L’importanza delle attività di penetration test nella gestione delle minacce, le criticità nei processi di security, le competenze da mettere in campo. E’ su questi temi che abbiamo intervistato Alessandro Manfredini, Chief Security Officer di A2A Group, protagonista della tavola rotonda alla presentazione dei risultati del “Barometro Cybersecurity”. Il manager individua alcuni degli spunti più interessanti emersi durante il workshop e delinea le migliori strategie e gli strumenti da adottare in tema di sicurezza.
L’analisi di quest’anno ha indicato chiaramente come sia ancora diffusa una carenza sul fronte delle attività di Penetration Test.
Quale importanza bisogna attribuire ad una costante attività di messa alla prova (Test & Enhance) di applicazioni, sistemi, persone e questo cosa implica?
“Premesso che la security nella moderna concezione è un processo che va gestito secondo l’approccio olistico, tra le attività volte a gestire le minacce ed i rischi di tipo cyber le attività di Penetration Test rappresentano sicuramente una parte tecnologica rilevante. Dobbiamo confrontarci quotidianamente con la nostra capacità di fronteggiare le minacce cui siamo sottoposti e dunque la concreta messa alla prova della nostre reazioni diventa fondamentale al fine di garantire la sicurezza delle nostre infrastrutture e la continuità dei servizi che dobbiamo erogare”.
Perché è necessario mettere in campo queste attività in modo continuo?
“I rischi continuano a modificarsi in modo dinamico e le minacce evolvono in maniera molto veloce, la necessità di continuare a testarci diventa fondamentale se vogliamo continuare a dare una risposta pronta alle nostre organizzazioni in materia di protezione delle informazioni”.
Altro tema emerso con ricorrenza durante il workshop è quello relativo agli ambienti IoT/Connessi, sempre più utilizzati ma sempre più oggetto di minacce Cyber, soprattutto perché le tecnologie IoT adottate spesso non sono security by design (nella nostra indagine solo il 23% richiede logiche by design ai fornitori).
Quali le misure da mettere in atto e quali le criticità ancora presenti?
“Anche per il mondo dell’IoT l’approccio deve essere quello di gestire i rischi a 360 gradi: non tutti gli oggetti nascono per essere utilizzati secondo le finalità che ci prefiggiamo (Internet non era nato per gestire forme di pagamento online, un frigorifero o una televisione non sono nati per essere connessi ad una rete); pertanto occorre analizzare gli scenari – anche quelli che ci sembrano più improbabili – e valutare tutti i rischi e le possibili contromisure adottabili (sia tecnologiche che di processo)”.
Risorse e competenze rappresentano per la maggior parte degli intervistati le principali criticità ed i gap da colmare.
Quali sono oggi le competenze più necessarie e dove trovarle?
“Dobbiamo investire sulla formazione del personale per accrescere la consapevolezza di tutti e a tutti i livelli; mai come in questo momento è fondamentale proteggere l’anello debole della catena. Un “involontario click” potrebbe compromettere l’operatività di una intera organizzazione e vanificare anche diversi investimenti tecnologici.
Per gestire e governare il processo di security dunque ci vogliono grandi e nuove competenze tecniche (non necessariamente tecnologiche), sicuramente doti manageriali e di leadership che inducano a collaborare attraverso progetti inclusivi: non si fa security chiusi in una stanza buia!
Bisogna ricercare e coltivare nuove leve direttamente dalle università: la diversità di vedute sarà un arricchimento professionale necessario e utile a tutti proprio per fronteggiare nuove minacce ibride”.
Leggi tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2018
© RIPRODUZIONE RISERVATA
