.slideshare.net/newsgordionet/gordionet-education-seminario-ict-digitalizzazione-e-comunicazione

http://www.gordionet.com/doc/Gordionet3-4PlayM2MIoTviaSatellite.pdf

D'accordo sul cambio di prospettiva proposto nella riflessione, sicuramente vi è la necessità di estendere la visione sulla cybersecurity in maniera molto più strutturata, organica e rigorosa di quanto si sia fatto finora. E sicuramente la priorità è proprio la creazione di una vera e propria cultura della sicurezza nei settori produttivi di rilievo per la Regione.

Sopratutto con l'obiettivo di sviluppare interventi sulla consapevolezza (awareness raising) e la conoscenza dell'impatto del fattore umano nella cybersecurity, o security più in generale. La recente indagine dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano su un campione di 237 aziende evidenzia che le principali vulnerabilità rilevate sono riferite ai fattori umani implicati nella cybersecurity. 

In particolare si tratta di vulnerabilità legate alla consapevolezza dei collaboratori su policy e buone pratiche di comportamento (79%), alla distrazione (56%), all’accesso in mobilità alle informazioni aziendali (45%), alla presenza di dispositivi mobili personali (33%).

Questi dati confermano come l’alternanza, e spesso fusione, tra lavoro e sfera personale porta ad un equilibrio precario tra attività lavorativa e corrispondenza privata di email, chiamate personali ed uso di social networks (es. Facebook, Twitter, etc.), sopratutto con una proliferazione di device personali ad uso lavorativo e device aziendali anche ad uso personale.

In questo scenario è ormai appurato che la maggior parte delle minacce alla sicurezza che occorrono nelle aziende sono dovuti a incaute azioni e pratiche degli utenti: errore umano e mancanza di consapevolezza sono i fattori chiave che si sommano alle carenze tecniche. Sopratutto in situazioni di stress lavorativo, pressione e limitata autonomia, la propensione alla violazione delle norme e delle buone abitudini per la sicurezza aumenta in modo drastico.

Comprendere il rilievo dei fattori umani, comprendere il peso di situazioni di ordinaria e straordinaria gestione delle pratiche di lavoro, e decidere di intervenire con training, supporto alla persona e all'organizzazione, sembrano ancora oggi misure che solo eccezionalmente vengono considerate.

Lettura interessante e condivisibile interamente. Mi sento tuttavia di aggiungere alla sequenza Plan-Do-Check-Act un ulteriore concetto legato alla conoscenza e alla visione d'insieme che ad oggi spesso manca all'interno di un'organizzazione.

Continuare ad aggiungere barriere di protezione non è più produttivo e non garantisce una maggiore sicurezza... Occorre comprendere pienamente lo stato della sicurezza per visualizzare le eventuali falle, porvi rimedio e predisporre un attento monitoraggio.

La conoscenza non si può improvvisare e per questa ragione potrebbe rendersi necessario appoggiarsi a strutture dedicare alla mitigazione e alla difesa degli assetti aziendali. A questo scopo ci sono approcci differenti tra i quali, ad esempio, il nostro (Yoroi) che è basato su analisti umani le cui capacità vengono amplificate e potenziate da una piattaforma dedicata alla difesa. Altri approcci sono ovviamente interessanti e importanti se in grado di garantire una efficace protezione.

La visione d'insieme è molto complicata da ottenere se si basa la tecnica difensiva sulle soluzioni convenzionali. La frammentazione delle soluzioni di sicurezza prodotte da vendor diversi che ogni giorno competono sul mercato, è in contrapposizione a questo concetto. Anche la scelta di un unico vendor di soluzioni da predisporre in difesa dell'organizzazione non è percorribile per ovvi motivi di specializzazione ecc. Ecco che la conoscenza torna al centro e l'analisi assume un'importanza primaria nella raccolta di informazioni proveniente da apparati diversi, di vendor diversi che devono essere coniugati al fine di comprendere le varie minacce e mitigarle.

Mi auguro questo modesto contributo possa essere di interesse.

Cordialmente,

Marco Testi