Tutela Informazioni e CyberSecurity. Raguseo: Consapevolezza e Cultura

“Tutela delle Informazioni Aziendali. CyberSecurity, Modelli di Compliance 231, Certificazioni”, il Convegno organizzato da IMQ, K-Solution, ANPIT, AssPriCom 2.0 con S News Media Partner, che si è tenuto martedì 26 Novembre a Roma, ha calamitato grande attenzione da parte dei partecipanti.

Sin dal saluto istituzionale da parte dell’Avv. Antonino Galletti, Presidente dell’Ordine degli Avvocati di Roma, l’assise, moderata da Monica Bertolo, Direttore S News, aveva assunto un taglio scientifico di chiaro interesse, movimentato dalla verve dei relatori che si sono susseguiti, a partire da Domenico Vozza, Avvocato, Privacy e Compliance Expert, Membro del Comitato Scientifico di S News, Ilaria Fisicaro, Sales account IMQ, Simone Turrini, Broker assicurativo, Domenico Raguseo, Head of CyberSecurity Exprivia Italtel e Docente presso l’Università degli Studi di Bari, Vita Santa Barletta, Dottoranda presso il medesimo ateneo con Janica Carraturo e Gianluca Zaccaria, Laureandi, e, a seguire, Daniele Saponaro, Presidente ANPIT Sede di Roma.

Ed è proprio con l’apporto del dottor Raguseo che presentiamo alcuni dei messaggi scaturiti nel corso del Convegno, che ha, tra gli altri, ricevuto il plauso del Presidente ASSIV, Maria Cristina Urbano, partecipe all’evento.

Dottore, durante il suo intervento lei ha coniato un paradigma, che fa molta chiarezza a mio avviso sull’attuale scenario: “l’essere umano non ha ancora avuto il tempo di creare una cultura che lo aiuti a distinguere il bene dal male nel mondo digitale”.
Ci può spiegare, più nel dettaglio, il suo pensiero?
L’umanità si è sviluppata a contatto di elementi quali acqua, terra e ossigeno. La percezione di cosa sia buono o cattivo, è spesso conseguenza di millenni di esperienze consolidate in quella che chiamiamo cultura.
Solo pochi anni fa, invece, l’umanità ha preso contatto con il mondo digitale, che è l’unico elemento creato dall’uomo stesso.
Non sarà quindi una sorpresa che l’essere umano non abbia ancora avuto il tempo di creare quella cultura che lo aiuta a distinguere il bene dal male, nel mondo digitale.
Questo va al di là della consapevolezza dei rischi.
Non sarà neanche una sorpresa il fatto che il fattore umano è spesso coinvolto negli incidenti: da Stuxnet a BEC, l’attaccante è aiutato dall’ingenuità o dalla superficialità o dall’assenza di consapevolezza della vittima.
Agire su consapevolezza e cultura è oramai un imperativo, per rendere il sistema più sicuro.

Consapevolezza diventa quindi un imperativo categorico. Come si può creare consapevolezza?
Consapevolezza è anche comprendere che è necessario essere preparati a rispondere ad un attacco o a gestire un incidente.
Non si può sempre sperare che l’attaccante scelga altri e che l’incidente non avverrà mai: le statistiche sono contro di noi.
Allora è necessario essere pronti a rispondere in maniera opportuna con simulazioni ed esercitazioni.
Questo concetto è comune nel mondo fisico, ma per anni non è stato preso nella dovuta considerazione nel mondo digitale.

Quali gli strumenti?
Il Cyber-range è un interessante esperimento per comprendere come le organizzazioni e gli individui possano rispondere ad un determinato incidente.
Interessante è il framework sviluppato dalla Banca Centrale Europea (TIBER-EU) con le linee guida per eseguire una simulazione di questo tipo.

Infine, è necessario comprendere che gli attaccanti hanno tutto il tempo per creare un attacco, costituendo delle vere e proprie bande.
Chi si difende invece non ha tempo, e ha risorse limitate.
Chiaro quindi che c’è una sproporzione enorme tra chi attacca e chi si difende, e quindi gli investimenti da fare devono essere oculati ed orientati a ridurre il rischio globale.
È necessario che esperti del settore comprendano le minacce a cui l’azienda o l’istituzione è più esposta, valutino lo stato e la postura corrente, siano esperti del settore specifico dell’industria che stanno esaminando, conoscano le capacità e le modalità di spending, e quindi suggeriscano i controlli da implementare con il modello di delivery più opportuno. Controlli di sicurezza, non solo focalizzati sulla prevenzione, ma anche sulla capacità di rilevare e rispondere ad un attacco.

a cura di Monica Bertolo